Wörterbuchangriff (Dictionary Attack)
Wörterbuchangriffe funktionieren, weil viele Computernutzer gewöhnliche Wörter als Kennwörter verwenden. Diese Angriffe sind in der Regel erfolglos bei Systemen, die Passwörter mit mehreren Wörtern verwenden, und auch bei Passwörtern, die aus Groß- und Kleinbuchstaben und Zahlen in zufälligen Kombinationen bestehen, sind sie oft erfolglos. Mit einem Wörterbuchangriff kann auch versucht werden, den für die Entschlüsselung einer verschlüsselten Nachricht oder eines Dokuments erforderlichen Schlüssel zu finden.
In Systemen mit strengen Passwortanforderungen kann die Brute-Force-Methode, bei der alle möglichen Kombinationen von Zeichen und Leerzeichen bis zu einer bestimmten Maximallänge getestet werden, manchmal effektiv sein. Allerdings kann ein Brute-Force-Angriff sehr lange dauern, bis er Ergebnisse liefert.
Starke, zufällige Kennwörter lassen sich nicht leicht vorhersagen, und es ist höchst unwahrscheinlich, dass sie in der vorgegebenen Kennwortbibliothek enthalten sind. Da die Rateversuche eines Wörterbuchangriffs auf eine vorausgewählte Liste beschränkt sind, ist es praktisch unmöglich, nicht vorhersehbare Kennwörter zu knacken.
Wie funktionieren Wörterbuchangriffe?
Ein Wörterbuchangriff verwendet eine vorausgewählte Bibliothek von Wörtern und Phrasen, um mögliche Passwörter zu erraten. Dabei wird davon ausgegangen, dass Benutzer dazu neigen, aus einer grundlegenden Liste von Passwörtern zu wählen, wie zum Beispiel „Passwort“, „123abc“ und „123456“. Diese Listen enthalten vorhersehbare Muster, die je nach Region variieren können. Die Angreifer verwenden Wörter, die sich auf Sportmannschaften, Denkmäler, Städte, Adressen und andere regionalspezifische Begriffe beziehen, wenn sie ihre Angriffsbibliotheken aufbauen.
Diese Listen sind nicht so umfangreich wie die anderer Brute-Force-Angriffe, aber sie können recht groß werden. Das manuelle Verarbeiten und Testen all dieser Kennwörter ist kein praktischer Ansatz. Daher ist in der Regel eine zusätzliche Technologie erforderlich, um den Prozess zu beschleunigen. Angreifer verwenden Hilfsprogramme wie Passwortwörterbücher oder andere Brute-Force-Angriffstools.
Wie Wörterbuchangriffe durchgeführt werden, hängt davon ab, ob das Konto, Netzwerk oder Gerät, bei dem sich der Angreifer anmeldet, online oder offline ist. Bei einem Online-Angriff muss der Angreifer auf die Anzahl der Versuche achten, mit denen er das richtige Kennwort erraten kann. Nach einer bestimmten Anzahl von Versuchen kann ein Website-Administrator, ein Kontoverwalter, ein Benutzer oder ein System zur Erkennung von Eindringlingen den Angriff erkennen, oder es kann ein Limit für Passwortversuche ins Spiel kommen. Wenn eines dieser Szenarien eintritt, kann das System den Angreifer aussperren.
Wörterbuchangriffe mit einer kürzeren, nach Prioritäten geordneten Liste von wahrscheinlichen Kennwörtern können erfolgreicher sein. Raffinierte Hacker können auch die Erkennungsfunktionen oder die Beschränkungen für Passwortversuche deaktivieren.
Bei Offline-Angriffen hat ein Hacker nur wenige Einschränkungen, wenn es um die Anzahl der Passwörter geht, die er ausprobieren kann. Für die Durchführung eines Offline-Angriffs ist jedoch der Zugriff auf die Kennwortspeicherdatei des Systems erforderlich. Nur dann kann ein Wörterbuchangriff in einer Offline-Umgebung gestartet werden.
Brute-Force-Angriffe und Wörterbuchattacken
Der Hauptunterschied zwischen einem Brute-Force-Angriff und einem Wörterbuchattacke besteht in der Anzahl der Passwort-Permutationen, die versucht werden.
Brute-Force-Angriffe
Bei einem Brute-Force-Angriff werden in der Regel systematisch alle möglichen Kennwörter ausprobiert. Dies kann eine beträchtliche Zeitspanne in Anspruch nehmen.
Ein fünfstelliges Zahlenschloss ist ein bekanntes, nichttechnisches Beispiel für den Unterschied. Bei einer Brute-Force-Methode würde ein Angreifer alle möglichen Kombinationen für das fünfstellige Schloss ausprobieren. Bei einem fünfstelligen Schloss mit Einzelwerten von null bis neun gibt es genau 100.000 mögliche Kombinationen.
Wörterbuchangriffe
Bei einem Wörterbuchangriff wird eine Liste wahrscheinlicher Kennwörter verwendet, um in das System einzubrechen. Diese Angriffe sind gezielter als Brute-Force-Angriffe. Anstatt zu versuchen, jede mögliche Permutation einzugeben, würde ein Angreifer mit einem Wörterbuchansatz alle Permutationen aus seiner vorgegebenen Bibliothek ausprobieren.
Getestet werden sequenzielle Passcodes wie „12345“ und statische Passcodes wie „00000“. Wenn die fünfstellige Permutation besonders einzigartig ist, würde der Wörterbuchangriff sie wahrscheinlich nicht erraten. Wie bei Phishing-Angriffen wird auch bei Wörterbuchangriffen davon ausgegangen, dass ein angemessener Prozentsatz der Benutzer oder Konten, auf die sie abzielen, anfällig ist und einen leicht zu identifizierenden fünfstelligen Passcode hat.
Sich vor einem Wörterbuchangriff schützen
Die Anfälligkeit für Angriffe auf Passwörter oder Entschlüsselungsschlüssel kann durch eine Begrenzung der Anzahl der zulässigen Versuche innerhalb eines bestimmten Zeitraums und durch eine kluge Wahl der Passwörter oder Schlüssel auf nahezu Null reduziert werden. Ein Ansatz, der ein System immun gegen Wörterbuchangriffe und praktisch immun gegen Brute-Force-Angriffe macht, erfordert die folgenden drei Bedingungen:
- Nur eine begrenzte Anzahl an Passwortversuchen erlauben (beispielsweise drei);
- eine Frist von 15 Minuten einzuhalten ist, bevor die nächsten drei Versuche erlaubt sind, und
- dass Passwort eine ausreichende Länge hat und keinen wirklich existenten Begriff darstellt oder eine Bedeutung hat.
E-Mail-Spammer verwenden häufig eine Form des Wörterbuchangriffs. Eine Nachricht wird an E-Mail-Adressen gesendet, die aus Wörtern oder Namen bestehen, gefolgt vom @-Symbol und dem Namen einer bestimmten Domäne. Lange Listen von Vornamen, wie Sabine, Jens, Michael oder Andrea, oder einzelne Buchstaben des Alphabets, gefolgt von Nachnamen, wie Schneider, Fischer oder Herrmann, in Kombination mit einem Domänennamen, sind in der Regel erfolgreich.
Wie erfolgreich ein Wörterbuchangriff ist, hängt davon ab, wie stark die Passwörter der Personen sind, auf die ein Hacker abzielt. Da schwache Passwörter immer noch weit verbreitet sind, haben Angreifer mit diesen Angriffen weiterhin Erfolg. Einzelne Benutzer sind jedoch nicht die einzigen, die von einer schwachen Passwortsicherheit betroffen sind.
Die massive Datenpanne bei SolarWinds Ende 2020 wurde mit Hilfe eines Wörterbuchangriffs durchgeführt. Hacker konnten sich beim SolarWinds-Update-Server anmelden, indem sie das Administrator-Passwort „solarwinds123“ errieten und dann eine Hintertür einbauten, die aktiviert wurde, als SolarWinds-Kunden ihre Software aktualisierten.
