Zurück zum Guidebook Beim Phishing wird ein Nutzer so manipuliert, dass er private Informationen...
Julie Rother
- Angriffstypen
Was ist eine Brute-Force-Attacke?
Bei Brute-Force Attacken versucht ein Angreifer sich Zugang zu Passwörtern und Benutzernamen zu verschaffen, indem er diese zufällig ausprobiert. Dies ist der Angriffstyp, der am einfachsten und mit wenig Aufwand auszuführen ist.
Inhaltsverzeichnis
- 21 April 2022
Warum ist es wichtig Brute-Force Attacken zu kennen?
Die einfachste Art ein Passwort zu hacken, ist mit der Brute-Force Attacke. Ein Angreifer versucht hierbei einfach Benutzernamen und Passwort durch „Ausprobieren“ zu erraten. Dieser Angriff ist somit immer möglich und auch recht einfach durch einen Angreifer durchzuführen. Deshalb ist es wichtig über diese Art des Angriffs Bescheid zu wissen, um sich optimal davor schützen zu können.
Wie funktioniert eine Brute-Force Attacke?
Ein Angreifer hat mehrere Möglichkeiten. Zunächst kann er einfach alle möglichen Kombinationen von Buchstaben, Zahlen und Sonderzeichen der Reihe nach ausprobieren. Doch je länger die Passwörter sind, desto mehr Möglichkeiten bestehen und desto länger dauert es bis Angreifer erfolgreich sind. Da Menschen allerdings dazu neigen Wörter und Zahlenfolgen in ihren Passwörtern zu verwenden, da diese besser zu merken sind, versuchen Angreifer es zunächst mit diesen.
Eine weitere Möglichkeit eine Brute-Force Attacke durchzuführen, ist bereits erratene Passwörter aus Datenleaks und Abwandlungen dieser auszuprobieren. Dadurch kann sich der Angreifer Zeit sparen, da er mit einer größeren Wahrscheinlichkeit richtig liegen wird.
Wer ist das Ziel einer Brute-Force Attacke?
Generell kann jeder das Ziel eines solchen Angriffes werden, allerdings neigen Angreifer dazu einfache Wege zu gehen. Deshalb sind die Server der Dienste bevorzugte Ziele. Wenn sich jemand bei einem Dienst neu anmeldet und ein Passwort erstellt, dann wird dieses auf einem Server des Dienstes gespeichert, damit beim späteren Einloggen das Passwort verglichen werden kann. Da es natürlich nicht im Klartext dort gespeichert werden kann, wird es entweder verschlüsselt oder gehashed. Ein Angreifer kann also versuchen den Schlüssel zu der Verschlüsselung zu erraten oder die Hashfunktion umzukehren. Wenn er dabei erfolgreich ist, hat er Zugriff auf eine Datenbank an Passwörtern mit zugehörigen Benutzernamen.
Was bedeutet das für ein Passwort?
Ein Passwort wie „Berlin1234“ wird innerhalb von wenigen Sekunden erraten, denn hier wird sowohl ein Städtename, als auch eine Zahlenfolge genutzt. Wie schnell ein Passwort gehacked werden kann, hängt wie bereits erwähnt von dessen Länge und Komplexität ab. Es hängt auch davon ab, ob das Passwort bekannte Wörter beinhaltet, da diese oftmals beim „Ausprobieren“ benutzt werden. Somit wäre ein gutes Passwort z.B. „Fzt2!hip2x-/12!“. Wie die Versuche bei Brute-Force Angriffen durchgeführt werden und wie schnell sie für einen Versuch brauchen, hängt auch vom Computer und dessen Leistung ab. Bei Online-Websiten wie Facebook dauert es deutlich länger.
Was kann man tun, um sich vor einer Brute-Force Attacke zu schützen?
Hier sind ein paar nützliche Tips, die Sie beim Wählen eines Passworts berücksichtigen sollten.
1. Das Passwort sollte mindestens 8 Zeichen haben
Je länger ein Passwort ist, desto mehr Kombinationen sind zwischen Buchstaben, Zahlen und Wörtern möglich. Das bedeutet, dass die Dauer eines erfolgreichen Brute-Force-Angriffes steigt und es unrealistischer wird das Passwort zu erraten.
2. Es sollte aus Buchstaben, Zahlen und Sonderzeichen bestehen
Wenn verschiedene Arten von Zeichen benutzt werden, erhöht sich die Anzahl an möglichen Passwörtern. Dadurch muss der Angreifer mehr Passwörter ausprobieren, um das richtige zu treffen.
3. Bekannte Wörter und Zahlenfolgen vermeiden
Da viele Menschen bekannte Wörter oder Zahlenfolgen benutzen, versuchen Angreifer es zunächst mit diesen. Um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern, sollte man diese nicht benutzen.
4. Für jeden Dienst, ein neues einzigartiges Passwort anlegen
Wenn es passiert, dass eines Ihrer Passwörter gehacked wurde, dann sind alle weiteren Dienste, bei denen Sie dieses Passwort ebenfalls benutzt haben, kompromittiert. Der Angreifer kann also das gehackede Passwort ausprobieren und wäre dann erfolgreich. Um das zu vermeiden, sollte für jeden Dienst ein neues Passwort benutzt werden.
5. Benutzen Sie einen Passwortmanager
Sichere Passwörter sind oftmals nicht einfach zu merken und da für jeden Dienst ein anderes Passwort ratsam ist, werden es zudem auch noch recht viele, die man sich merken soll. Damit es einfacher wird seine Passwörter zu verwalten und man sie auch nicht vergisst, kann man einen Passwortmanager benutzen. Hier werden Benutzernamen und Passwörter für alle Dienste gespeichert. Oftmals schlagen Passwortmanager auch sichere Passwörter vor und füllen automatisch die Daten bei der Anmeldung aus.
6. Zwei-Faktor Authentifizierung nutzen
Zwei-Faktor Authentifizierung bedeutet, dass zusätzlich zu einem Passwort ein weiterer Parameter zur Anmeldung erforderlich ist. Zum Beispiel muss zusätzlich ein generierter Code angegeben werden. Wenn also das Passwort erfolgreich erraten wurde, kann ein Angreifer sich dennoch keinen Zugang zu dem Account verschaffen, dazu bräuchte er nämlich den zweiten Faktor, den er normalerweise nicht hat.
