Das A und O eines Brute-Force-Angriffs

Lukas Grigas
Werbetexter für Cybersicherheit
brute force attack

Ein Brute-Force-Angriff probiert Millionen von Benutzernamen und Passwörtern pro Sekunde für ein Konto aus, bis er fündig wird. Das ist das Wesentliche daran. Doch obwohl diese Angriffe sehr einfach sind, sind sie allzu oft erfolgreich.

Heute werden wir das Fachchinesisch durchbrechen und erklären, was ein Brute-Force-Angriff ist, wie er funktioniert, ob er legal ist und wie er mit aktuellen Sicherheitssystemen mithalten kann.

Wie funktioniert ein Brute-Force-Angriff?

Brute-Force-Angriffe sind in technischer Hinsicht einfach und bringen den Angreifern oft große Erfolge. Bösewichte nutzen Brute-Force-Angriffe, um auf Online-Konten zuzugreifen.

Hacker bevorzugen diese Art des Angriffs, da sie nur wenig Aufwand betreiben müssen, da der Computer die Arbeit erledigt. Die Arbeit besteht darin, schnell den Benutzernamen und das Passwort des Kontos zu erraten, auf das sie unberechtigten Zugriff erlangen wollen. Bei einem Brute-Force-Angriff arbeitet ein Computerprogramm brutal und probiert unendlich viele Kombinationen von Benutzernamen und Passwörtern aus, bis es eine passende findet.

Wie schnell ist ein Brute-Force-Angriff?

Die Geschwindigkeit, mit der Ihr Passwort geknackt wird, ist abhängig von:

  • der Stärke Ihres Passworts und

  • der Leistung des Computers des Kriminellen.

Hier ist ein kurzer Leitfaden zu beiden

Geschwindigkeit abhängig von der Passwortstärke:

  • Computerprogramme, die für Brute-Force-Angriffe eingesetzt werden, können zwischen 10.000 und 1 Milliarde Passwörtern pro Sekunde überprüfen.

  • Auf einer Standardtastatur gibt es 94 Zahlen, Buchstaben und Symbole. Insgesamt können sie etwa zweihundert Milliarden 8-stellige Passwörter erzeugen.

  • Je länger und zufälliger ein Passwort ist, desto schwieriger ist es zu knacken. Ein 9-Zeichen-Passwort, das ein Sonderzeichen enthält, benötigt etwa 2 Stunden, um geknackt zu werden; eines ohne Sonderzeichen dauert nur 2 Minuten!

  • Im Vergleich dazu würde es Jahrhunderte dauern, ein Passwort mit 12 unterschiedlichen Zeichen zu knacken.

Die wichtigsten Erkenntnisse

Ein einfaches Passwort, das nur aus Kleinbuchstaben besteht, ergibt viel weniger Kombinationen als ein Passwort mit einer Mischung aus zufälligen Zeichen – etwa 300 Millionen, um genau zu sein. Deshalb brauchen Computer nicht viel Aufwand, um ein einfaches Passwort zu erraten – 8,5 Stunden auf einem Pentium 100 und unmittelbar auf einem Supercomputer.

(Ein Pentium 100 kann 10.000 Passwörter pro Sekunde ausprobieren. Ein Supercomputer kann 1.000.000.000 pro Sekunde ausprobieren). Überdenken Sie Ihr Passwort also besser noch einmal.

Arten von Brute-Force-Angriffen

Brute-Force-Angriffe gibt es in vielen verschiedenen Arten und Formen. Im Folgenden sind die häufigsten Brute-Force-Angriffe aufgeführt, die von Hackern genutzt werden, um sich unbefugten Zugang zu Online-Konten zu verschaffen.

Einfacher Brute-Force-Angriff

Der einfache Brute-Force-Angriff ist, wie der Name schon sagt, die einfachste aller Arten. Bei einem solchen Angriff versucht der Angreifer, das Passwort des Nutzers manuell zu erraten, ohne Software-Tools zu verwenden. Der Angreifer verlässt sich darauf, gängige, schwache Passwörter wie 123456, qwertz, passwort und passwort123 auszuprobieren. Leider kann der einfache Brute-Force-Angriff ziemlich effektiv sein, denn wir haben immer wieder festgestellt, dass viele Menschen weiterhin schwache oder anderweitig schlechte Passwörter zum Schutz ihrer Online-Konten verwenden.

Wörterbuchangriff

Obwohl ein Wörterbuchangriff die Kriterien für einen Brute-Force-Angriff nicht genau erfüllt, sind die beiden eng miteinander verwandt. Einfach ausgedrückt, ist ein Wörterbuch-Angriff eine Methode, bei der versucht wird, ein Passwort zu knacken, indem eine große Anzahl gängiger Wörter und deren Variationen ausprobiert werden. Dazu verwenden Hacker eine Software, die mit Hilfe von Wörterbuchdatenbanken Tausende von Vermutungen pro Sekunde durchführen kann, daher der Name des Angriffs. Im Laufe der Jahre hat die Popularität von Wörterbuchangriffen abgenommen, da neue Angriffsarten in den Vordergrund gerückt sind.

Hybrider Brute-Force-Angriff

Wie der Name schon sagt, kombiniert ein hybrider Brute-Force-Angriff einen Wörterbuchangriff mit einem Brute-Force-Angriff, um die Erfolgsaussichten zu erhöhen. Oft wird ein Hybrid-Angriff eingesetzt, wenn der Angreifer den Benutzernamen seiner Beute bereits kennt.

Ein Hybrid-Angriff zielt darauf ab, eine Vielzahl ungewöhnlicher Passwortkombinationen wie MonkeyBig123 auszuprobieren. In den meisten Fällen beginnt der Angreifer mit einer Liste von Wörtern und versucht dann, Zeichen auszutauschen und Sonderzeichen oder Zahlen hinzuzufügen, um möglichst viele Variationen der ursprünglichen Wörter zu erhalten.

Umgekehrter Brute-Force-Angriff

Ein umgekehrter Brute-Force-Angriff ist das genaue Gegenteil eines Hybrid-Angriffs. Bei einem umgekehrten Brute-Force-Angriff muss der Angreifer das Passwort schon vorher kennen und dann versuchen, den Benutzernamen zu erraten.

Angreifer, die im Besitz eines Passworts sind – das sie höchstwahrscheinlich aus geleakten Datenbanken erhalten haben – verwenden es, um die damit verbundenen Benutzernamen ausfindig zu machen und die beiden abzugleichen.

Credential Stuffing

Credential Stuffing ist die Art von Angriff, die Bösewichte durchführen, wenn sie bereits über eine Reihe von Benutzernamen und Passwörtern verfügen. Hacker können sich ganze Datenbanken mit gestohlenen Anmeldedaten beschaffen und dann versuchen, sie auf das Konto anzuwenden, auf das sie zuzugreifen versuchen. Diese Art von Angriff kann besonders verheerend sein, wenn der angegriffene Nutzer seine Passwörter für mehrere Konten wiederverwendet.

Rainbow-Table-Angriff

Ein Rainbow-Table-Angriff ist eine Methode zum Knacken von Passwörtern, bei der Rainbow-Tables verwendet werden, um die Passwort-Hashes in einer Datenbank zu knacken. Websites oder Apps speichern Passwörter nicht im Klartext, sondern verschlüsseln sie mit Hashes. Sobald das Passwort zum Einloggen verwendet wird, wird es sofort in einen Hash umgewandelt. Wenn sich der Nutzer das nächste Mal mit seinen Passwörtern anmeldet, prüft der Server, ob das Passwort mit dem zuvor erstellten Hash übereinstimmt. Wenn die beiden Hashes übereinstimmen, wird der Nutzer authentifiziert. Die Tabellen, in denen Passwort-Hashes gespeichert werden, nennt man Rainbow-Table.

In den meisten Fällen muss der Hacker, der einen Rainbow-Table-Angriff startet, den Rainbow-Table zur Verfügung haben. Dieser kann oft im Dark Web gekauft oder gestohlen werden. Während des Angriffs verwenden die Angreifer die Tabelle, um die Passwort-Hashes zu entschlüsseln und so Zugriff auf ein Klartextpasswort zu erhalten.

Was sind die Motive hinter Brute-Force-Angriffen?

Brute-Force-Angriffe sind normalerweise die erste Welle der Offensive. In den meisten Fällen dienen Brute-Force-Angriffe den Angreifern dazu, sich unerlaubten Zugriff auf ein Netzwerk zu verschaffen. Sobald sie den gewünschten Zugriff erlangt haben, setzen Hacker weitere Brute-Force-Angriffe ein, um ihre Privilegien innerhalb des Netzwerks zu erhöhen, damit sie mehr Schaden anrichten oder Zugang zu Servern und Datenbanken erhalten können.

Ist ein Brute-Force-Angriff illegal?

Ein Brute-Force-Angriff ist nur dann legal, wenn Sie die Sicherheit eines Systems mit der schriftlichen Zustimmung des Eigentümers aus ethischen Gründen testen.

In den meisten Fällen wird ein Brute-Force-Angriff verwendet, um Benutzerdaten zu stehlen und so unbefugten Zugriff auf Bankkonten, Abonnements, sensible Dateien usw. zu erhalten. Das macht ihn illegal.

Wie man einen Brute-Force-Angriff verhindert

Unternehmen und Einzelpersonen können sich auf verschiedene Weise vor Brute-Force-Angriffen schützen. Der springende Punkt bei Brute-Force-Angriffen ist die Zeit. Manche Angriffe können Wochen oder sogar Monate dauern, bis sie erfolgreich sind. Die meisten Strategien zur Abwehr eines Brute-Force-Angriffs beziehen sich daher auf die Zeit, die für einen erfolgreichen Angriff benötigt wird.

Verwenden Sie komplexe, einzigartige Passwörter

Komplexe Passwörter sind lang und enthalten eine Vielzahl von Sonderzeichen, Zahlen sowie Klein- und Großbuchstaben. Ein starkes, einzigartiges Passwort, das zum Schutz eines Zugriffs verwendet wird, kann Hunderte von Jahren brauchen, um geknackt zu werden. Es wird daher immer empfohlen, ein Passwort mit mindestens 12 Zeichen zu verwenden, das eine gesunde Mischung aus Zahlen und Sonderzeichen enthält.

Denken Sie auch daran, niemals Passwörter für mehrere Konten zu verwenden. Das erhöht die Gefahr, dass Ihre Konten gehackt werden. Stellen Sie sich die Wiederverwendung von Passwörtern so vor, als würden Sie einen einzigen Schlüssel verwenden, um alle Türen zu verschließen. Wenn Angreifer das Passwort in die Hände bekommen, das Sie zum Schutz mehrerer Konten verwenden, haben sie sofort Zugriff auf all Ihre Konten.

Eine der besten Möglichkeiten, starke und einzigartige Passwörter zu finden, ist die Verwendung eines Passwort-Generators, der darauf ausgelegt ist, bei Bedarf komplexe und schwer zu knackende Passwörter zu erstellen.

Richten Sie eine MFA ein, wann immer möglich

Die Multi-Faktor-Authentifizierung ist eine zusätzliche Sicherheitsebene, bei der die Identität der Nutzer in zusätzlichen Schritten überprüft wird. Heutzutage bieten die meisten Online-Dienste eine Möglichkeit, eine MFA einzurichten. In den meisten Fällen funktioniert die MFA über Authentifizierungs-Apps oder Textnachrichten. Wenn die MFA für Ihre Konten aktiviert ist, haben Angreifer keine Möglichkeit, einen zusätzlichen Authentifizierungsschritt zu umgehen, ohne direkten Zugang zu Ihren Geräten zu haben, selbst wenn sie Ihren Benutzernamen und Ihr Passwort herausfinden.

Vermeiden Sie die Nutzung von Diensten, die Ihre Daten nicht mit einer Verschlüsselung schützen

Verschlüsselung ist der Industriestandard, wenn es um den Schutz von Daten geht. Jeder seriöse Online-Dienstleister stellt sicher, dass Ihre Nutzerdaten, einschließlich Benutzernamen und Passwörter, verschlüsselt werden.

Wir hören jedoch oft davon, dass einige Online-Plattformen es sich leicht machen, keine angemessenen Sicherheitsmaßnahmen ergreifen und Passwörter und andere wertvolle Daten im Klartext speichern. Solche Sicherheitspraktiken sind ein Rezept für eine Katastrophe.

Bevor Sie sich also für einen neuen Online-Dienst anmelden, sollten Sie sich vergewissern, dass der Anbieter Verschlüsselung und andere Cybersicherheitsmaßnahmen einsetzt, um die Sicherheit der Kundendaten zu gewährleisten.

XChaCha20-Verschlüsselung

Einfach ausgedrückt ist Verschlüsselung eine Methode, um Daten so zu verschlüsseln, dass nur autorisierte Parteien die Informationen verstehen können. Verschlüsselungsalgorithmen nehmen lesbare Daten wie Passwörter und Benutzernamen und verändern sie so, dass sie zufällig erscheinen. Das Gute daran ist, dass verschlüsselte Daten, selbst wenn sie gestohlen werden, für einen Angreifer nutzlos sind, es sei denn, er hat einen kryptografischen Schlüssel, aber der ist nicht so leicht zu bekommen.

NordPass verwendet die moderne Technologie XChaCha20, was es zu einem der sichersten Passwort-Manager macht. XChaCha20 unterstützt auch den 256-Bit-Schlüssel, die stärkste derzeit verfügbare Verschlüsselung. Diese von Google und Cloudflare bevorzugte Verschlüsselungsstufe ist so fortschrittlich, dass ein Supercomputer Jahrhunderte brauchen würde, um sie zu knacken.

Tiefgreifendes Sicherheitssystem

Verschlüsselung ist nur ein Teil einer Sicherheitsstrategie. Deshalb ist es wichtig zu prüfen, wie alle Bestandteile zusammengemischt sind. Wenn ein eindrucksvoller Algorithmus wie XChaCha20 in einem hochverteidigenden System wie NordPass steckt, hat ein Angreifer keine Chance.

In Wirklichkeit ist es genau das, was NordPass von Produkten unterscheidet, die vertraute, oberflächliche Funktionen bieten. Es ist ein sehr komplexes Verteidigungssystem, das von innen nach außen aufgebaut ist.

NordPass-News abonnieren

Erhalten Sie aktuelle Nachrichten und Tipps von NordPass direkt in Ihrem Posteingang.