Ein Brute-Force-Angriff probiert Millionen von Benutzernamen und Passwörtern pro Sekunde für ein Konto aus, bis er fündig wird. Das ist das Wesentliche daran. Doch obwohl diese Angriffe sehr einfach sind, sind sie allzu oft erfolgreich.
Heute werden wir das Fachchinesisch durchbrechen und erklären, was ein Brute-Force-Angriff ist, wie er funktioniert, ob er legal ist und wie er mit aktuellen Sicherheitssystemen mithalten kann.
Wie funktioniert ein Brute-Force-Angriff?
Brute-Force-Angriffe sind in technischer Hinsicht einfach und bringen den Angreifern oft große Erfolge. Bösewichte nutzen Brute-Force-Angriffe, um auf Online-Konten zuzugreifen.
Hacker bevorzugen diese Art des Angriffs, da sie nur wenig Aufwand betreiben müssen, da der Computer die Arbeit erledigt. Die Arbeit besteht darin, schnell den Benutzernamen und das Passwort des Kontos zu erraten, auf das sie unberechtigten Zugriff erlangen wollen. Bei einem Brute-Force-Angriff arbeitet ein Computerprogramm brutal und probiert unendlich viele Kombinationen von Benutzernamen und Passwörtern aus, bis es eine passende findet.
Wie schnell ist ein Brute-Force-Angriff?
Die Geschwindigkeit, mit der dein Passwort geknackt wird, ist abhängig von:
Der Stärke deines Passworts.
Der Leistung des Computers des Kriminellen.
Hier ist ein kurzer Leitfaden zu beiden
Geschwindigkeit abhängig von der Passwortstärke:
Computerprogramme, die für Brute-Force-Angriffe eingesetzt werden, können zwischen 10.000 und 1 Milliarde Passwörter pro Sekunde überprüfen.
Auf einer Standardtastatur gibt es 94 Zahlen, Buchstaben und Symbole. Insgesamt können sie etwa zweihundert Milliarden 8-stellige Passwörter erzeugen.
Je länger und zufälliger ein Passwort ist, desto schwieriger ist es zu knacken. Ein 9-Zeichen-Passwort, das ein Sonderzeichen enthält, benötigt etwa 2 Stunden, um geknackt zu werden; eines ohne Sonderzeichen dauert nur 2 Minuten!
Im Vergleich dazu würde es Jahrhunderte dauern, ein Passwort mit 12 unterschiedlichen Zeichen zu knacken.
Die wichtigsten Erkenntnisse
Ein einfaches Passwort, das nur aus Kleinbuchstaben besteht, ergibt viel weniger Kombinationen als ein Passwort mit einer Mischung aus zufälligen Zeichen - etwa 300 Millionen, um genau zu sein. Deshalb brauchen Computer nicht viel Aufwand, um ein einfaches Passwort zu erraten – 8,5 Stunden auf einem Pentium 100 und unmittelbar auf einem Supercomputer.
(Ein Pentium 100 kann 10.000 Passwörter pro Sekunde ausprobieren. Ein Supercomputer kann 1.000.000.000 pro Sekunde ausprobieren). Überdenke dein Passwort also besser noch einmal.
Arten von Brute-Force-Angriffen
Brute-Force-Angriffe gibt es in vielen verschiedenen Arten und Formen. Im Folgenden sind die häufigsten Brute-Force-Angriffe aufgeführt, die von Hackern genutzt werden, um sich unbefugten Zugang zu Online-Konten zu verschaffen.
Einfacher Brute-Force-Angriff
Der einfache Brute-Force-Angriff ist, wie der Name schon sagt, die einfachste aller Arten. Bei einem solchen Angriff versucht der Angreifer, das Passwort des Nutzers manuell zu erraten, ohne Software-Tools zu verwenden. Der Angreifer verlässt sich darauf, gängige, schwache Passwörter wie 123456, qwerty, password und password123 auszuprobieren. Leider kann der einfache Brute-Force-Angriff ziemlich effektiv sein, denn wir haben immer wieder festgestellt, dass viele Menschen weiterhin schwache oder anderweitig schlechte Passwörter zum Schutz ihrer Online-Konten verwenden.
Wörterbuchangriff
Obwohl ein wörterbuchangriff nicht unbedingt die Kriterien für einen Brute-Force-Angriff erfüllt, sind die beiden eng miteinander verwandt. Einfach ausgedrückt, ist ein Wörterbuch-Angriff eine Methode, bei der versucht wird, ein Passwort zu knacken, indem eine große Anzahl gängiger Wörter und deren Variationen ausprobiert werden. Dazu verwenden Hacker eine Software, die mit Hilfe von Wörterbuchdatenbanken Tausende von Vermutungen pro Sekunde durchführen kann, daher der Name des Angriffs. Im Laufe der Jahre hat die Popularität von Wörterbuch-Angriffen abgenommen, da neue Angriffsarten in den Vordergrund gerückt sind.
Hybrider Brute-Force-Angriff
Wie der Name schon sagt, kombiniert ein hybrider Brute-Force-Angriff einen Wörterbuch-Angriff mit einem Brute-Force-Angriff, um die Erfolgsaussichten zu erhöhen. Oft wird ein Hybrid-Angriff eingesetzt, wenn der Angreifer den Benutzernamen seiner Beute bereits kennt.
Ein hybrider Angriff zielt darauf ab, eine Vielzahl ungewöhnlicher Passwortkombinationen wie MonkeyBig123 auszuprobieren. In den meisten Fällen beginnt der Angreifer mit einer Liste von Wörtern und versucht dann, Zeichen auszutauschen und Sonderzeichen oder Zahlen hinzuzufügen, um möglichst viele Variationen der ursprünglichen Wörter zu erhalten.
Umgekehrter Brute-Force-Angriff
Ein umgekehrter Brute-Force-Angriff ist das genaue Gegenteil eines hybriden Angriffs. Bei einem umgekehrten Brute-Force-Angriff muss der Angreifer das Passwort schon vorher kennen und dann versuchen, den Benutzernamen zu erraten.
Angreifer, die im Besitz eines Passworts sind – das sie höchstwahrscheinlich aus geleakten Datenbanken erhalten haben – verwenden es, um die damit verbundenen Benutzernamen ausfindig zu machen und die beiden abzugleichen.
Credential Stuffing
Credential Stuffing ist der Angriffstyp, den Bösewichte durchführen, wenn sie bereits eine Reihe von Benutzernamen und Passwörtern zur Verfügung haben. Hacker können sich ganze Datenbanken mit gestohlenen Anmeldedaten beschaffen und dann versuchen, sie auf das Konto anzuwenden, auf das sie zuzugreifen versuchen. Diese Art von Angriff kann besonders verheerend sein, wenn der angegriffene Nutzer seine Passwörter für mehrere Konten wiederverwendet.
Rainbow-Table-Angriff
Ein Rainbow-Table-Angriff ist eine Methode zum Knacken von Passwörtern, bei der Rainbow-Tables verwendet werden, um die Passwort-Hashes in einer Datenbank zu knacken. Webseiten oder Apps speichern Passwörter nicht im Klartext, sondern verschlüsseln sie mit Hashes. Sobald das Passwort zum Einloggen verwendet wird, wird es sofort in einen Hash umgewandelt. Wenn sich der Nutzer das nächste Mal mit seinen Passwörtern anmeldet, prüft der Server, ob das Passwort mit dem zuvor erstellten Hash übereinstimmt. Wenn die beiden Hashes übereinstimmen, wird der Nutzer authentifiziert. Die Tabellen, in denen Passwort-Hashes gespeichert werden, nennt man Rainbow-Table.
In den meisten Fällen muss der Hacker, der einen Rainbow-Table-Angriff startet, den Rainbow-Table zur Verfügung haben. Diese kann oft im Dark Web gekauft oder gestohlen werden. Während des Angriffs verwenden die Angreifer die Tabelle, um die Passwort-Hashes zu entschlüsseln und so Zugang zu einem Klartextpasswort zu erhalten.
Was sind die Motive hinter Brute-Force-Angriffen?
Brute-Force-Angriffe sind normalerweise die erste Welle der Offensive. In den meisten Fällen dienen Brute-Force-Angriffe den Angreifern dazu, sich einen unerlaubten Zugang zu einem Netzwerk zu verschaffen. Sobald sie den gewünschten Zugang erlangt haben, setzen Hacker weitere Brute-Force-Angriffe ein, um ihre Privilegien innerhalb des Netzwerks zu erhöhen, damit sie mehr Schaden anrichten oder Zugang zu Servern und Datenbanken erhalten können.
Ist ein Brute-Force-Angriff illegal?
Ein Brute-Force-Angriff ist nur dann legal, wenn du die Sicherheit eines Systems mit der schriftlichen Zustimmung des Eigentümers aus ethischen Gründen testest.
In den meisten Fällen wird ein Brute-Force-Angriff verwendet, um Benutzerdaten zu stehlen und so unbefugten Zugang zu Bankkonten, Abonnements, sensiblen Dateien und so weiter zu erhalten. Das macht es illegal.
Wie man einen Brute-Force-Angriff verhindert
Unternehmen und Einzelpersonen können sich auf verschiedene Weise vor Brute-Force-Angriffen schützen. Der springende Punkt bei Brute-Force-Angriffen ist die Zeit. Manche Angriffe können Wochen oder sogar Monate dauern, bis sie erfolgreich sind. Die meisten Strategien zur Abwehr eines Brute-Force-Angriffs beziehen sich daher auf die Zeit, die für einen erfolgreichen Angriff benötigt wird.
Verwende komplexe, einzigartige Passwörter
Komplexe Passwörter sind lang und enthalten eine Vielzahl von Sonderzeichen, Zahlen sowie Klein- und Großbuchstaben. Ein starkes, einzigartiges Passwort, das zum Schutz eines Zugangspunkts verwendet wird, kann Hunderte von Jahren brauchen, um geknackt zu werden. Es wird daher immer empfohlen, ein Passwort mit mindestens 12 Zeichen zu verwenden, das eine gesunde Mischung aus Zahlen und Sonderzeichen enthält.
Denke auch daran, niemals Passwörter für mehrere Konten zu verwenden. Das erhöht die Gefahr, dass deine Konten gehackt werden. Stell dir die Wiederverwendung von Passwörtern so vor, als würdest du einen einzigen Schlüssel verwenden, um alle Türen zu verschließen. Wenn Angreifer das Passwort in die Hände bekommen, das du zum Schutz mehrerer Konten verwendest, haben sie sofort Zugang zu all deinen Konten.
Eine der besten Methoden, um starke und einzigartige Passwörter zu erstellen, ist die Verwendung eines Passwort-Generator, der bei Bedarf komplexe und schwer zu knackende Passwörter erstellt.
Richte MFA ein, wann immer möglich
Die Multi-Faktor-Authentifizierung ist eine zusätzliche Sicherheitsebene, bei der die Identität der Nutzer in zusätzlichen Schritten überprüft wird. Heutzutage bieten die meisten Online-Dienste eine Möglichkeit, MFA einzurichten. In den meisten Fällen funktioniert die MFA über Authentifizierungs-Apps oder Textnachrichten. Wenn die MFA für deine Konten aktiviert ist, haben Angreifer keine Möglichkeit, einen zusätzlichen Authentifizierungsschritt zu umgehen, ohne direkten Zugang zu deinen Geräten zu haben, selbst wenn sie deinen Benutzernamen und dein Passwort herausfinden.
Vermeide die Nutzung von Diensten, die deine Daten nicht mit einer Verschlüsselung schützen
Verschlüsselung ist der Industriestandard, wenn es um den Schutz von Daten geht. Jeder seriöse Online-Dienstleister stellt sicher, dass deine Nutzerdaten, einschließlich Benutzernamen und Passwörter, verschlüsselt werden.
Wir hören jedoch oft davon, dass einige Online-Plattformen es sich leicht machen, keine angemessenen Sicherheitsmaßnahmen ergreifen und Passwörter und andere wertvolle Daten im Klartext speichern. Solche Sicherheitspraktiken sind ein Rezept für eine Katastrophe.
Bevor du dich also für einen neuen Online-Dienst anmeldest, solltest du dich vergewissern, dass der Anbieter Verschlüsselung und andere Cybersicherheitsmaßnahmen einsetzt, um die Sicherheit der Kundendaten zu gewährleisten.
XChaCha20-Verschlüsselung
Einfach ausgedrückt ist Verschlüsselung eine Methode, um Daten so zu verschlüsseln, dass nur autorisierte Parteien die Informationen verstehen können. Verschlüsselungsalgorithmen nehmen lesbare Daten wie Passwörter und Benutzernamen und verändern sie so, dass sie zufällig erscheinen. Das Gute daran ist, dass verschlüsselte Daten, selbst wenn sie gestohlen werden, für einen Angreifer nutzlos sind, es sei denn, er hat einen kryptografischen Schlüssel, aber der ist nicht so leicht zu bekommen.
NordPass verwendet modernste XChaCha20, was es zu einem der sichersten Passwort-Manager macht. XChaCha20 unterstützt auch den 256-Bit-Schlüssel, die stärkste derzeit verfügbare Verschlüsselung. Diese von Google und Cloudflare bevorzugte Verschlüsselungsstufe ist so fortschrittlich, dass ein Supercomputer Jahrhunderte brauchen würde, um sie zu knacken.
Tiefgreifendes Sicherheitssystem
Verschlüsselung ist nur ein Teil einer Sicherheitsstrategie. Deshalb ist es wichtig zu prüfen, wie alle Bestandteile zusammengemischt sind. Wenn ein eindrucksvoller Algorithmus wie XChaCha20 in einem hochverteidigenden System wie NordPass steckt, hat ein Angreifer keine Chance.
In Wirklichkeit ist es genau das, was NordPass von Produkten unterscheidet, die vertraute, oberflächliche Funktionen bieten. Es ist ein sehr komplexes Verteidigungssystem, das von innen nach außen aufgebaut ist.