Ist die Zeit der Passwörter vorbei?

Noch vor wenigen Jahren galten acht Zeichen mit Zahlen, Buchstaben und Sonderzeichen als sicher. Heute reicht das kaum mehr aus. Grund dafür ist nicht nur die Rechenleistung moderner Grafikkarten, sondern zunehmend der Einsatz von KI. Neue Angriffsmodelle wie PassGAN nutzen echte Leaks als Trainingsdaten und erstellen daraus Milliarden realistisch wirkender Passwörter. Das Ergebnis: Viele gängige Passwörter lassen sich in Sekunden erraten.

KI-Modelle brechen gängige Muster

Wie stark der Einfluss künstlicher Intelligenz auf die Passwortsicherheit wirklich ist, zeigt eine Analyse von Hive Systems. In Kombination mit leistungsstarken GPUs sind viele Passwörter heute in Minuten oder sogar Sekunden zu knacken - auch ohne Brute-Force. Die Angreifer setzen auf generative Netzwerke, die gelernt haben, wie Menschen denken: wie sie Namen abwandeln, Zahlen ergänzen oder Tastaturmuster nutzen.

Besonders gefährdet sind dabei kurze oder häufig verwendete Kombinationen. Ein Modell wie PassGAN, das auf Millionen kompromittierter Zugangsdaten trainiert wurde, schafft es laut einer Untersuchung der International Association for Privacy Professionals (IAPP), über 50 Prozent aller getesteten Passwörter in weniger als einer Minute korrekt zu erraten. Je schwächer die Auswahl, desto schneller der Treffer.

Lange Passwörter sind besser, aber nicht perfekt

Die gute Nachricht: Wer auf Länge statt Komplexität setzt, ist nach wie vor besser geschützt. Passphrasen mit 15 oder mehr zufälligen Zeichen lassen sich derzeit nicht in akzeptabler Zeit knacken - weder durch klassische Methoden noch durch KI-Modelle. Aber auch hier zeigen sich erste Schwächen: Viele Nutzer wählen auch bei Passphrasen vorhersehbare Muster. Eine Folge davon ist, dass selbst vermeintlich „lange“ Passwörter in Trainingsmodellen auftauchen und leichter geraten werden können.

Das Problem ist also nicht allein die Technik, sondern menschliches Verhalten. Die Wiederverwendung von Passwörtern, Musterdenken und das Vertrauen in althergebrachte Regeln machen es Angreifern einfach. Selbst wenn das Passwort an sich lang genug ist, kann eine einmalige Datenpanne reichen, um es kompromittiert zu haben.

Passwörter allein reichen nicht mehr

Sicherheitsexperten sind sich weitgehend einig: Wer sich heute noch allein auf Passwörter verlässt, geht ein hohes Risiko ein. Zwar werden Passwörter nicht verschwinden, aber sie sollten nicht mehr die einzige Schutzmaßnahme sein. Die Zwei-Faktor-Authentifizierung (2FA) über App oder Hardware-Token gilt mittlerweile als Standard. Noch einen Schritt weiter gehen Passkeys, die auf kryptografische Schlüsselpaare setzen und Passwörter vollständig ersetzen können.

Große Plattformen wie Google, Apple oder Microsoft bieten Passkey-Lösungen bereits an, doch die Akzeptanz ist bisher gering. Viele Nutzer zögern, ihre Geräte tiefer mit Online-Diensten zu verknüpfen. Datenschutzbedenken und fehlende Kompatibilität sorgen dafür, dass sich neue Authentifizierungsverfahren nur langsam durchsetzen.

Unternehmen müssen umdenken

Für Unternehmen bedeutet die neue Bedrohungslage: Alte Passwortregeln gehören auf den Prüfstand. Richtlinien, die auf Sonderzeichen und Mindestlänge setzen, greifen zu kurz. Stattdessen braucht es technische Schutzmaßnahmen, die auf echten Risiken basieren: Passwortmanager, regelmäßige Leck-Analysen, Adaptive MFA und das Blockieren häufig genutzter Kombinationen. Auch der Einsatz von KI zur eigenen Verteidigung - etwa zur Erkennung kompromittierter Accounts - wird in Zukunft an Bedeutung gewinnen.

Ob Passwörter damit endgültig ausgedient haben, ist unklar. Klar ist aber: Ohne ergänzende Schutzmaßnahmen sind sie heute ein leichtes Ziel.