KI knackt Passwörter

Manou Sakis · 12.04.23

Moin zusammen.

Habe hier einen Artikel gefunden, der mich im ersten Moment ein bisschen erschreckt: Vorsicht: 2023 knackt eine neue KI die meisten Passwörter in Sekunden. So bleibt ihr sicher Darin wird berichtet, dass mittlerweile auch zum knacken von Passwörtern KI eingesetzt wird und dass dadurch der Aufwand wohl merklich reduziert wird.

Nun jedoch die Frage: Auch wenn das im ersten Moment alarmierend klingen mag, wie praxisrelevant ist diese Studie? Fallen Passwörter nun wie die Fliegen? Oder reduziert die KI nur die Anzahl der Versuche bei Brute Force Attacken, gegen die viele Server mittlerweile ohnehin geschützt sind? Ich weiß im Moment noch nicht wie ich das einordnen soll.

Eure Meinungen dazu?
MfG

joe024 · 12.04.23

Ich nutze 1Password und lasse das Programm die PW selbst erstellen. Die Zeichenlänge gebe ich meistens mit > 15 Zeichen vor und lasse alles (Zahlen, Sonderzeichen usw.) nutzen.
Hinzu kommt noch 2FA, Fingerprint bzw. Face ID oder Abfragen per SMS etc.

Da mache ich mich ganz locker.
Ich zucke nur bei einigen Personen in meinem Umfeld, die dann wirklich 1234... oder den eigenen Namen etc. nutzen. Da braucht es dann noch nichtmal eine KI. Sehr bedenklich, da kann man sich den Mund fusselig reden...

Ansonsten wird der Hersteller von 1Password bestimmt eine Lösung für sowas parat haben.

dtp · 12.04.23

Nun ja, die 2FA wäre da z.B. ein wirksamer Zusatzschutz. Oder DOTP (Dynamik One Time Password).

Patze · 12.04.23

2FA ist sicher eine bessere Methode sich zu schützen, zudem noch DOTP. Rein nur Passwörter ist heutzutage auch nicht mehr so sicher. Nutze meistens 2FA und bei Apple den Hardware Schlüssel (Wo ich bald bei weiteren Dienste dies nutzen werde).
Und bei OTP oder 2FA wo man eine SMS bekommt , ist auch nicht so 100% sicher aber immer noch besser als nichts.
Denn bei normalen Passwörtern gibt es so viele Möglichkeiten sie zu knacken (Brute-force,Rainbow Table, Birthday Attack usw. , selber ein Testprogramm geschrieben für dies). Aber sagen wir so, man kann alles so sicher haben wie man will, wenn einer etwas will dann kommt er auch hinein. Man muss einfach die Seiten- oder App-Betreiber vertrauen, das die alles sicher Schützen. Früher war ich ein bisschen mehr Paranoid 😂 Denn ich weiß was alles möglich ist und was so alles die Runde geht😂.

Manou Sakis · 12.04.23

Nachdem ich nochmal bisschen weitergehend gelesen und weiter nachgedacht habe, denke ich, dass der Artikel eher experimenteller Natur ist. Da wurden Passwörter aus früheren Leaks auf Muster untersucht, daraus eine KI gebastelt und dann geschaut, wie lange die KI braucht, um Passwörter unterschiedlicher Stärke richtig zu raten. Um wieviel das tatsächlich schneller geht als ein Passwortraten ohne KI ist nicht beschrieben. Außerdem wird nicht thematisiert, dass es heutzutage viele Schutzmechanismen gegen bloßes Probieren bis hin zu Brute Force gibt. Wer also ein Mindestmaß an Passwortsicherheit berücksichtigt - was ich auch tue - und eine bestimmte Passwortlänge ohne lexikalische Bedeutung mit Groß-/Kleinschreibung, Zahlen und Zeichen verwendet, sollte weiterhin ruhig schlafen können. Zumal der größte Teil der "gehackten" Passwörter nicht aus "Probierangriffen", sondern aus Hacks des jeweiligen Serverbetreibers stammt. Und in so einem Fall nützt einem auch das sicherste Passwort nichts.

dtp · 12.04.23

Vor allen Dingen frage ich mich, wie die KI schon alleine die Verwendung von Groß- und Kleinbuchstaben prognostizieren will. Von Sonderzeichen ganz zu schweigen. Und das sind ja schon Dinge, ohne die man heutzutage gar kein Passwort mehr vergeben kann.

Gefährlich könnte es insbesondere dann werden, wenn die KI mal ein, zwei Passwörter der betreffenden Person kennt. Da könnte sie dann schon mehr daraus ableiten.

Patze schrieb:
Und bei OTP oder 2FA wo man eine SMS bekommt , ist auch nicht so 100% sicher aber immer noch besser als nichts.

Was DOTP/TOTP angeht, setzen ja viele mittlerweile auf entsprechende Athenticator Apps, deren PINs sich alle 30 Sekunden oder dergleichen ändern. Und das kann man dann sogar schon in Apps wie Bitwarden implementieren.

Carcharoth · 12.04.23

dtp schrieb:
Vor allen Dingen frage ich mich, wie die KI schon alleine die Verwendung von Groß- und Kleinbuchstaben prognostizieren will. Von Sonderzeichen ganz zu schweigen.

Statistik. Grossbuchstaben sind meistens am Anfang eines Wortes. Zahlen und Sonderzeichen häufig am Schluss weil "Oh, da brauchts ja noch ein Sonderzeichen." Und das werden mit Bestimmtheit auch nicht solche Exoten wie ~, ^ oder £ sein, sondern die Klassiker wie -, $, % oder +
Und somit kannst schon vorgeben, welches Format das zu knackende Passwort ungefähr haben könnte.

dtp · 12.04.23

Ungefähr genügt aber nicht. Das Passwort muss exakt stimmen. Und welches einzelne Zeichen da dann nicht passt, kann die KI so nicht wissen bzw. schätzen, weil ihr hier ein kausaler Bezug zu den anderen Zeichen fehlt. Im Grunde genommen ist es also auch da ein Try-and-Error-Verfahren, außer die Passwörter wurden von einer Person nach einem bestimmten Schema vergeben.

Eine KI kann nur dann lernen, wenn man ihr die Gelegenheit dazu gibt. Sprich, wenn sie mehrere Passwörter einer bestimmten Person kennt, die diese auch nach einem bestimmten Schema erzeugt hat, kann sie daraus andere Passwörter ableiten und die dann durchprobieren. Hat die Person ihre Passwörter aber mit einem Passwortgenerator erzeugt, dann wird sie aus bekannten Passwörtern nahezu nichts ableiten können.

Patze · 12.04.23

oder !😂
Mal ein Video gesehen wo ein Reporter fremde Leute fragt wie sicher ihr Passwort ist und die dann sagen sehr sicher, weil es aus verschiedene Wörter besteht und er dann so die Fragen stellt das genau die Leute dann die Teile vom Passwort sagen 😂

müsste dies sein. Ist mir nur so wegen Passwörter eingefallen😂

dtp · 12.04.23

Was ist das Gegenteil von künstlicher Intelligenz? Genau, menschliche Dummheit.

Carcharoth · 12.04.23

dtp schrieb:
...

Du hast den Artikel nicht gelesen oder?
Das Ding errät das PW nicht im ersten Versuch, sondern macht nix anderes als BruteForce, aber halt etwas klüger als stur alphabetisch vorzugehen.

PW-Generatoren sind noch immer ne Seltenheit für normale Benutzer.

dtp · 12.04.23

Carcharoth schrieb:
Das Ding errät das PW nicht im ersten Versuch, sondern macht nix anderes als BruteForce, aber halt etwas klüger als stur alphabetisch vorzugehen.

Ja, aber das hat aus meiner Sicht nur bedingt etwas mit KI zu tun. Sprich, der Algortihmus arbeitet nach einer Logik, die einem gewissen Teil der Menschen zu eigen ist und nutzt nur diese Unzulänglichkeit. Mehr aber auch nicht. Von einer KI würde ich erwarten, dass sie dann auch adaptiv lernt, wenn sich die Menschen umstellen. Und das kann sie in diesem Fall nur bedingt bis gar nicht. Wer also sein Passwörter entsprechend lang macht und sie mittels unkorrelierter Zeichen erzeugt, braucht eine KI nicht mehr zu fürchten als einen herkömmlichen Brute-Force-Ansatz, der einfach alle Kombinationen durchpermutiert.

Suche

Suche

KI knackt Passwörter

Manou Sakis

Finkenwerder Herbstprinz

joe024

Pomme au Mors

dtp

Roter Winterstettiner

Patze

Kaiser Wilhelm

Manou Sakis

Finkenwerder Herbstprinz

dtp

Roter Winterstettiner

Carcharoth

Ingol

dtp

Roter Winterstettiner

Patze

Kaiser Wilhelm

dtp

Roter Winterstettiner

Carcharoth

Ingol

dtp

Roter Winterstettiner

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)