Laut einer Studie von Home Security Heroes können ca. 51 Prozent aller gängigen Passwörter von einer KI wie PassGAN geknackt werden.
Eine aktuelle Studie des Cybersicherheitsunternehmens Home Security Heroes beleuchtet die bemerkenswerte Geschwindigkeit, mit der eine KI Passwörter knacken kann. Zur Analyse verwendeten die Sicherheitsforscher ein Tool namens PassGAN, ein Password Generative Adversarial Network, das zur Analyse eine Liste von über 15 Millionen Passwörtern verwendet hat. Die Ergebnisse sind beachtlich.
Die Sicherheitsforscher verwendeten PassGAN, einen Passwortgenerator, der auf einem Generative Adversarial Network (GAN) basiert. PassGAN unterscheidet sich von anderen Passwortgeneratoren dadurch, dass er nicht auf eine manuelle Passwortanalyse angewiesen ist. Im Gegensatz dazu verwendet das PassGAN-Modell GAN, um aus echten Passwortverletzungen zu lernen und realistische Passwörter zu generieren.
PassGAN basiert auf Maschinellem Lernen
GAN ist ein Modell des maschinellen Lernens (ML), das zwei neuronale Netze (Generator und Diskriminator) gegeneinander antreten lässt, um die Genauigkeit der Vorhersagen zu verbessern. Im Wesentlichen erzeugen GANs ihre eigenen Trainingsdaten, wie ComputerWeekly informiert.
Im ersten Schritt erzeugt der Generator falsche Daten, um den Diskriminator zu täuschen. Die Aufgabe des Diskriminators besteht darin, die echten Daten von den gefälschten Daten zu unterscheiden, die der Generator erzeugt hat.
Es entsteht ein Katz-und-Maus-Spiel, bei dem beide Netzwerke von der ständigen Auseinandersetzung profitieren. Der Generator wird immer besser darin, bessere gefälschte Daten zu erzeugen, während der Diskriminator immer besser darin wird, die echten Daten von den gefälschten zu unterscheiden.
Home Security Heroes versorgte PassGAN mit 15.680.000 gängigen Passwörtern aus dem RockYou-Datensatz, um das Modell zu trainieren. Das Unternehmen schloss Passwörter, die kürzer als vier Zeichen und länger als 18 Zeichen waren, von dem Experiment aus.
Bereits in der Vergangenheit gab es zahlreiche Datenschutzverletzungen, darunter auf Facebook und Yahoo. Daher gibt es zahlreiche persönliche Datensätze, mit denen Passwortgeneratoren wie PassGAN trainiert werden können.
Beispielsweise drangen Hacker im Jahr 2009 bei RockYou, einem Entwickler von Widgets für beliebte Social-Media-Plattformen wie MySpace oder Facebook ein. Dabei stahlen sie Daten von über 32 Millionen Nutzern.
Wie tomshardware informierte, speicherte das Unternehmen deren Daten leichtsinnigerweise in einer unverschlüsselten Datenbank. Der RockYou-Datensatz wurde schließlich zu einer beliebten Option für das Training von ML-Modellen zum Knacken von Passwörtern.
PassGAN: Die alarmierende Geschwindigkeit des KI-gestützten Passwortknackens
Laut der Studie können 51 % der gängigen Passwörter in weniger als einer Minute, 65 % in weniger als einer Stunde, 71 % in weniger als einem Tag und 81 % in weniger als einem Monat geknackt werden. Die meisten Passwörter mit sechs Zeichen und darunter hat PassGAN fast sofort geknackt.
PassGAN brauchte weniger als sechs Minuten, um ein siebenstelliges Passwort zu knacken, selbst wenn es Zahlen, Groß- und Kleinbuchstaben und Symbole enthielt. Ein zehnstelliges Passwort, das nur aus Zahlen und Kleinbuchstaben besteht, kann PassGAN innerhalb einer Stunde entschlüsseln. Durch das Hinzufügen von Großbuchstaben, Zahlen und Symbolen verlängert sich die Entschlüsselungszeit jedoch um bis zu fünf Jahre.
Wie bleibt man sicher?
Mit Voranschreiten der KI-Technologie stellt sich, nicht zuletzt zum Schutz der Online-Konten, die Frage nach der Sicherheit. Home Security Heroes rät dazu, Passwörtern mit mindestens 15 Zeichen, darunter mindestens zwei Buchstaben, Zahlen und Symbole zu verwenden. Dabei ist es zudem wichtig, vorhersehbare Muster zu vermeiden und die Passwörter regelmäßig alle 3 bis 6 Monate zu ändern. Vermeiden sollte man auch, dasselbe Passwort für mehrere Konten zu nutzen.
Derzeit gelten Passwörter mit mindestens 18 Zeichen, die sowohl Buchstaben als auch Zahlen enthalten, noch als sicher gegenüber Tools wie PassGAN. Laut Studie dauerte es mindestens zehn Monate, ein 18-stelliges Passwort zu knacken, das nur Zahlen enthält. Dieses Sicherheitsniveau hält jedoch möglicherweise nicht lange an, da sich die KI ständig weiterentwickelt. Home Security Heroes führt aus:
„Passwörter mit mehr als 18 Zeichen sind im Allgemeinen sicher vor KI-Passwort-Crackern, da PassGAN mindestens 10 Monate braucht, um unter den Voraussetzungen reine Zahlenpasswörter zu knacken. Das Tool würde hingegen 6 Quintillionen Jahre benötigen, um dabei Passwörter zu knacken, die Symbole, Zahlen, Klein- und Großbuchstaben enthalten.“
Allgemein ist zu beachten:
- das Verwenden von 2FA/MFA
- Passwörter nicht kontoübergreifend wiederverwenden
- nach Möglichkeit automatisch generierte Passwörter benutzen
- Passwörter regelmäßig aktualisieren, insbesondere für sensible Konten
- Kein öffentliches WLAN, insbesondere nicht für Banking- und ähnliche Konten verwenden.
Auf der Website von Home Security Heroes gibt es ein Eingabefeld. Dort eingegebene Passwörter werden dann auf ihre Sicherheit getestet. Die Sicherheitsforscher geben an, dass sie solche Eingaben weder speichern noch teilen.