beebright - stock.adobe.com
Das Risiko Brute-Force-Angriffe und wie man sie abwehrt
Angriffe erfolgen häufig über die klassischen Anmeldedaten von Anwendern. Dabei spielen Brute-Force-Attacken eine Rolle, deren Chancen sich mit einigen Maßnahmen minimieren lässt.
Der jüngste Bericht zur Lage der IT-Sicherheit in Deutschland 2022 verhieß nichts Gutes: So hoch wie nie sei die Gefährdungslage im Cyberraum, warnte Bundesinnenministerin Nancy Faseser. Laut dem BSI wird sich dieser Negativtrend auch 2023 fortsetzen. Ein Grund dafür ist sicherlich die starke Entwicklung hin zu dezentralen Arbeitsmodellen. Allerdings bleibt der Mensch die Achillesferse der Unternehmenssicherheit. Und die Passworthygiene spielt hierbei – immer noch – eine tragende Rolle.
So sehr sich die Bedrohungslage auch zuspitzen mag: Viele Mitarbeiter gehen erschreckend sorglos mit ihren persönlichen Zugangsdaten um. Einer Studie von Ping Identity zufolge, verwendet fast die Hälfte der Befragten schwache Passwörter, 31 Prozent ändern ihr altes Passwort nur leicht ab, während zwölf Prozent das Passwort eines anderen Accounts wiederverwenden.
Das Problem: Binnen Sekunden kann es Cyberkriminellen gelingen, sich die persönlichen Daten ihrer Opfer anzueignen. Und zwar im wahrsten Sinne des Wortes mit „roher Gewalt“: Bei Brute-Force-Attacken probieren die Angreifer wahllos unzählige Kombinationen an Buchstaben, Zahlen und Sonderzeichen aus, computergestützt versteht sich, bis sie das Passwort geknackt haben.
Allerdings geht es den Angreifern dabei nicht nur um das Stehlen von Finanzdaten, Identitäten oder unternehmenskritischer Informationen. Die kompromittierten Konten dienen ihnen auch dazu, Malware zu verbreiten, Daten zu manipulieren oder zu verschlüsseln und Lösegeld zu erpressen. Eine weitere Gefahr sind Seitwärtsbewegungen: Gelingt es den Angreifern beispielsweise, die Kontrolle über ein privilegiertes Konto zu erlangen, könnten sie sich frei im Netzwerk bewegen und ganze Systeme lahmlegen.
Wer meint, diese Hackermethode sei zu umständlich oder zeitaufwendig, um von Erfolg gekrönt zu sein, der irrt gewaltig. Tatsächlich sind rund 80 Prozent der heutigen Sicherheitsverletzungen auf Brute-Force-Angriffe oder auf die Verwendung verlorener beziehungsweise gestohlener Anmeldedaten zurückzuführen. Teilweise bedienen sich die Cyberkriminellen auch einer Wörterliste, die systematisch durchgegangen wird.
Bots gehen diese einfachen Kombinationen in kürzester Zeit durch. Die Methode nennt sich Dictionary Attack (Wörterbuchangriff) und sie erhöht die Erfolgschancen zusätzlich. Grund dafür ist einmal mehr die Passwortmüdigkeit vieler Mitarbeiter, die bekannte Wörter statt komplexer Gebilde aus Wörtern, Zahlen und Sonderzeichen verwenden. Bedeutet: Brute Force-Attacken sind zwar eine große Gefahr – diese zu verhindern, ist jedoch gar nicht so schwer.
Das sind die fünf Arten von Brute-Force-Angriffen
Es gibt mehrere verschiedene Arten von Brute-Force-Angriffen, die alle darauf abzielen, sich unbefugten Zugang zu Online-Ressourcen zu verschaffen:
1. Simple Brute-Force-Angriffe
Hier versuchen Cyberkriminelle, das Passwort eines Nutzers selbst zu erraten, ohne dafür eine Software einzusetzen. Diese Angriffe sind insbesondere dann erfolgreich, wenn sich Nutzer mit schwachen, leicht zu dechiffrierenden Passwörtern, wie „Passwort“, „12345“ oder „qwertz“ begnügen.
2. Dictionary Attacks
Hierbei handelt es sich um die einfachste Form eines Brute-Force-Angriffs: Der Hacker testet so viele Kombinationen wie möglich und bedient sich dabei eines Wörterbuchs.
3. Hybride Brute-Force-Angriffe
Bei dieser Angriffsstrategie wird häufig eine Kombination aus einfachen Brute-Force-Angriffen und Wörterbuchangriff verwendet. Hacker setzen einfach zu erratende Wörter und Phrasen ein und verbinden diese mit einer logischen Abfolge an Buchstaben und Zeichen, um ein Konto zu knacken.
4. Umgekehrte Brute-Force-Angriffe
Im Fall der umgekehrten oder Reverse Brute Force Attacks kennt der Angreifer bereits ein bestehendes Kennwort. Er bewegt sich dann in umgekehrter Richtung weiter, indem er Millionen von Benutzernamen mit diesem Kennwort testet, um einen passenden Satz von Anmeldedaten zu finden. In vielen Fällen werden bei dieser Methode Passwörter verwendet, die aus einem früheren, erfolgreichen Hack stammen und online leicht zugänglich sind.
5. Credential Stuffing
Credential Stuffing, auch bekannt als Credential Recycling, ist eine weitere Version der Brute-Force-Angriffe, bei denen der Angreifer Kombinationen von Benutzernamen und Passwörtern testet, die aus dem Dark Web oder anderen Websites gestohlen wurden. Diese Technik eignet sich für Angriffe auf Nutzer, die ihre Anmeldedaten für mehrere Online-Konten verwenden.
„Die beste Waffe im Kampf gegen Brute Force-Angriffe ist jedoch zweifellos die passwortlose Authentifizierung. Sie verringert Reibungsverluste und gleicht Sicherheitsrisiken aus.“
Yalcin Dincer, Ping Identity
Das Risiko von Brute-Force-Angriffen minimieren
Die einfachste, wenn auch schwächste Waffe im Kampf gegen Brute-Force-Attacken sind starke Passwörter, die nur schwer zu erraten sind. Hier empfehlt sich der Einsatz von Passwörtern mit einer Länge von mindestens 15 Zeichen. Dabei ist es wichtig, auf Kombinationen aus Zahlen, Symbolen sowie Groß- und Kleinbuchstaben zu achten und diese Kennwörter nicht für mehrere Websites zu verwenden. Passwortmanager, die automatisch sichere Kennwörter generieren, vereinfachen den Prozess und bieten zusätzliche Sicherheit.
Zusätzlich sollten Unternehmen Passwörter im Backend durch folgende Maßnahmen schützen:
- Einsatz höchster Verschlüsselungsraten, wie 256-Bit-Verschlüsselung für Passwörter, bevor sie gespeichert werden.
- Passwörter vor dem Hashing mit Salts versehen: Beim Salting wird den Passwörtern eine zufällig erzeugte Zeichenfolge hinzugefügt, bevor sie über eine Hashfunktion zu einem Hashwert verwandelt werden.
- Einschränken der Anmeldeversuche, sodass Hackern bereits nach wenigen falsch eingegebenen Kombinationen aus Nutzername und Passwort der Zugang verwehrt wird.
- Die Verwendung von CAPTCHA kann verhindern, dass einschlägige Software, die Brute Force-Angriffe unterstützt, in der Lage ist, ein Kästchen anzukreuzen oder auszuwählen, welche Bilder ein bestimmtes Objekt enthalten, sodass die manuelle Überprüfung der Legitimität scheitert.
Weitaus wirksamer als die Verwendung und Absicherung komplexer Passwörter ist der Einsatz der Multifaktor-Authentifizierung (MFA), die Sicherheitsverletzungen durch Brute Force-Angriffe verhindert, indem eine zusätzliche Sicherheitsebene hinzugefügt wird.
Die Faktoren, die für die Authentifizierung des Nutzers verwendet werden, müssen aus mindestens zwei von drei Kategorien stammen: Die Passwörter, PINS oder Muster, die normalerweise den ersten Authentifizierungsfaktor bilden, sind wissensbasiert und können aus Fragen wie „Wie lautet der Mädchenname Ihrer Mutter?“ bestehen. Ein zweiter Authentifizierungsfaktor überprüft, ob der Nutzer im Besitz einer bestimmten Sache ist. Ein Beispiel hierfür sind Push-Benachrichtigungen. Der dritte Faktor fällt in die Kategorie der Biometrie. Zu den gängigsten Verifizierungsmethoden zählen Fingerabdruckscan und Gesichtserkennung.
Die beste Waffe im Kampf gegen Brute Force-Angriffe ist jedoch zweifellos die passwortlose Authentifizierung. Sie verringert Reibungsverluste und gleicht Sicherheitsrisiken aus, indem die mit Kenndaten verbundenen Probleme in punkto Benutzerfreundlichkeit entweder minimiert oder ganz beseitigt werden.
Während die Multi-Faktor-Authentifizierung die Identität eines Nutzers durch zusätzliche Authentifizierungsschritte verifiziert, gewährt die passwortlose Authentifizierung den Zugriff auf Ressourcen durch andere Faktoren, wie E-Mail-Push-Benachrichtigungen, E-Mail-OTPs (Einmalpasswörter), QR-Codes, FIDO-Sicherheitsschlüssel oder biometrische Faktoren. So beseitigt die passwortlose Authentifizierung die Fallstricke der Brute Force-Angriffe, welche mit den Login-Daten verbunden sind.
Über den Autor:
Yalcin Dincer ist Senior Account Executive bei Ping Identity.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.