KI knackt Passwörter in weniger als 60 Sekunden

Wenn euer Passwort “Gamingnerd1337” ist, dann wisst ihr hoffentlich, dass man es ultra leicht knacken kann. Aber auch bei einem stärkeren Passwort sollte man sich nicht so sicher sein, dass es nicht auch geknackt werden kann. Eine neue Studie des Cybersicherheitsunternehmens Home Security Heroes zeigt, wie schnell und einfach künstliche Intelligenz ein Passwort knacken kann.

Statistiken zeigen, dass 51% der gängigen Passwörter in weniger als einer Minute geknackt werden können. Die Sicherheitsforscher verwendeten PassGAN, einen Passwortgenerator, der auf einem Generative Adversarial Network (GAN) basiert. PassGAN unterscheidet sich von anderen Passwortgeneratoren dadurch, dass ersterer nicht auf eine manuelle Passwortanalyse angewiesen ist.

Generator vs. Diskriminator

Im Gegensatz dazu nutzt das PassGAN-Modell, wie der Name schon sagt, das GAN, um aus echten Passwortleaks zu lernen und realistische Passwörter zu generieren, die man verwenden könnte. Ein GAN ist ein Modell des maschinellen Lernens (ML), das zwei neuronale Netze (Generator und Diskriminator) gegeneinander ausspielt, um die Genauigkeit der Vorhersagen zu verbessern.

Kurz gesagt, der Generator erzeugt gefälschte Daten, um den Diskriminator zu täuschen. In der Zwischenzeit besteht die Aufgabe des Diskriminators darin, die echten Daten von den gefälschten Daten zu unterscheiden, die der Generator erzeugt hat. Es entsteht ein Katz-und-Maus-Spiel, bei dem beide Netze von dem ständigen Streit profitieren. Der Generator verbessert sich ständig, um bessere gefälschte Daten zu konstruieren, und der Diskriminator wird besser darin, die echten Daten von den gefälschten zu unterscheiden.

Home Security Heroes fütterte PassGAN mit 15.680.000 gängigen Passwörtern aus dem RockYou-Datensatz, um das Modell zu trainieren. Das Unternehmen schloss Passwörter, die kürzer als vier Zeichen und länger als 18 Zeichen waren, von dem Experiment aus. Für diejenigen, die noch nie von RockYou gehört haben: RockYou war ein Entwickler von Widgets für beliebte Social-Media-Plattformen wie MySpace oder Facebook. Hacker sind im Jahr 2009 in RockYou eingedrungen und haben die Daten von über 32 Millionen Usern geklaut, weil das Unternehmen Daten in einer unverschlüsselten Datenbank speicherte. Der RockYou-Datensatz wurde schließlich zu einer beliebten Option für das Training von ML-Modellen zum Knacken von Passwörtern.

Im Laufe der Jahre gab es zahlreiche Datenschutzverletzungen mit Opfern, darunter Facebook und Yahoo. Es gibt also viele persönliche Datensätze, mit denen Passwortgeneratoren wie PassGAN trainiert werden können. Mehr Daten bedeuten mehr Futter für die Entwicklung der KI.

PassGAN knackt fast alle Passwörter unter 60 Sekunden

Die Ergebnisse von Home Security Heroes zeigten, dass PassGAN 51 % der gängigen Passwörter in weniger als einer Minute knackte. Bei den schwierigeren Passwörtern benötigte die KI etwas mehr Zeit. So knackte PassGAN beispielsweise 65 % in weniger als einer Stunde, 71 % in weniger als einem Tag und bis zu 81 % in weniger als einem Monat.

Laut Statista haben sechs von zehn Amerikanern ein Passwort mit einer Länge zwischen acht und 11 Zeichen. Weniger als ein Drittel der Bevölkerung verwendet jedoch ein Passwort mit mehr als 12 Zeichen. Das ist verständlich, denn kürzere und einfache Passwörter sind zwar leichter zu merken, aber auch anfälliger für Angriffe.

PassGAN brauchte weniger als sechs Minuten, um ein sieben Zeichen langes Passwort zu knacken, auch wenn es Zahlen, Groß- und Kleinbuchstaben und Symbole enthält. Ein zehn Zeichen langes Passwort, das nur aus Zahlen und Kleinbuchstaben besteht, kann PassGAN in einer Stunde entschlüsseln. Wenn jedoch Großbuchstaben, Zahlen und Symbole hinzukommen, verlängert sich die Entschlüsselungszeit um bis zu fünf Jahre. Es geht also nicht nur um ein langes Passwort, sondern um eines mit einem anspruchsvollen Muster, so dass die KI es nicht schnell lösen kann.

So könnt ihr euch vor Datenklau schützen

Home Security Heroes hat einige Richtlinien zum Schutz der Integrität der Passwörter zusammengestellt. Zunächst einmal empfiehlt das Cybersicherheitsunternehmen, ein Passwort mit mindestens 15 Zeichen und einem starken Muster zu erstellen, das mindestens zwei Groß- und Kleinbuchstaben mit Zahlen und Symbolen kombiniert.

PassGAN kann ein Passwort mit acht bzw. neun Zeichen in etwa sieben Stunden bzw. zwei Wochen entschlüsseln, selbst wenn man die besten Verfahren befolgt. Für Passwörter mit 10 oder 11 Zeichen bräuchte die KI etwa fünf bzw. 365 Jahre, um sie zu entschlüsseln. Ein Passwort mit 15 Zeichen hingegen braucht 14 Milliarden Jahre, um entschlüsselt zu werden. Deshalb ist es wichtig, dass man sein Passwort in regelmäßigen Abständen (alle drei bis sechs Monate!) ändert. Außerdem sollten man vermeiden, dass man dasselbe Passwort für verschiedene Accounts benutzt.

KI wird sich durchsetzen, und die Hardware, die KI unterstützt, wird mit der Zeit immer besser. Man kann nicht bestreiten, dass KI viele Vorteile für unser tägliches Leben mit sich bringt, aber nichts hindert Gauner da draußen daran, sie für böswillige Zwecke zu nutzen, z. B. um Passwörter zu knacken und eure Daten, inklusive die Bankdaten und das Geld für das neueste Spiel, zu stehlen.