Definition

Brute-Force-Methode

Ein Brute-Force-Angriff ist eine Angriffsmethode bei der durch Ausprobieren (Trial and Error, Versuch und Irrtum) versucht wird, um verschlüsselte Daten wie Passwörter oder Schlüssel durch „rohe Gewalt“ zu entschlüsseln, anstatt intellektuelle Strategien anzuwenden. Ebenso wie ein Einbrecher in einen Tresor einbrechen könnte oder einen Tresor „knacken“ könnte, in dem er viele mögliche Kombinationen ausprobiert, funktioniert ein Brute-Force-Angriff. Ein hierfür eingesetztes Programm durchlauf nacheinander alle möglichen Zeichenkombinationen.

Fortsetzung des Inhalts unten

So kann sich ein Angreifer mit einem Brute-Force-Angriff Zugang zu einer Website oder einem Benutzerkonto verschaffen, um dann dort Daten zu stehlen oder weiteren unredlichen Aktivitäten nachzugehen. Angriffe mit der Brute-Force-Methode können je nach angegriffenem System durchaus erfolgsversprechend sind, aber auch zeitaufwendig sein können.

Wie Brute-Force-Angriffe funktionieren

Bei Brute-Force-Attacken kommen in der Regel automatisierte Tools zum Einsatz, um verschiedene Kombinationen aus Benutzernamen und Passwort zu erraten, bis die richtige Eingabe gefunden ist. Vereinfacht gesagt, dauert es in der Regel umso länger die richtige Eingabe zu finden, je länger das Passwort ist.

Es gibt durchaus verschiedene Arten von Brute-Force-Angriffen. Zum Beispiel ist das Credential Recycling eine Form von Brute-Force-Attacke, bei der Benutzernamen und Passwörter aus früheren Angriffen verwendet werden. Bei Reverse-Brute-Force-Angriffen ist dem Angreifer das Kennwort bekannt, nicht aber der Benutzername. Der Hacker folgt dann dem gleichen Muster wie bei einem normalen Brute-Force-Angriff, um den richtigen Benutzernamen zu finden.

Ein Wörterbuchangriff ist eine weitere Variation einer Brute-Force-Attacke. Hierbei werden alle Wörter eines vorgegebenen Wörterbuchs verwendet, um das passende Kennwort zu finden. Bei Wörterbuchangriffen können Wörter auch mit Zahlen oder Sonderzeichen ergänzt werden. Weitere Formen von Brute-Force-Angriffen setzen auf das Ausprobieren häufig verwendeter Passwörter, wie etwa „Passwort“, „12345678“, „qwerty“ und eine weitere große Anzahl bekannter Zeichenkombinationen.

Wie man sich vor Brute-Force-Attacken schützen kann

Gängige Methoden, um sich besser vor Brute-Force-Angriffen zu schützen, umfassen folgende Maßnahmen:

Das Erhöhen der Passwortkomplexität und der -länge: Dadurch wird der Prozess des Erratens eines Passworts erheblich länger dauern. Einige Websites verlangen beispielsweise nach Kennwörtern mit mindestens acht Zeichen, mit mindestens einem Buchstaben und einem Sonderzeichen. Viele Lösungen zeigen inzwischen für den Benutzer ersichtlich an, wie gut sich beispielsweise ein längeres Passwort mit 16 Zeichen auf die Sicherheit auswirken kann. Zudem wird es dem Benutzer meist nicht erlaubt, seinen Namen, seine Benutzerkennung oder seine ID innerhalb des Passwortes einzugeben.

Login-Versuche reglementieren: Das Hinzufügen von Login-Versuchen sperrt einen Benutzer für eine bestimmte Zeitspanne, die eine bestimmte Anzahl von Versuchen bei der Eingabe von Passwörtern/Benutzernamen überschreitet.

Der Einsatz von Captchas: Üblicherweise wird bei Captcha ein Kasten angezeigt, in dem ein verzerrter Text dargestellt wird, den ein Benutzer daraufhin erkennen und in ein Eingabefeld eingeben soll. Dies soll verhindern, dass Bots die automatisierte Skripte ausführen, wie es bei Brute-Force-Angriffen üblich ist. Für den Menschen soll die Hürde dennoch passierbar sein. Nicht nur aus Gründen der Barrierefreiheit existieren hier unterschiedliche Ausprägungen, etwa auch per Audiodateien oder Bilderzuordnung, womit der Anwender unter Beweis stellen soll, dass er kein Bot ist.

Zwei-Faktor-Authentifzierung oder Multifaktor-Authentifizierung verwenden: Hierbei wird der primären Form der Authentifizierung eine Sicherheitsebene hinzugefügt. Über einen zweiten Authentifizierungsfaktor wird beispielsweise bei 2FA (Zwei-Faktor-Authentifizieurng) die Identität des Anwenders überprüft. Das kann beispielsweise das Smartphone des Anwenders sein, oder eine entsprechende App, die darauf läuft und ein OTP (One Time Password, Einmalpasswort) generiert. Es existieren mannigfaltige Ansätze, das Smartphone als zweiten Faktor einzusetzen.

Keine Frage, Angreifer sind stets findig darin, Verteidigungsmaßnahmen auszutricksen. Aber die Anwendung aller genannten Maßnahmen, oder eine Kombination aus verschiedenen Optionen, macht die Hürde ungleich höher und den Schutz widerstandsfähiger.

Diese Definition wurde zuletzt im November 2020 aktualisiert

Erfahren Sie mehr über Bedrohungen

ComputerWeekly.de

Close