Bedrohungslage

Brute Force Attacken: Trivialer und brutaler Passwortklau

1. November 2022 von Marek Röhner

Brute Force Angriffe
©wattanapon - Adobe Stock

5
(3)

Brute Force Angriffe gehören bei Hackern zu den beliebtesten, weil effektivsten, Methoden, um an Passwörter oder Schlüssel zu gelangen. Denn binnen Sekunden kann es Cyberkriminellen mit dieser Angriffsmethode gelingen, sich Ihre Daten anzueignen. Vor allem beim Thema Passwörtern hapert es bei vielen Nutzenden noch in puncto Sicherheit. Was Brute Force genau ist, wie eine Brute-Force-Attacke funktioniert und wie Sie sich schützen können, erfahren Sie in unserem heutigen Blogbeitrag.

 

Attacke mit roher Gewalt

Bereits der Name dieser Hacking-Masche – Brute Force – lässt erahnen, dass hier nicht etwa Cleverness und Subtilität der Cyberkriminellen im Vordergrund stehen, sondern rohe Gewalt. Denn nichts anderes bedeutet brute force ins Deutsche übersetzt. Und mit „roher Gewalt“ (brute force) versuchen Hacker Passwörter oder Schlüssel herauszufinden.

Betroffen sind Unternehmen wie Privatpersonen gleichermaßen. Den Kriminellen geht es häufig nicht bloß darum, Ihre persönlichen und sensiblen Daten zu stehlen – also zum Beispiel Finanzdaten, Identitäten und Betriebsgeheimnisse – oder um Bestellungen in Ihrem Namen durchzuführen. Ein gehacktes E-Mail-Konto eignet sich beispielsweise dazu, Nachrichten mit infizierten Anhängen oder Links zu gefälschten Websites zu versenden. Dringen Hacker mit einem geknackten Passwort in Ihr Netzwerk ein, könnten sie dort Daten löschen, Daten verschlüsseln und deren Freigabe gegen Lösegeld erpressen oder Server lahmlegen.

Methode des Kombinierens und Ausprobierens

Für Brute Force-Angriffe werden wahllos unzählige Kombinationen möglicher Buchstabenfolgen oder Zeichenketten computergestützt ausprobiert, bis irgendwann zufällig eine Kombination passt. In einigen Fällen nutzt die Brute-Force-Methode als Ergänzung auch Wörterbücher. Diese Vorgehensweise, bei der jedes Wort in einer Wörterliste systematisch durchprobiert wird, wird als Dictionary Attack bezeichnet. Weil viele Menschen bekannte Wörter als Passwörter verwenden, erhöht diese Vorgehensweise die Erfolgschancen des Angriffs und verringert gleichzeitig den Zeitaufwand für das Probieren von zufälligen Zeichenfolgen.

Tatsächlich benutzen Hacker automatisierte Tools, darunter John the Ripper, Medusa, Brutus, Rainbow oder Aircrack-ng, die Passwörter, die aus einem Wort bestehen, welches man auch im Duden oder in einem Fachlexikon finden würde, innerhalb von ein bis zwei Sekunden geknackt haben.

Geknackt in 2 Sekunden

Und um es gleich zu sagen: Theoretisch kann jedes Passwort durch ausprobieren geknackt werden, jedoch spielt die Zeit hier eine große Rolle. Die Entwicklung moderner Rechner und Computerchips hat Brute Force Angriffe mittlerweile sehr effektiv gemacht. Denn je höher die Rechnerleistung, desto schneller können viele Kombinationen in immer kürzerer Zeit berechnet werden.

Ein hochmoderner Rechner schafft es sekündlich, bis zu 2 Billionen mögliche Passwörter zu erstellen – und zwar so lange, bis das richtige gefunden ist. Ein Rechner mit guter Rechenleistung kann pro Sekunde immerhin gut 170 Millionen verschiedene Passwörter erstellen und durchprobieren. Und so dauert es nicht einmal 2 Sekunden und beliebte Passwörter wie „schatz“ oder „123456“ – beide rangieren unter den Top 10 der deutschen Passwörter 2021 – sind mit einer Brute Force Attacke geknackt. Hingegen würde es bei gleicher Passwortlänge, aber einer Kombination aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen immerhin schon 1 Stunde und 48 Minuten dauern, bis das Passwort geknackt wäre.

Sie sehen: Mit steigender Komplexität Ihres Passworts benötigen Angreifende deutlich mehr Zeit. Bereits für ein Passwort mit einer Länge von acht Zeichen und einer Kombination aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen würde ein Computer mehr als 1 Jahr und 2 Monate rechnen, bis er es geknackt hätte. Zum Vergleich: Für ein gleichlanges Passwort, das aber nur aus Kleinbuchstaben bestehen, bräuchte der Computer nur etwa 20 Minuten.

Auf den Hashwert kommt es an

Passwörter werden in Systemen in der Regel nicht in Klartext, sondern als Hashwerte gespeichert. Hashwerte lassen sich nicht rückwärts berechnen – nicht einmal ein Computer könnte aus einem Hashwert das Passwort zurück berechnen. Also ermitteln Computerprogramme so lange die zu den zufällig ausgewählten Passwörtern gehörigen Hashwerte, bis ein Hashwert mit dem hinterlegten Hashwert übereinstimmt. Dabei kommen auch Listen mit Hashwerten von häufig verwendeten Passwörtern zum Einsatz. Diese Listen werden als Rainbow Tables bezeichnet.

Auch Verschlüsselungen lassen sich (theoretisch) knacken

Grundsätzlich können mit der Brute-Force-Methode auch verschlüsselte Daten geknackt werden. Wie bei einem Passwort probiert ein Computer so lange zufällig gewählte Schlüssel, bis er einen Treffer gefunden hat. Und ähnlich wie bei der Passwortlänge und Komplexität ist auch die Schlüssellänge entscheidend für die Erfolgschancen: Moderne Verschlüsselungsalgorithmen verwenden Schlüssellängen von 256 Bit. Und je mehr Bits eine Verschlüsselung hat, desto höher ist der Rechenaufwand in puncto Zeit und Kosten. Konkret reden wir bei dieser Schlüssellänge und der heute verfügbaren Rechenleistung von mehreren Tausend Jahren, bis die richtige Kombination gefunden wäre.

Erschweren Sie Brute Force Attacken und erstellen Sie sichere Passwörter

Mit diesem Wissen können Sie es sich nun sicher schon selbst denken, dass Brute Force Attacken zu verhindern, gar nicht so schwierig ist: Die Erfolgsaussichten von Brute Force Attacken verringern sich mit starken Passwörtern. Während die ersten drei Tipps von Jedermann angewandt werden können, sind die weiteren Schutzmöglichkeiten vor allem für Administratoren und IT-Verantwortliche relevant.

Komplexität
Nutzen Sie komplexe Passwörter mit einer Zeichenkombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. So stehen Ihnen 95 mögliche Zeichen zur Verfügung (26 Kleinbuchstaben, 26 Großbuchstaben, 10 Ziffern, 33 Sonderzeichen).

Länge
Ihr Passwort sollte zudem mindestens eine Länge von 10 Zeichen haben. Denn das wären 171,3 Trillionen Kombinationsmöglichkeiten. Selbst ein Computer mit hoher Rechenleistung, der in der Lage ist, rund 10 Milliarden Passwörter pro Sekunde durchzuprobieren, würde mehr als 500 Jahre benötigen, um das Passwort zu knacken.

Es hat sich bewährt, Passwörter aus Sätzen zu generieren, sodass sie leichter zu merken sind. Ein Beispiel: Aus „Ich arbeite in der Flemingstraße 20 in 36041 Fulda im 2. Stock“ wird das Passwort „IaidF20i36041Fi2.S“ – unmöglich, es in den nächsten tausend Jahren zu knacken.

Separates Passwort für jeden Login
Versehen Sie jeden Login zu Internetseiten, Nutzerkonten oder technischen Geräten mit einem separaten Passwort.

Login-Versuche begrenzen
Begrenzen Sie die Anzahl der möglichen Login-Fehlversuche. Eine Zwangspause von mehreren Minuten nach dreimaliger Falscheingabe des Passworts verschafft Ihnen nicht nur Zeit, sondern führt idealerweise dazu, dass sich Hacker leichteren Zielen zuwenden.

Weiteren Authentifizierungsfaktor ergänzen
Wählen Sie idealerweise mindestens einen zweiten Faktor, um Logins weiter abzusichern. Selbst wenn Cyberkriminelle an das Passwort gelangen, so schützt eine weiterer Faktor Ihre Daten. Dieser zweite Faktor kann beispielsweise ein Einmal-Kennwort sein, welches dem sicheren Passwort angehängt wird.

IP-Adressen blockieren
Wer eine Website oder einen Blog betreibt, kann zusätzlich temporäre oder permanente Blockaden für IP-Adressen einrichten. Beispielsweise wäre eine Login-Seite nur für bestimmte IP-Adressen freigeschaltet und der Zugriff für fremde IP-Adressen gesperrt.

„Salzen“ Sie Hashes
Durch das Anhängen einer zufälligen Zeichenfolge aus Buchstaben und Ziffern („Salt“) an das Passwort wird die Zufälligkeit der Passwort-Hashes sichergestellt. Diese Zeichenfolge wird in einer separaten Datenbank gespeichert, vor dem Hashen abgerufen und an das Passwort angehängt.

Finger weg von Sicherheits-Tests im Internet
Zugegeben, die Versuchung ist groß, zu testen, ob das frisch erstellte Passwort einer Brute-Force-Attacke standhalten würde. Hüten Sie sich jedoch vor Checks im Internet: Oft sammeln die dort zur Verfügung gestellten Tools nur Passwörter. Deren Betreiber nutzen sie dann entweder selbst für Brute Force Angriffe oder verkaufen sie im Darknet weiter.

Fazit zu Brute Force Angriffen

Dass theoretisch jedes Passwort durch Ausprobieren geknackt werden kann, sollte Sie nicht weiter erschrecken. Denn es liegt in Ihrer Hand, die Erfolgsaussichten für Brute Force Attacken zu schmälern. Setzen Sie auf lange und komplexe Passwörter oder lange Schlüssel, auf die Begrenzung von Login-Versuchen und mindestens einen weiteren Authentifizierungsfaktor und Ihr Passwort ist mindestens für die nächsten hundert Jahre sicher.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 3



0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu