25. Februar 2026, 14:37 Uhr | Lesezeit: 3 Minuten
Ein Passwort von ChatGPT erstellen lassen? Klingt bequem und sicher. Doch genau das kann ein Sicherheitsproblem sein. Sprachmodelle wirken intelligent und kreativ, aber ausgerechnet bei der Passworterstellung stoßen sie an eine fundamentale Grenze.
Eine aktuelle Untersuchung des Sicherheitsunternehmens „Irregular“ zeigt, dass von Large Language Models (große Sprachmodelle, kurz: LLMs) erzeugte Passwörter zwar komplex wirken, aber erkennbare Muster enthalten. Der Grund liegt im Funktionsprinzip dieser Systeme. LLMs sind darauf trainiert, das wahrscheinlichste nächste Zeichen vorherzusagen. Genau das ist jedoch das Gegenteil von dem, was ein sicheres Passwort benötigt. Ein Passwort muss gleichmäßig und unvorhersehbar zufällig entstehen – nicht statistisch plausibel.
Warum LLMs strukturell ungeeignet sind
Laut einer Meldung von „heise“ stellte die Studie bei Tests mit OpenAI ChatGPT 5.2, Claude Opus 4.6 und Google Gemini 3 Flash wiederkehrende Zeichenfolgen und ähnliche Strukturen fest. Teilweise generierten die Modelle sogar identische oder sehr ähnliche Passwörter mehrfach. Die gemessene Entropie, die das Maß für Unvorhersehbarkeit beschreibt, lag deutlich unter dem Wert eines kryptografisch sicheren Passworts, also eines Passworts, das nach mathematischen Sicherheitsstandards als praktisch nicht berechenbar gilt.
Weil Sprachmodelle Zeichen nicht gleichmäßig zufällig verteilen, sondern typische Muster erzeugen, werden die Passwörter berechenbarer. Genau das erleichtert Angriffe. Bei einer sogenannten Brute-Force-Attacke testet ein Angreifer automatisiert immer neue Zeichenkombinationen, bis das richtige Passwort gefunden ist. Je vorhersehbarer die Struktur, desto schneller kommt der Angreifer ans Ziel. Während ein kryptografisch starkes Passwort theoretisch Jahrzehnte standhalten kann, ließen sich die in der Studie gemessenen KI-Passwörter mit deutlich geringerer Entropie in Stunden oder wenigen Tagen knacken. Die Forscher raten deshalb ausdrücklich davon ab, LLMs zur Passwortgenerierung einzusetzen.
Diese Jobs sind durch Künstliche Intelligenz in Gefahr
Darum brauchen Passwörter eigentlich keine Sonderzeichen und Großbuchstaben
Und was ist mit anderen Systemen?
Computer können von sich aus keinen echten Zufall erzeugen. Wie der Content-Delivery-Anbieter Cloudflare erklärt, arbeiten sie deterministisch. Das heißt, gleiche Eingaben führen immer zu gleichen Ausgaben. Diese Vorhersagbarkeit ist für normale Software gewollt. Für Verschlüsselung und Passwortsicherheit ist sie jedoch ein Nachteil.
Deshalb verwenden Systeme, die echten Zufall benötigen, sogenannte kryptografisch sichere Zufallszahlengeneratoren. Diese greifen auf unvorhersehbare Eingaben aus der realen Welt zurück und erzeugen daraus mathematisch nicht berechenbare Werte.
Wie solche Entropie-Quellen aussehen können, zeigt Cloudflare. Der Infrastruktur-Anbieter nutzt physikalische, chaotische Prozesse, um kryptografische Schlüssel zu erzeugen. So zum Beispiel die Bewegungen von Lava-Lampen in San Francisco, ein Doppelpendel in London oder radioaktiven Zerfall in Singapur. Diese Prozesse sind physikalisch unvorhersehbar und liefern somit echte Zufallswerte.
Was bedeutet das für die Praxis?
Wer sichere Passwörter erstellen möchte, braucht keine 50 Lavalampen im Wohnzimmer. Ein etablierter Passwortmanager reicht vollkommen aus. Er nutzt die kryptografisch sicheren Zufallsfunktionen des Betriebssystems, um wirklich unvorhersehbare Zeichenfolgen zu erzeugen, und speichert diese anschließend verschlüsselt ab.
Auch interessant: Warum Höflichkeit OpenAI Millionen US-Dollar kostet
Sprachmodelle mögen beeindruckend wirken. Für echte Zufälligkeit sind sie jedoch nicht gebaut. Wenn es um Sicherheit geht, sollte man deshalb auf Werkzeuge setzen, die genau dafür entwickelt wurden.