Wir als Nutzer vertrauen darauf, dass Unternehmen und Dienstleister unsere Daten sicher aufbewahren. Wir hoffen, dass sie keine Hintertüren in ihrer Software hinterlassen, ihre Mitarbeiter angemessen schulen und Benutzernamen und Passwörter nicht als Klartext speichern.
Aber es ist nicht alles so einfach, wie es vielleicht scheint. Cybersecurity-Angriffe können jeden treffen, und oft ist es schwierig, dich oder dein Unternehmen zu schützen. Aber bestimmte Angriffe, wie z. B. Wörterbuch-Angriffe, lassen sich leicht verhindern.
Erfahre, was ein Wörterbuch-Angriff ist und was du tun kannst, um ihn zu verhindern.
Was ist ein Wörterbuch-Angriff?
Ein Wörterbuchangriff ist eine systematische Methode, ein Passwort zu erraten, indem viele gebräuchliche Wörter und einfache Variationen davon ausprobiert werden. Die Angreifer verwenden umfangreiche Listen mit am häufigsten verwendeten Passwörtern, beliebten Kosenamen, fiktiven Figuren oder buchstäblich nur Wörter aus einem Wörterbuch – daher der Name des Angriffs. Sie ändern zudem einige Buchstaben in Zahlen oder Sonderzeichen, wie “p@ssw0rd”.
Hacker nutzen diesen Angriff, um sich Zugang zu Online-Konten zu verschaffen, aber auch um Dateien zu entschlüsseln – und das ist ein noch größeres Problem. Die meisten Menschen geben sich zumindest etwas Mühe, ihre E-Mail- oder Social-Media-Konten zu schützen. Sie wählen jedoch einfache, leicht zu merkende Wörter aus dem Alltag, um die Dateien zu schützen, die sie mit anderen Personen teilen. Wenn sie über eine unsichere Verbindung verschickt werden, können diese Dateien sehr leicht abgefangen werden, und das Passwort mit einem Wörterbuchangriff zu erraten, wäre auch keine Herausforderung.
Wie funktioniert ein Wörterbuch-Angriff?
Bei einem Wörterbuch-Angriff gibt ein Programm systematisch Wörter aus einer Liste als Passwörter ein, um Zugriff auf ein System, ein Konto oder eine verschlüsselte Datei zu erhalten. Ein Wörterbuch-Angriff kann sowohl online als auch offline durchgeführt werden.
Bei einem Online-Angriff versucht der Angreifer wiederholt, sich einzuloggen oder sich Zugang zu verschaffen wie jeder andere Benutzer. Diese Art von Angriff funktioniert besser, wenn der Hacker eine Liste mit möglichen Passwörtern hat. Wenn der Angriff zu lange dauert, könnte er von einem Systemadministrator oder dem ursprünglichen Benutzer bemerkt werden.
Bei einem Offline-Angriff gibt es jedoch keine Netzwerkbeschränkungen dafür, wie oft du das Passwort erraten kannst. Dazu müssen die Hacker die Passwortdatei des Systems, auf das sie zugreifen wollen, in die Hände bekommen, es ist also komplizierter als ein Online-Angriff. Aber sobald sie das richtige Passwort haben, können sie sich unbemerkt einloggen.
Was ist der Unterschied zwischen einem Brute-Force-Angriff und einem Wörterbuch-Angriff?
Brute-Force-Angriffe werden auch zum Erraten von Passwörtern verwendet. Sie verlassen sich meist auf die Rechenleistung des Computers des Angreifers. Bei einem Brute-Force-Angriff gibt ein Programm auch automatisch Kombinationen aus Buchstaben, Symbolen und Zahlen ein, allerdings sind sie in diesem Fall völlig zufällig. Brute-Force-Angriffe können sowohl online als auch offline stattfinden.
Allerdings gibt es in der englischen Sprache 1.022.000 Wörter. Wenn du das Alphabet und die Zahlen 0-9 verwendest, kannst du 218.340.105.584.896 Passwörter mit acht Zeichen erstellen. In diesem Fall ist es viel wahrscheinlicher, dass ein Wörterbuch-Angriff erfolgreich ist, da das Passwort ein einfaches englisches Wort ist. Höchstwahrscheinlich ist es auch ein einfaches englisches Wort. Ein einfacher Brute-Force-Angriff würde viel mehr Zeit in Anspruch nehmen und wäre weniger wahrscheinlich erfolgreich.
Wörterbuch-Angriffe sind von Natur aus Brute-Force-Angriffe. Der einzige Unterschied ist, dass Wörterbuch-Angriffe effizienter sind – sie müssen normalerweise nicht so viele Kombinationen ausprobieren, um erfolgreich zu sein. Wenn das Passwort jedoch wirklich einzigartig ist, funktioniert ein Wörterbuch-Angriff nicht. In diesem Fall ist die Brute-Force-Methode die einzige Möglichkeit.
Wie vermeide ich einen Passwort-Wörterbuch-Angriff?
Die IT-Abteilung eines jeden Unternehmens sollte einige Vorkehrungen treffen, um ihre Systeme vor Wörterbuch-Angriffen zu schützen. Online-Angriffe sind relativ einfach zu stoppen. Du kannst Captchas verwenden, eine obligatorische Zwei-Faktor-Authentifizierung einführen und begrenzen, wie oft ein Nutzer versuchen kann, sich anzumelden, bevor sein Konto gesperrt wird.
Es ist allerdings etwas komplizierter, wenn es um Offline-Angriffe geht. Du kannst aber auch eine Zwei-Faktor-Authentifizierung verwenden und strenge Regeln für Passwörter aufstellen: keine beliebten Passwörter, keine gebräuchlichen Wörter oder Phrasen, mindestens 12 Zeichen, usw. Und vor allem solltest du darauf achten, dass du deine Passwörter nicht im Klartext speicherst.
Aber was kannst du als Nutzer tun, um zu verhindern, dass deine Konten gehackt werden? Das Wichtigste ist, dass du nicht berechenbar bist. Die besten Passwörter sind Wörter, die für die Allgemeinheit keine Bedeutung haben. Denke daran, dass die Länge des Passworts nicht ausschlaggebend für seine Stärke ist. Es ist egal, ob du “pachycephalosaurus” oder „cat“ als Passwort wählst; ein Computer braucht genauso lange, um beide auszuprobieren.
Bilde also neue Wörter, verwende Sonderzeichen oder – am besten – verwende zufällige Aneinanderreihungen von Groß- und Kleinbuchstaben, Symbolen und Zahlen.
Hast du Probleme, dir neue Passwörter auszudenken? Probiere unseren Passwort-Generator. Du kannst dir aussuchen, welche Symbole du verwenden willst und einzigartige, sichere Passwörter für alle deine Konten erstellen. Ja, man kann sie sich nicht merken, aber man kann sie auch nicht erraten. Und zu deinem Glück musst du dir nicht mehr alle deine Passwörter merken.
Verwende einfach einen Passwort-Manager, wie NordPass, um alle deine Passwörter sicher zu speichern. Nur du hast Zugang darauf. So kannst du sicher sein, dass deine Online-Konten sicher sind.