Brute-Force-Angriff

Was ist ein Brute-Force-Angriff?

Ein Brute-Force-Angriff ist eine Angriffsmethode bei der durch Ausprobieren (Trial and Error, Versuch und Irrtum) versucht wird, um verschlüsselte Daten wie Passwörter oder Schlüssel durch „rohe Gewalt“ zu entschlüsseln, anstatt intellektuelle Strategien anzuwenden.

So wie ein Krimineller einen Tresor knacken kann, indem er viele mögliche Kombinationen ausprobiert, werden bei einem Brute-Force-Angriff auf Anwendungen alle möglichen Kombinationen zugelassener Zeichen in einer Sequenz ausprobiert. Cyberkriminelle nutzen einen Brute-Force-Angriff in der Regel, um sich Zugang zu einer Website, einem Konto oder einem Netzwerk zu verschaffen. Anschließend können sie Malware installieren, Webanwendungen außer Betrieb setzen oder Datenverletzungen begehen.

Bei einem einfachen Brute-Force-Angriff werden in der Regel automatisierte Tools verwendet, um alle möglichen Kennwörter zu erraten, bis die richtige Eingabe gefunden ist. Dies ist eine alte, aber immer noch wirksame Angriffsmethode zum Knacken gängiger Passwörter. Wie lange ein Brute-Force-Angriff dauert, kann variieren. Ein Brute-Force-Angriff kann schwache Kennwörter in wenigen Sekunden knacken. Bei starken Kennwörtern kann es Stunden oder Tage dauern. Unternehmen können komplexe Passwortkombinationen verwenden, um die Angriffszeit zu verlängern und so Zeit zu gewinnen, um auf den Cyberangriff zu reagieren und ihn zu vereiteln.

Was sind die verschiedenen Arten von Brute-Force-Angriffen?

Es gibt verschiedene Arten von Brute-Force-Angriffen, zum Beispiel die folgenden:

• Credential Stuffing tritt auf, nachdem ein Benutzerkonto kompromittiert wurde und der Angreifer die Kombination aus Benutzernamen und Kennwort auf mehreren Systemen ausprobiert hat.
• Ein Reverse-Brute-Force-Angriff beginnt damit, dass der Angreifer ein allgemeines Kennwort - oder ein bereits bekanntes Kennwort - gegen mehrere Benutzernamen oder verschlüsselte Dateien verwendet, um Zugang zum Netzwerk und zu Daten zu erhalten. Der Angreifer folgt dann demselben Algorithmus wie bei einem typischen Brute-Force-Angriff, um den richtigen Benutzernamen zu finden.
• Ein Wörterbuchangriff ist eine andere Art von Brute-Force-Angriff, bei dem alle Wörter in einem Wörterbuch getestet werden, um ein Passwort zu ermitteln. Angreifer können Wörter mit Zahlen, Zeichen und mehr ergänzen, um längere Passwörter zu knacken.

Weitere Formen von Brute-Force-Angriffen können versuchen, die am häufigsten verwendeten Kennwörter wie „password“, „12345678“ - oder eine beliebige Zahlenfolge wie diese - und „qwertz“ zu verwenden, bevor andere Kennwörter ausprobiert werden.

Wie kann man sich am besten vor Brute-Force-Angriffen schützen?

Gängige Methoden, um sich besser vor Brute-Force-Angriffen zu schützen, umfassen folgende Maßnahmen:

Das Erhöhen der Passwortkomplexität und der -länge: Dadurch wird der Prozess des Erratens eines Passworts erheblich länger dauern. Einige Websites verlangen beispielsweise nach Kennwörtern mit mindestens acht Zeichen, mit mindestens einem Buchstaben und einem Sonderzeichen. Viele Lösungen zeigen inzwischen für den Benutzer ersichtlich an, wie gut sich beispielsweise ein längeres Passwort mit 20 Zeichen auf die Sicherheit auswirken kann. Zudem wird es dem Benutzer meist nicht erlaubt, seinen Namen, seine Benutzerkennung oder seine ID innerhalb des Passwortes einzugeben.

Login-Versuche reglementieren: Das Hinzufügen von Login-Versuchen sperrt einen Benutzer für eine bestimmte Zeitspanne, die eine bestimmte Anzahl von Versuchen bei der Eingabe von Passwörtern/Benutzernamen überschreitet.

Der Einsatz von Captchas: Üblicherweise wird bei Captcha ein Kasten angezeigt, in dem ein verzerrter Text dargestellt wird, den ein Benutzer daraufhin erkennen und in ein Eingabefeld eingeben soll. Dies soll verhindern, dass Bots die automatisierte Skripte ausführen, wie es bei Brute-Force-Angriffen üblich ist. Für den Menschen soll die Hürde dennoch passierbar sein. Nicht nur aus Gründen der Barrierefreiheit existieren hier unterschiedliche Ausprägungen, etwa auch per Audiodateien oder Bilderzuordnung, womit der Anwender unter Beweis stellen soll, dass er kein Bot ist.

Zwei-Faktor-Authentifizierung oder Multifaktor-Authentifizierung verwenden: Hierbei wird der primären Form der Authentifizierung eine Sicherheitsebene hinzugefügt. Über einen zweiten Authentifizierungsfaktor wird beispielsweise bei 2FA (Zwei-Faktor-Authentifizierung) die Identität des Anwenders überprüft. Das kann beispielsweise das Smartphone des Anwenders sein, oder eine entsprechende App, die darauf läuft und ein OTP (One Time Password, Einmalpasswort) generiert. Es existieren mannigfaltige Ansätze, das Smartphone als zweiten Faktor einzusetzen.

Keine Frage, Angreifer sind stets findig darin, Verteidigungsmaßnahmen auszutricksen. Aber die Anwendung aller genannten Maßnahmen, oder besser eine Kombination aus verschiedenen Optionen, macht die Hürde ungleich höher und den Schutz widerstandsfähiger.