Brute-Force-Angriffe

Ein Passwort, bestehend aus 8 Kleinbuchstaben (26 Möglichkeiten pro Buchstabe), hat 208.827.064.576 mögliche Kombinationen (etwa 200 Milliarden). Wie lange würde ein moderner Rechner, deiner Einschätzung nach, brauchen, um alle Passwortvarianten zu testen, und das Passwort zu knacken?

$\to$ Die erschreckende Antwort ist: ungefähr anderthalb Minuten.

Solche Cyberattacken, bei denen einfach "durchprobiert" wird, werden als Brute-Force-Angriffe bezeichnet.

Aber was genau sind Brute-Force-Angriffe und wie funktionieren sie? Welche Methoden gibt es, um sich vor diesen Angriffen zu schützen?

Brute-Force-Angriffe einfach erklärt

Ein Brute-Force-Angriff ist eine Methode, bei der ein Angreifer alle möglichen Kombinationen von Zeichen, Zahlen und Symbolen in einem Passwort ausprobiert, um das tatsächliche Passwort zu ermitteln. Hierbei steigt der Aufwand exponentiell mit der Anzahl der Zeichen des Passworts.

Aufgrund der schnellen Rechenleistung moderner Computer werden Brute-Force-Angriffe immer effektiver. Aus diesem Grund ist es wichtig, lange und sichere Passwörter zu verwenden (nicht drei Buchstaben, wie es noch in einem nicht näher benannten Unternehmen üblich ist), damit du dich vor diesen Angriffen schützen kannst.

Ein Brute-Force-Angriff ist eine Technik, bei der ein Computerprogramm alle möglichen Zeichenkombinationen eines Passwortsystems durchprobiert, um das tatsächliche Passwort zu ermitteln. Deswegen spricht man auch von der „Methode der rohen Gewalt“.

Der geneigte Leser kann hier sein Wissen verfeinern, indem er auf den Pfeil klickt und dort tiefergehende Informationen zu diesem Thema findet. Da euch das auch privat passieren kann, würde ich empfehlen, diese paar Minuten Extra-Lesezeit zu investieren.

Arten von Brute-Force-Angriffen

Einfache Angriffe

Einfache Brute-Force-Angriffe sind Angriffsmethoden, bei denen Hacker Passwörter erraten, indem sie systematisch Kombinationen aus Wörtern, Buchstaben und Zeichen durchprobieren. Diese Technik kann sowohl manuell als auch durch Bots durchgeführt werden. Einfache Brute-Force-Angriffe sind jedoch nicht erfolgreich gegen längere und komplexere Passwörter.

$\to$ Trotzdem bleibt einfache Brute-Force eine Gefahr, da viele Nutzer einfache Passwörter wählen.

Wörterbuchangriffe

Wörterbuchangriffe sind eine Form von Brute-Force-Angriffen, die auf komplexere Passwörter abzielen. Diese Angriffe unterscheiden sich von einfachen Brute-Force-Angriffen durch das Verwenden einer vordefinierten Liste von Wörtern, Namen, Daten und häufig verwendeten Passwörtern. Der Angreifer durchsucht die Liste und versucht jeden Eintrag als Passwort, bis er eine Übereinstimmung findet.

Im Vergleich zu einfachen Brute-Force-Angriffen sind Wörterbuchangriffe wirksamer, da sie häufig verwendete Wörter und Namen in ihre Überprüfung einbeziehen und somit die Möglichkeit haben, leicht erratbare Passwörter zu knacken. Da viele Benutzer einfache Passwörter aus Wörtern oder Namen verwenden, sind Wörterbuchangriffe eine wirksame Methode für Angreifer, Zugang zu geschützten Systemen zu erlangen.

Hybride Angriffe

Hybride Brute-Force-Angriffe sind eine Kombination aus einfachen Brute-Force-Angriffen und Wörterbuchangriffen. Hierbei versucht der Angreifer, das Passwort durch systematisches Durchprobieren von Kombinationen aus Wörtern, Buchstaben und Zeichen zu erraten. Die Methode kombiniert jedoch auch die Verwendung einer vordefinierten Liste von Namen, Daten und anderen häufig verwendeten Passwortkomponenten.

$\to$ Diese Kombination erhöht die Wahrscheinlichkeit, das korrekte Passwort zu erraten, da sie sowohl einfache, häufig verwendete Passwörter als auch komplexere Passwörter abdeckt.

Umgekehrte Angriffe

Umgekehrte Brute-Force-Angriffe sind eine spezielle Form der Brute-Force-Angriffe, bei denen der Angreifer das Ziel hat, den Benutzernamen anstelle des Passworts zu ermitteln. Hierbei wird mit einem bekannten oder häufig verwendeten Passwort begonnen und mittels Brute-Force-Methoden versucht, den zugehörigen Benutzernamen zu finden. Diese Art von Angriff wird häufig durch Datenlecks im Internet ausgelöst, bei denen kompromittierte Passwörter öffentlich gemacht werden.

Credential Stuffing

Credential Stuffing ist ein Brute-Force-Angriff, bei dem ein Hacker gestohlene Benutzernamen und Passwörter nutzt, um zu versuchen, sich mit diesen Anmeldedaten auf verschiedenen Webseiten einzuloggen. Diese Daten werden häufig aus Datenlecks von Unternehmen und Webseiten gewonnen und im Dark Web verkauft.

Wenn ein Benutzer dasselbe Passwort oder denselben Benutzernamen auf mehreren Webseiten verwendet, kann ein kompromittiertes Konto zu einem Sicherheitsrisiko für alle anderen Konten werden, da der Hacker mit den gleichen Anmeldeinformationen auf diesen Konten Zugang erhält.

Brute-Force-Angriffe verhindern

Es gibt verschiedene Methoden, um Brute-Force-Angriffe zu verhindern:

Starkes Passwort

Wenn du dich vor Brute-Force-Angriffen schützen möchtest, ist es wichtig, sichere Passwörter zu verwenden. Ein sicheres Passwort ist ein Passwort, das schwer zu erraten ist und aus einer Kombination von Buchstaben, Zahlen und Sonderzeichen besteht. Es sollte mindestens 12 Zeichen lang sein und nicht aus Informationen bestehen, die leicht öffentlich verfügbar sind, wie deinem Namen, Geburtsdatum oder Adresse. Verwende für jeden Online-Account ein einzigartiges Passwort und vermeide es, dieselben Passwörter auf mehreren Websites zu verwenden.

Wenn es dir schwerfällt verschiedene Passwörter zu merken, kannst du einen Passwort-Manager verwenden, der diese für dich sicher speichert und automatisch einträgt, wenn du dich auf einer Webseite anmelden möchtest. Auf diese Weise musst du dir nur noch ein Master-Passwort merken und der Passwort-Manager kümmert sich um den Rest.

gesalzenes Kennwort - Salt hinzufügen

Salting ist eine Technik, um Brute-Force-Angriffe zu erschweren. Hierbei wird ein zufälliger Wert, der sogenannte Salt, zum Passwort hinzugefügt, bevor es verschlüsselt wird. Diese Kombination aus Salt und Passwort wird dann gespeichert. Jedes Mal, wenn das Passwort benötigt wird, zum Beispiel bei der Anmeldung, wird der Salt zum Passwort hinzugefügt und die Kombination verglichen.

Wenn Dein Kennwort schlichter lautet und angenommen, die Eurobaustoff-Seite unterstützt salting, und würde zu deinem Kennwort als Salt deine Eurobaustoff-Mitgliedsnummer zufügen, sagen wir 1031, dann würde dabei folgendes rauskommen:

schlichter1031 --> wird verschlüsselt und als 58cccb8a5fa6fbaf8c7cf5b4bc14e5af2b50f064 in der Datenbank gespeichert.

Dies macht es für Hacker schwieriger, Passwörter mit Brute-Force-Methoden zu erraten, da sie nicht nur das Passwort kennen müssen, sondern auch den Salt, der für jeden Benutzer unterschiedlich ist.

Das bedeutet, wenn ein anderer Kollege auch das Kennwort schlichter verwendet aber seine Mitgliedsnummer (und damit sein Salt) 1421 ist, sieht sein verschlüsselter Datenbankeintrag so aus 1eec242af939bb26caf6399fbc5359ab80874075

Diese zusätzliche Schicht an Sicherheit erhöht den Aufwand für Hacker und macht es so unwahrscheinlicher, dass sie erfolgreich sein werden.

Das Salting wird in der Regel von Webseiten selbst implementiert und ohne euer Zutun geregelt.

Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung (2FA) ist eine Methode der Überprüfung eines Benutzerkontos, bei der neben dem Passwort ein zusätzliches Sicherheitselement, wie zum Beispiel ein SMS-Code oder ein Token, verwendet wird. Das kennt ihr ja schon von eurem Microsoft-Konto

Bei einer zweistufigen Authentifizierung muss ein Benutzer nicht nur sein Passwort eingeben, sondern auch eine zusätzliche Überprüfung ausführen, um auf das Konto zuzugreifen. Dies kann beispielsweise durch die Verwendung einer App wie Google Authenticator oder durch die Eingabe eines SMS-Codes erfolgen, der an das Mobiltelefon des Benutzers gesendet wird.

Die zweistufige Authentifizierung bietet eine höhere Sicherheit, da es für einen Hacker schwieriger ist, sowohl das Passwort als auch den zusätzlichen Überprüfungscode zu erraten oder zu stehlen. Daher ist es eine empfohlene Maßnahme, um deine Konten vor Hackerangriffen zu schützen.

Limitierung der Anmeldeversuche und CAPTCHAs

Die Limitierung der Anmeldeversuche bezieht sich darauf, die Anzahl der erlaubten Anmeldeversuche innerhalb eines bestimmten Zeitintervalls zu begrenzen. Das kennt so ziemlich jeder von uns: drei mal das falsche Kennwort und das Konto ist erstmal zu. Das ist zwar häufig nervig hilft aber dabei, Brute-Force-Angriffe zu verhindern, indem sie einem Angreifer die Möglichkeit nehmen, automatisierte Passwortberechnungen durchzuführen.

Eine andere Möglichkeit automatisierte Brute-Force-Angriffe zu verhindern sind CAPTCHAs. Diese stellen komplexe Aufgaben dar, die von einem menschlichen Benutzer gelöst werden können, aber für Computerprogramme viel schwieriger zu lösen sind. Somit kann man vor der Anmeldung herausfinden, ob es sich tatsächlich um einen Menschen handelt. Das kennt ihr als die nervigen Wimmelbilder, bei denen mal Autos, Boote oder Hydranten anklicken soll.

GAAAANZ Mathematisch!!!!

Damit ihr euch die Wichtigkeit KOMPLEXERER Kennwörter noch mal bildlich vor Augen führen könnt, ein paar Rechenbeispiele:

Nehmen wir an, jemand im Unternehmen hätte nur ein dreistelliges Kennwort, ausschließlich mit kleinen Buchstaben, dann ergibt das:

26³Kombinationsmöglichkeiten also 26x26x26. das ergibt 15.576 Kombinationsmöglichkeiten.

Erscheint erstmal viel, aber der selbst der billigste Werbegeschenktaschenrechner, den ihr in den Tiefen euerer Schränke und Rollwagen finden könnt, würde maximal etwas 4-5 Stunden brauchen um das Kennwort zu knacken. Jeder PC (selbst die lansamsten in unserem Betrieb) oder auch SmartPhones brauchen dafür nichtmal eine Sekunde.

Jetzt nehmen wir einfach mal Zahlen hinzu, bleiben aber dreistelling: Also (26+10)³, was dann schon 238.328 Kombinationen sind. Macht schon was her, oder? Für einen PC immer noch nix. Ein zehn Jahre alter Standard-PC macht das in zweieinhalb Sekunden.

Hauen wir jetzt mal einen raus. 8 Zeichen, Zahlen, Buchstaben, Groß- und Kleinschreibung und ein Sonderzeichen. Das ergibt 6.095.689.385.410.816 (fast 6,1 Billiarden) Kombinationsmöglichkeiten. Ein aktueller HighEnd-Gaming-PC würde dafür schon 1-2 Tage brauchen.

Jetzt drehen wir mal ganz durch und folgen den Empfehlungen des BSI: 12 Stellen, Zahlen, Buchstaben in Groß- und Kleinschreibung und Sonderzeichen (beliebig viele an beliebiger Stelle) ergibt: 475.920.314.814.253.376.475.136 also etwa 475 Sextillionen mögliche Kombinationen!

Das macht ein solches Passwort extrem sicher – mit Brute-Force ist es praktisch unmöglich, dieses in absehbarer Zeit zu knacken.

Android

Arbeitsspeicher

ASCII

Betriebssystem

Binärsystem

Bit und Byte

Bitwarden

Brute-Force-Angriffe

Computer

CPU

CD-ROM

Daten und Dateien

Desktop

Disketten

DVD

Datenschutz-Grundverordnung (DSGVO)

Endgerät

Festplatte

Fork

GAEB

Grafikkarte

Hardware und Software

iOS

Linux

Lastschriftverfahren

Notebook und Laptop

Programm

Phishing-(Mails)

RAM

selfhosted

Schichtmodell

SSD

SD-Karte

Tablet

Tower

Unix

USB-Stick

USB

Vaultwarden

Verzeichnis

Wechselmedien

Der Kunde

Kernarbeitszeit

Brute-Force-Angriffe

Brute-Force-Angriffe einfach erklärt

Brute-Force-Angriffe verhindern

GAAAANZ Mathematisch!!!!

No Comments