Brute Force Attacke

Brute Force Attack

Copyright ┬ę Shutterstock / Andrey_Popov

Was ist eine Brute Force Attacke?

Mit einer Brute Force Attacke k├Ânnen sich Unbefugte Zugang zu verschl├╝sselten, passwortgesch├╝tzten Webseiten, Accounts und vielem mehr verschaffen. Anders als bei anderen Angriffen wird das Passwort von den Unbefugten durch “rohe Gewalt”, also durch das Ausprobieren von m├Âglichen Passw├Ârtern in Erfahrung gebracht. Gerade, wenn es um sensible Daten, wie beim Online Banking geht, m├╝ssen sich Nutzer auch vor Brute Force Attacken ausreichend sch├╝tzen.

Definition der Brute Force Attacke

Bei der Brute Force Attacke versucht ein Computerprogramm oder ÔÇô┬áje nach Fall auch ein Mensch ÔÇô┬ádas Passwort, das Zugang zu einem anderen Programm bietet, zu knacken. Um dies zu erreichen versucht die Software alle denkbaren Kombinationen von Buchstaben, Ziffern und Sonderzeichen zu simulieren, den Schl├╝ssel also mit “roher Gewalt” zu finden. Bei der Brute Force Attacke handelt es sich um ein exhaustives Verfahren, weil alle m├Âglichen Kombinationen ersch├Âpfend ausprobiert werden. Die Brute Force Attacke wird daher auch als Exhaustionsmethode bezeichnet. Ziel einer Brute Force Attacke k├Ânnen alle verschl├╝sselten Passw├Ârter, Dateien, Nachrichten und sonstige Informationen sein.

Verf├╝gt ein Angreifer ├╝ber einen sehr starken Einzelrechner kann dieser bis zu 2 Milliarden Schl├╝ssel pro Sekunde generieren. Aber nicht nur Hacker, die sich unbefugten Zugang zu sensiblen Daten verschaffen wollen, nutzen Brute Force Attacken. Auch im Rahmen der Sicherheitspr├╝fung von IT-Netzwerken werden Brute Force Attacken durchgef├╝hrt, um L├╝cken zu identifizieren und das Security-Konzept zu optimieren.
Theoretisch gilt bereits das Erraten von Passw├Ârtern durch einen menschlichen Nutzer als Brute Force Attacke. Wer ein logisches Passwort aus einer Kombination von Namen, Daten und anderen pers├Ânlichen Inhalten w├Ąhlt, erm├Âglicht es einem anderen Menschen prinzipiell, dieses zu erraten. Um solche vermeidbaren Zugriffe zu verhindern, sind die Nutzer selbst in der Pflicht, ihre Passw├Ârter und deren Komponenten sicher zu verwahren und niemandem mitzuteilen. Aber auch manche Schadprogramme gehen einen ├Ąhnlichen Weg, indem sie logisch erscheinende Kombinationen oder bereits bekannte Daten priorisiert kombinieren, um daraus den Schl├╝ssel zu generieren.

Wie Brute Force Attacken ablaufen

Nat├╝rlich kann ein menschlicher Angreifer versuchen, im fraglichen Loginfeld alle m├Âglichen Kombinationen einzugeben, um das Passwort zu erraten. Tats├Ąchlich erm├Âglichen aber viele Portale solch ein Vorgehen nicht mehr, weil die Loginversuche limitiert werden oder nach einer anderweitigen Verifizierung ├╝berhaupt erst wieder zug├Ąnglich werden. F├╝r Brute Force Attacken werden ├╝berwiegend Schadprogramme genutzt, die in k├╝rzester Zeit eine gro├če Anzahl an m├Âglichen Kombinationen generieren k├Ânnen. Bei der Schl├╝sselgenerierung wird dabei h├Ąufig auf Kombinationen zur├╝ckgegriffen, die aus Listen geladen werden. Hier versuchen Angreifer, die Zeit bis zum passenden Schl├╝ssel zu verringern, indem sie beliebte und h├Ąufige Passwortkombinationen gleich zu Beginn des Angriffs ausprobieren.

Weil mit der steigenden Anzahl an kombinierbaren Zahlen, Ziffern und Zeichen auch die Rechendauer der Schadsoftware steigt, gelten l├Ąngere Passw├Ârter als sicherer. Angreifer ben├Âtigen wesentlich l├Ąnger, um sich Zutritt zu verschaffen und laufen daher Gefahr, entdeckt zu werden. Je gr├Â├čer der sogenannte Schl├╝sselraum, desto h├Âher ist der Zeit- und Kostenaufwand f├╝r den Angreifer, den passenden Schl├╝ssel zu finden. Nutzt ein Programm nicht nur Gro├č-, sondern auch Kleinbuchstaben f├╝r die Passwortvergabe stehen bereits 52 Zeichen zur Verf├╝gung, um ein einzigartiges Passwort zu generieren. Bei einer Passwortl├Ąnge von acht Zeichen ergibt dies eine Menge von 52^8 m├Âglichen Kombinationen.
Auch schnelle Rechner sind mit dem Ausf├╝hren einer solchen Brute Force Attacke mehrere Stunden besch├Ąftigt. Werden nicht nur Gro├č- und Kleinbuchstaben, sondern auch Ziffern zur Passwortgenerierung benutzt, erh├Âht sich die Menge der Zeichen auf 62, was wiederum hohe Rechenzeiten f├╝r Angreifer bedeutet. Je l├Ąnger also das Passwort gew├Ąhlt wird und je diverser es sich aus unterschiedlichen Zeichen zusammensetzt, desto sicherer ist es in der Theorie.
Auch, wenn Angreifer nicht nur eine leistungsf├Ąhige Software zur Generierung der m├Âglichen Kombinationen, sondern auch einen ebenso leistungsf├Ąhigen Rechner ben├Âtigen, stellen Brute Force Attacken trotzdem eine Gefahr dar. Auch sorgf├Ąltig ausgew├Ąhlte Passw├Ârter k├Ânnen mit viel Zeit geknackt werden, denn bei Brute Force Attacken spielt auch der Zufall eine gro├če Rolle. F├╝r den Erfolg einer Brute Force Attacke muss die Schadsoftware mindestens die H├Ąlfte aller m├Âglichen Kombinationen ausprobieren, um zum Erfolg zu gelangen. Aber schlie├člich kann die erste vom Schadprogramm generierte Kombination bereits das gesuchte Passwort sein, auch, wenn dies bei langen Passw├Ârtern ├Ąu├čerst unwahrscheinlich ist.
Hinzu kommt, dass mit der massiven Steigerung der Leistungsf├Ąhigkeit von Prozessoren und Rechensystemen prinzipiell eine h├Âhere Anzahl an Angreifern auch die technischen Mittel in die Hand bekommt, um Brute Force Attacken auszuf├╝hren. Viele Verschl├╝sselungsalgorithmen m├╝ssen hier noch nachger├╝stet werden, um auf diese neue Entwicklung ad├Ąquat reagieren zu k├Ânnen.

Login-Verz├Âgerungen sch├╝tzen gegen Brute Force Attacken

Im Prinzip ist kein Code vor einer Brute Force Attacke sicher, eine hohe Zeichenzahl f├╝r das Passwort stellt aber einen wesentlichen Sicherheitsfaktor da. Ist die Rechendauer zur Schl├╝sselgenerierung zu hoch, wird die Methode f├╝r den Angreifer unwirtschaftlich, da er entweder Jahre auf das Passwort warten muss oder w├Ąhrend des Angriffs entdeckt wird. Tats├Ąchlich wirkungsvollen Schutz gegen Brute Force Attacken bieten aber auch eingebaute Verz├Âgerungen zwischen zwei falschen Passworteingaben. Auch die leistungsf├Ąhigen Rechner des Angreifers werden dadurch effizient ausgebremst.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte