Mit einer Brute Force Attacke können sich Unbefugte Zugang zu verschlüsselten, passwortgeschützten Webseiten, Accounts und vielem mehr verschaffen. Anders als bei anderen Angriffen wird das Passwort von den Unbefugten durch “rohe Gewalt”, also durch das Ausprobieren von möglichen Passwörtern in Erfahrung gebracht. Gerade, wenn es um sensible Daten, wie beim Online Banking geht, müssen sich Nutzer auch vor Brute Force Attacken ausreichend schützen.
Definition der Brute Force Attacke
Bei der Brute Force Attacke versucht ein Computerprogramm oder – je nach Fall auch ein Mensch – das Passwort, das Zugang zu einem anderen Programm bietet, zu knacken. Um dies zu erreichen versucht die Software alle denkbaren Kombinationen von Buchstaben, Ziffern und Sonderzeichen zu simulieren, den Schlüssel also mit “roher Gewalt” zu finden. Bei der Brute Force Attacke handelt es sich um ein exhaustives Verfahren, weil alle möglichen Kombinationen erschöpfend ausprobiert werden. Die Brute Force Attacke wird daher auch als Exhaustionsmethode bezeichnet. Ziel einer Brute Force Attacke können alle verschlüsselten Passwörter, Dateien, Nachrichten und sonstige Informationen sein.
Verfügt ein Angreifer über einen sehr starken Einzelrechner kann dieser bis zu 2 Milliarden Schlüssel pro Sekunde generieren. Aber nicht nur Hacker, die sich unbefugten Zugang zu sensiblen Daten verschaffen wollen, nutzen Brute Force Attacken. Auch im Rahmen der Sicherheitsprüfung von IT-Netzwerken werden Brute Force Attacken durchgeführt, um Lücken zu identifizieren und das Security-Konzept zu optimieren.
Theoretisch gilt bereits das Erraten von Passwörtern durch einen menschlichen Nutzer als Brute Force Attacke. Wer ein logisches Passwort aus einer Kombination von Namen, Daten und anderen persönlichen Inhalten wählt, ermöglicht es einem anderen Menschen prinzipiell, dieses zu erraten. Um solche vermeidbaren Zugriffe zu verhindern, sind die Nutzer selbst in der Pflicht, ihre Passwörter und deren Komponenten sicher zu verwahren und niemandem mitzuteilen. Aber auch manche Schadprogramme gehen einen ähnlichen Weg, indem sie logisch erscheinende Kombinationen oder bereits bekannte Daten priorisiert kombinieren, um daraus den Schlüssel zu generieren.
Wie Brute Force Attacken ablaufen
Natürlich kann ein menschlicher Angreifer versuchen, im fraglichen Loginfeld alle möglichen Kombinationen einzugeben, um das Passwort zu erraten. Tatsächlich ermöglichen aber viele Portale solch ein Vorgehen nicht mehr, weil die Loginversuche limitiert werden oder nach einer anderweitigen Verifizierung überhaupt erst wieder zugänglich werden.
Für Brute Force Attacken werden überwiegend Schadprogramme genutzt, die in kürzester Zeit eine große Anzahl an möglichen Kombinationen generieren können. Bei der Schlüsselgenerierung wird dabei häufig auf Kombinationen zurückgegriffen, die aus Listen geladen werden. Hier versuchen Angreifer, die Zeit bis zum passenden Schlüssel zu verringern, indem sie beliebte und häufige Passwortkombinationen gleich zu Beginn des Angriffs ausprobieren.
Weil mit der steigenden Anzahl an kombinierbaren Zahlen, Ziffern und Zeichen auch die Rechendauer der Schadsoftware steigt, gelten längere Passwörter als sicherer. Angreifer benötigen wesentlich länger, um sich Zutritt zu verschaffen und laufen daher Gefahr, entdeckt zu werden. Je größer der sogenannte Schlüsselraum, desto höher ist der Zeit- und Kostenaufwand für den Angreifer, den passenden Schlüssel zu finden. Nutzt ein Programm nicht nur Groß-, sondern auch Kleinbuchstaben für die Passwortvergabe stehen bereits 52 Zeichen zur Verfügung, um ein einzigartiges Passwort zu generieren. Bei einer Passwortlänge von acht Zeichen ergibt dies eine Menge von 52^8 möglichen Kombinationen.
Auch schnelle Rechner sind mit dem Ausführen einer solchen Brute Force Attacke mehrere Stunden beschäftigt. Werden nicht nur Groß- und Kleinbuchstaben, sondern auch Ziffern zur Passwortgenerierung benutzt, erhöht sich die Menge der Zeichen auf 62, was wiederum hohe Rechenzeiten für Angreifer bedeutet. Je länger also das Passwort gewählt wird und je diverser es sich aus unterschiedlichen Zeichen zusammensetzt, desto sicherer ist es in der Theorie.
Auch, wenn Angreifer nicht nur eine leistungsfähige Software zur Generierung der möglichen Kombinationen, sondern auch einen ebenso leistungsfähigen Rechner benötigen, stellen Brute Force Attacken trotzdem eine Gefahr dar. Auch sorgfältig ausgewählte Passwörter können mit viel Zeit geknackt werden, denn bei Brute Force Attacken spielt auch der Zufall eine große Rolle. Für den Erfolg einer Brute Force Attacke muss die Schadsoftware mindestens die Hälfte aller möglichen Kombinationen ausprobieren, um zum Erfolg zu gelangen. Aber schließlich kann die erste vom Schadprogramm generierte Kombination bereits das gesuchte Passwort sein, auch, wenn dies bei langen Passwörtern äußerst unwahrscheinlich ist.
Hinzu kommt, dass mit der massiven Steigerung der Leistungsfähigkeit von Prozessoren und Rechensystemen prinzipiell eine höhere Anzahl an Angreifern auch die technischen Mittel in die Hand bekommt, um Brute Force Attacken auszuführen. Viele Verschlüsselungsalgorithmen müssen hier noch nachgerüstet werden, um auf diese neue Entwicklung adäquat reagieren zu können.
Login-Verzögerungen schützen gegen Brute Force Attacken
Im Prinzip ist kein Code vor einer Brute Force Attacke sicher, eine hohe Zeichenzahl für das Passwort stellt aber einen wesentlichen Sicherheitsfaktor da. Ist die Rechendauer zur Schlüsselgenerierung zu hoch, wird die Methode für den Angreifer unwirtschaftlich, da er entweder Jahre auf das Passwort warten muss oder während des Angriffs entdeckt wird. Tatsächlich wirkungsvollen Schutz gegen Brute Force Attacken bieten aber auch eingebaute Verzögerungen zwischen zwei falschen Passworteingaben. Auch die leistungsfähigen Rechner des Angreifers werden dadurch effizient ausgebremst.
