Druckartikel: KI erstellt dein Passwort? Das solltest du unbedingt vermeiden

KI erstellt dein Passwort? Das solltest du unbedingt vermeiden


Autor: Elisabeth von Sydow

Deutschland, Montag, 06. April 2026

Sind KI-generierte Passwörter unsicher? Warum ChatGPT und andere Modelle kein guter Passwortgenerator sind – und welche sichere Alternative 2026 wirklich schützt.
Passwort von ChatGPT erstellen lassen? Eine neue Studie zeigt, warum das keine gute Idee ist


KI-generierte Passwörter wirken oft stark, sind aber laut einer aktuellen Irregular-Studie strukturell unsicher – weil LLMs Muster statt echten Zufall erzeugen. Für sichere Passwörter solltest du deshalb einen kryptografisch sicheren Passwortmanager nutzen, nicht ChatGPT, Claude oder Gemini.

Warum erstellen viele Menschen ihre Passwörter mit KI?

Viele nutzen KI, weil es schnell geht und das Ergebnis auf den ersten Blick komplex aussieht. Gerade bei mehreren Konten wirkt es praktisch, einfach ein sicheres Passwort anfordern zu können. Genau darin liegt das Problem: Bequemlichkeit ersetzt keine echte Passwortsicherheit.

Irregular testete mehrere große Modelle wie Claude, GPT und Gemini mit wiederholten Passwortanfragen. Dabei zeigten sich erkennbare Muster, wiederkehrende Zeichenfolgen und deutlich weniger Vielfalt als bei echter Zufallsverteilung. In einem Beispiel erzeugte Claude in 50 Versuchen nur 30 einzigartige Passwörter; ein bestimmtes Passwort kam 18-mal vor.

LLMs sind darauf trainiert, das statistisch wahrscheinlichste nächste Token vorherzusagen, nicht gleichverteilte Zufallszeichen zu erzeugen. Genau deshalb ist eine LLM-Passwortgenerator-Schwäche laut Irregular kein Bug im Einzelfall, sondern ein systematisches Problem. Ein Modell kann also etwas ausgeben, das zufällig aussieht, aber trotzdem klaren Mustern folgt und damit berechenbarer bleibt.

Was ist Entropie – und warum ist sie für sichere Passwörter entscheidend?

Entropie beschreibt vereinfacht, wie schwer ein Passwort vorhersagbar ist. Je mehr mögliche Kombinationen realistisch infrage kommen, desto höher ist die Entropie und desto besser ist der Schutz gegen Erraten und automatisierte Angriffe. Die Entropie-Passwort-Erklärung ist deshalb zentral: Ein Passwort kann lang aussehen und trotzdem schwach sein, wenn seine Zeichenfolge nur aus einem kleinen, vorhersehbaren Musterraum stammt.

Irregular kommt zu dem Schluss, dass KI-generierte Passwörter deutlich weniger Entropie haben als echte Zufallskennwörter – teils nur im Bereich von rund 20 bis 27 Bits statt ungefähr 98 Bits bei einem guten 16-Zeichen-Passwort. Das macht sie für Brute-Force-Attacke-Passwort-Versuche wesentlich anfälliger, weil Angreifer nicht jeden möglichen String gleich wahrscheinlich behandeln müssen. Ein Passwort, das durch Struktur vorhersehbar wird, kann dadurch praktisch viel schneller fallen als ein wirklich zufälliges.

Viele Alltagsprogramme erzeugen keinen echten Zufall, sondern nur pseudorandomisierte Werte. Das ist für Simulationen oft ausreichend, für Passwortsicherheit aber nicht, wenn die Quelle nicht kryptografisch abgesichert ist. Deshalb ist ein normaler Zufallsmechanismus nicht automatisch ein Passwort-Zufalls­generator im sicherheitstechnischen Sinn.

Was sind kryptografisch sichere Zufallszahlengeneratoren?

Kryptografisch sichere Zufallszahlengeneratoren, oft CSPRNGs genannt, sind so gebaut, dass ihre Ausgaben für Angreifer praktisch nicht vorhersagbar sind. Sie bilden die Grundlage für ein kryptografisch sicheres Passwort, weil sie Zeichen gleichmäßig und ohne erkennbares Muster auswählen. Genau darauf setzen etablierte Passwortgeneratoren und Passwortmanager.

Die verlässliche Alternative ist also ein Passwortmanager mit integriertem Generator. Dort kannst du sichere Passwörter erstellen, die zufällig, einzigartig und lang genug sind, ohne sie selbst merken zu müssen. Das ist auch die klare Passwortmanager-Empfehlung von Sicherheitspraktikern und Anbietern: ein starkes Master-Passwort merken, alle anderen Kennwörter zufällig erzeugen lassen.

Wichtig: Nutze für jedes Konto ein eigenes sicheres Passwort, idealerweise mit mindestens 15 Zeichen oder mehr und echter Zufälligkeit. Vermeide alles, was nach einem Muster klingt oder sich leicht merken lässt, wenn es nicht gerade aus einem sicheren Generator kommt. Für eine hohe Passwortsicherheit im Jahr 2026 gilt damit vor allem: KI ist ein Komfortwerkzeug, aber kein geeigneter Ersatz für einen sicheren Generator.