Große Sprachmodelle (LLMs), wie jenes, das hinter ChatGPT von OpenAI steht, zeigen beeindruckende Fähigkeiten bei Sprachverarbeitung und Codeerstellung. Doch ihre Einsatzmöglichkeiten in der Cyberkriminalität, etwa beim Erraten von Passwörtern, bleiben begrenzt. Forscher des Future Data Minds Research Lab in Australien untersuchten, ob LLMs tatsächlich in der Lage sind, plausible Passwörter für bestimmte Nutzer zu generieren, basierend auf persönlichen Daten wie Namen, Geburtstagen oder Hobbys. Dazu erstellten sie synthetische Nutzerprofile und gaben diese drei gängigen Open-Source-Modellen – TinyLLaMA, Falcon-RW-1B und Flan-T5 – als Eingabe. Die Modelle sollten Passwörter vorschlagen, die typischerweise von solchen Nutzern gewählt werden könnten. Die Bewertung erfolgte anhand standardisierter Metriken wie Hit@1, Hit@5 und Hit@10, die messen, ob das richtige Passwort innerhalb der ersten ein, fünf oder zehn Vorschläge erscheint. Die Ergebnisse waren enttäuschend: Alle drei Modelle erreichten bei Hit@10 eine Genauigkeit von weniger als 1,5 Prozent – deutlich unterhalb der Leistung traditioneller Methoden wie regelbasiertes oder kombinatorisches Brute-Force-Attacken, die erheblich höhere Trefferquoten erzielen. Zudem wurden die Passwörter sowohl in Klartext als auch als SHA-256-Hash verglichen, was die Robustheit der Tests erhöhte. Die Analyse der Gründe für diese mangelhafte Leistung offenbarte zentrale Schwächen der LLMs. Trotz ihrer hohen sprachlichen Fähigkeiten fehlen ihnen die Fähigkeiten zur präzisen Wiederholung spezifischer Trainingsbeispiele und zur Anwendung gelernter Passwortmuster in neuen Kontexten. Die Forscher konnten zeigen, dass die Modelle nicht ausreichend in der Lage sind, Domänenwissen zu adaptieren oder passwortrelevante Muster zu speichern, insbesondere ohne spezifische Feinabstimmung an realen, ausgelaufenen Passwörterdatensätzen. Dies deutet darauf hin, dass LLMs zwar kontextbezogene Texte erzeugen können, aber nicht über das notwendige „Erinnerungs-“ oder „Anwendungswissen“ verfügen, um plausible Passwörter vorherzusagen. Diese Erkenntnis ist für die Sicherheitsforschung bedeutungsvoll: Sie zeigt, dass LLMs aktuell kein wirksames Werkzeug für die Passwortsicherheit darstellen – weder als Bedrohung noch als Lösung. Dennoch legt die Studie den Grundstein für zukünftige Forschung, etwa in Richtung sicherer, datenschutzorientierter Passwortmodellierung. Die Autoren betonen, dass weitere Untersuchungen an weiteren Modellen notwendig sind, um ein vollständigeres Bild zu erhalten. Experten sehen in den Ergebnissen eine Bestätigung, dass künstliche Intelligenz zwar mächtig, aber nicht omnipotent ist – besonders wenn es um spezialisierte, domänenbezogene Aufgaben geht. Die Studie unterstreicht zudem die Notwendigkeit, Sicherheitsstrategien nicht allein auf neuartige Technologien zu gründen, sondern auf bewährte, testierte Methoden.