Berater? Hier klicken
Jetzt starten
Zurück zum Guidebook
  • Angriffstypen

Was ist eine Brute-Force-Attacke?

Bei Brute-Force Attacken versucht ein Angreifer sich Zugang zu Passwörtern und Benutzernamen zu verschaffen, indem er diese zufällig ausprobiert. Dies ist der Angriffstyp, der am einfachsten und mit wenig Aufwand auszuführen ist.

Inhaltsverzeichnis

Warum ist es wichtig Brute-Force Attacken zu kennen?

Die einfachste Art ein Passwort zu hacken, ist mit der Brute-Force Attacke. Ein Angreifer versucht hierbei einfach Benutzernamen und Passwort durch „Ausprobieren“ zu erraten. Dieser Angriff ist somit immer möglich und auch recht einfach durch einen Angreifer durchzuführen. Deshalb ist es wichtig über diese Art des Angriffs Bescheid zu wissen, um sich optimal davor schützen zu können. 

Wie funktioniert eine Brute-Force Attacke?

Ein Angreifer hat mehrere Möglichkeiten. Zunächst kann er einfach alle möglichen Kombinationen von Buchstaben, Zahlen und Sonderzeichen der Reihe nach ausprobieren. Doch je länger die Passwörter sind, desto mehr Möglichkeiten  bestehen und desto länger dauert es bis Angreifer erfolgreich sind. Da Menschen allerdings dazu neigen Wörter und Zahlenfolgen in ihren Passwörtern zu verwenden, da diese besser zu merken sind, versuchen Angreifer es zunächst mit diesen. 

Eine weitere Möglichkeit eine Brute-Force Attacke durchzuführen, ist bereits erratene Passwörter aus Datenleaks und Abwandlungen dieser auszuprobieren. Dadurch kann sich der Angreifer Zeit sparen, da er mit einer größeren Wahrscheinlichkeit richtig liegen wird. 

Wer ist das Ziel einer Brute-Force Attacke?

Generell kann jeder das Ziel eines solchen Angriffes werden, allerdings neigen Angreifer dazu einfache Wege zu gehen. Deshalb sind die Server der Dienste bevorzugte Ziele. Wenn sich jemand bei einem Dienst neu anmeldet und ein Passwort erstellt, dann wird dieses auf einem Server des Dienstes gespeichert, damit beim späteren Einloggen das Passwort verglichen werden kann. Da es natürlich nicht im Klartext dort gespeichert werden kann, wird es entweder verschlüsselt oder gehashed. Ein Angreifer kann also versuchen den Schlüssel zu der Verschlüsselung zu erraten oder die Hashfunktion umzukehren. Wenn er dabei erfolgreich ist, hat er Zugriff auf eine Datenbank an Passwörtern mit zugehörigen Benutzernamen. 

Was bedeutet das für ein Passwort?

Ein Passwort wie „Berlin1234“ wird innerhalb von wenigen Sekunden erraten, denn hier wird sowohl ein Städtename, als auch eine Zahlenfolge genutzt. Wie schnell ein Passwort gehacked werden kann, hängt wie bereits erwähnt von dessen Länge und Komplexität ab. Es hängt auch davon ab, ob das Passwort bekannte Wörter beinhaltet, da diese oftmals beim „Ausprobieren“ benutzt werden. Somit wäre ein gutes Passwort z.B. „Fzt2!hip2x-/12!“. Wie die Versuche bei Brute-Force Angriffen durchgeführt werden und wie schnell sie für einen Versuch brauchen, hängt auch vom Computer und dessen Leistung ab. Bei Online-Websiten wie Facebook dauert es deutlich länger. 

Vergleich zwischen einem schwachen und einem starken Passowort und wie schnell diese durch eine Brute-Force-Attacke erraten werden können.

Was kann man tun, um sich vor einer Brute-Force Attacke zu schützen?

Hier sind ein paar nützliche Tips, die Sie beim Wählen eines Passworts berücksichtigen sollten.

1. Das Passwort sollte mindestens 8 Zeichen haben
Je länger ein Passwort ist, desto mehr Kombinationen sind zwischen Buchstaben, Zahlen und Wörtern möglich. Das bedeutet, dass die Dauer eines erfolgreichen Brute-Force-Angriffes steigt und es unrealistischer wird das Passwort zu erraten.
2. Es sollte aus Buchstaben, Zahlen und Sonderzeichen bestehen
Wenn verschiedene Arten von Zeichen benutzt werden, erhöht sich die Anzahl an möglichen Passwörtern. Dadurch muss der Angreifer mehr Passwörter ausprobieren, um das richtige zu treffen.
3. Bekannte Wörter und Zahlenfolgen vermeiden
Da viele Menschen bekannte Wörter oder Zahlenfolgen benutzen, versuchen Angreifer es zunächst mit diesen. Um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern, sollte man diese nicht benutzen.
4. Für jeden Dienst, ein neues einzigartiges Passwort anlegen
Wenn es passiert, dass eines Ihrer Passwörter gehacked wurde, dann sind alle weiteren Dienste, bei denen Sie dieses Passwort ebenfalls benutzt haben, kompromittiert. Der Angreifer kann also das gehackede Passwort ausprobieren und wäre dann erfolgreich. Um das zu vermeiden, sollte für jeden Dienst ein neues Passwort benutzt werden.
5. Benutzen Sie einen Passwortmanager
Sichere Passwörter sind oftmals nicht einfach zu merken und da für jeden Dienst ein anderes Passwort ratsam ist, werden es zudem auch noch recht viele, die man sich merken soll. Damit es einfacher wird seine Passwörter zu verwalten und man sie auch nicht vergisst, kann man einen Passwortmanager benutzen. Hier werden Benutzernamen und Passwörter für alle Dienste gespeichert. Oftmals schlagen Passwortmanager auch sichere Passwörter vor und füllen automatisch die Daten bei der Anmeldung aus.
6. Zwei-Faktor Authentifizierung nutzen
Zwei-Faktor Authentifizierung bedeutet, dass zusätzlich zu einem Passwort ein weiterer Parameter zur Anmeldung erforderlich ist. Zum Beispiel muss zusätzlich ein generierter Code angegeben werden. Wenn also das Passwort erfolgreich erraten wurde, kann ein Angreifer sich dennoch keinen Zugang zu dem Account verschaffen, dazu bräuchte er nämlich den zweiten Faktor, den er normalerweise nicht hat.
 

FAQ

Was ist eine Brute-Force Attacke?

Bei einer Brute-Force Attacke wird versucht Benutzernamen oder Passwörter durch zufälliges „Ausprobieren“ zu hacken.

Wie kan ich mich vor einer Brute-Force Attacke schützen?

Generell sind Brute-Force-Attacken immer möglich, da sie das einfachste Prinzip – das Raten- ausnutzen. Man kann aber möglichst komplizierte Passwörter wählen und darauf achten, dass keine Zahlenfolgen oder Wörter darin auftauchen. Diese werden nämlich von Angreifern zuerst ausprobiert.

Was sind die Stärken einer Brute-Force Attacke?

Ein Brute-Force-Anhriff ist immer möglich. Der Angreifer muss lediglich so lange verschiedene Kombinationen von Buchstaben, Zahlen und Sonderzeichen ausprobieren, bis er das richtige gefunden hat. Das bedeutet auch, dass brute-Force-Attacken immer erfolgreich sind. Allerdings hängt die Dauer der Attacke stark von der Passwortlänge ab, sodass bei langen Passwörter Jahre dauern kann, bis diese richtig geraten wurden.

Was sind die Schwächen einer Brute-Force Attacke?

Dadurch, dass macheinadner viele Passwöreter ausprobiert werden, ist die Brute-Force-Attacke sehr langsam. Je länger ein Passwort ist, desto mehr Kombinationen von Buchstaben, Zahlen und Sonderzeichen existieren für dieses. Die Zeit, die dann benötigt wird, um ein Passwort zu raten, steigt somit ebenfalls. Bei ausreichend langen und möglichst zufällige erstellten Passwörtern kann es Tage, Monate oder auch Jahre dauern bis dieses erraten wird. Dür die meisten Angreifer ist dieser Zeiitraum zu lang und sie versuchen es mit anderen Methoden. 

Ähnliche Beiträge
Advanced Persistent Threat
Angriffstypen
Was ist ein Advanced Persistent Threat?
Zurück zum Guidebook Als Advanced Persistent Threat (APT) bezeichnet man einen Netzwerkangriff, bei dem...
Mehr erfahren
Denial-of-service
Angriffstypen
Was ist eine Denial-of-Service (DoS) Attacke?
Zurück zum Guidebook Eine Denial-of-Service Attacke (DoS) versucht einen Server so zu überfordern, dass...
Mehr erfahren
Brute-Force Attacke
Angriffstypen
Was ist eine Brute-Force-Attacke?
Zurück zum Guidebook Bei Brute-Force Attacken versucht ein Angreifer sich Zugang zu Passwörtern und...
Mehr erfahren
Linkedin Facebook Instagram
Linkedin Facebook Instagram
Datenschutz
Impressum | Datenschutzvereinbarungen
Wir, securious UG (Firmensitz: Deutschland), würden gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht uns aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Datenschutz
Impressum | Datenschutzvereinbarungen
Wir, securious UG (Firmensitz: Deutschland), würden gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht uns aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Analyse/Statistiken (1 Dienst)
Anonyme Auswertung zur Problembehandlung und Weiterentwicklung
Google Analytics
Google LLC, USA
ⓘ Alle Details
ⓘ Alle Details