21. April 2022, Julie Rother

Was ist eine Brute-Force-Attacke?

Bei Brute-Force-Attacken versucht ein Angreifer sich Zugang zu Passwörtern und Benutzernamen zu verschaffen, indem er diese zufällig ausprobiert. Dies ist der Angriffstyp, der am einfachsten und mit wenig Aufwand auszuführen ist.

Inhaltsverzeichnis

Was ist eine Brute-Force-Attacke?

Die einfachste Art ein Passwort zu hacken, ist mit der Brute-Force Attacke. Ein Angreifer versucht hierbei Benutzernamen und Passwort durch „Ausprobieren“ zu erraten. Dieser Angriff ist somit immer möglich und auch recht einfach durchzuführen. Deshalb ist es wichtig über diese Art des Angriffs Bescheid zu wissen, um sich optimal davor schützen zu können.

Wer ist das Ziel einer Brute-Force-Attacke?

Generell kann jeder das Ziel eines solchen Angriffes werden. Allerdings neigen Angreifer dazu einfache Wege zu gehen. Deshalb sind die Server von Diensten bevorzugte Ziele. Wenn sich jemand bei einem Dienst neu anmeldet und ein Passwort erstellt, dann wird dieses auf einem Server des Dienstes gespeichert, damit das Passwort beim späteren Einloggen verglichen werden kann. Das Passwort wird nicht im Klartext gespeichert, sondern entweder verschlüsselt oder gehashed.
Ein Angreifer kann also versuchen den Schlüssel zur Verschlüsselung zu erraten oder die Hashfunktion umzukehren. Wenn er dabei erfolgreich ist, hat er Zugriff auf eine Datenbank an Passwörtern mit zugehörigen Benutzernamen.

Wie funktioniert eine Brute-Force-Attacke?

Ein Angreifer hat mehrere Möglichkeiten. Zunächst kann er einfach alle möglichen Kombinationen von Buchstaben, Zahlen und Sonderzeichen der Reihe nach ausprobieren. Doch je länger die Passwörter sind, desto mehr Möglichkeiten bestehen und umso länger dauert es, bis Angreifer erfolgreich sind. Da Menschen allerdings dazu neigen Wörter und Zahlenfolgen in ihren Passwörtern zu verwenden, da diese leicht zu merken sind, versuchen Angreifer es zunächst mit diesen.
Eine weitere Möglichkeit für eine Brute-Force-Attacke ist bereits erratene Passwörter aus Datenleaks und Abwandlungen dieser auszuprobieren. Dadurch kann der Angreifer Zeit sparen, da er mit einer größeren Wahrscheinlichkeit richtig liegen wird.

Was bedeutet das für ein Passwort?

Ein Passwort wie „Berlin1234“ wird innerhalb von wenigen Sekunden erraten, denn hier wird sowohl ein Städtename als auch eine Zahlenfolge genutzt. Wie schnell ein Passwort gehacked werden kann, hängt wie bereits erwähnt von dessen Länge und Komplexität ab. Es hängt auch davon ab, ob das Passwort bekannte Wörter beinhaltet, da diese oftmals beim „Ausprobieren“ benutzt werden. Somit wäre ein gutes Passwort z.B. „Fzt2!hip2x-/12!“.
Zusätzlich wird die Länge des Versuchs vom Computer und dessen Leistung ab. Bei Online-Webseiten, wie Facebook, dauert es deutlich länger.

Vergleich zwischen einem schwachen und einem starken Passowort und wie schnell diese durch eine Brute-Force-Attacke erraten werden können.

Was kann man tun, um sich vor einer Brute-Force-Attacke zu schützen?

Hier sind ein paar nützliche Tipps, die Sie beim Wählen eines Passworts berücksichtigen sollten.

    1. Das Passwort sollte mindestens 12 Zeichen haben

    Je länger ein Passwort ist, desto mehr Kombinationen sind zwischen Buchstaben, Zahlen und Sonderzeichen möglich. Das bedeutet, dass die Dauer, bis ein Brute-Force-Angriff erfolgreich ist, steigt und es unrealistischer wird das Passwort zu erraten.

    2. Es sollte aus Buchstaben, Zahlen und Sonderzeichen bestehen

    Wenn verschiedene Arten von Zeichen benutzt werden, erhöht sich die Anzahl an möglichen Passwörtern. Dadurch muss der Angreifer mehr Passwörter ausprobieren, um das richtige zu treffen.

    3. Bekannte Wörter und Zahlenfolgen vermeiden

    Da viele Menschen bekannte Wörter oder Zahlenfolgen benutzen, versuchen Angreifer es zunächst mit diesen. Um die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern, sollte man diese nicht benutzen.

    4. Für jeden Dienst ein neues einzigartiges Passwort anlegen

    Wenn es passiert, dass eines Ihrer Passwörter gehacked wurde, dann sind alle weiteren Dienste, bei denen Sie dieses Passwort ebenfalls benutzt haben, kompromittiert. Der Angreifer kann also das bekannte Passwort ausprobieren und wäre damit erfolgreich. Um das zu vermeiden, sollte für jeden Dienst ein neues Passwort benutzt werden.

    5. Benutzen Sie einen Passwortmanager

    Sichere Passwörter sind oftmals nicht einfach zu merken. Hinzu kommt, dass es ratsam ist für jeden Dienst ein anderes Passwort zu verwenden, wodurch man viele verschiedene Kennwörter hat. Damit die Verwaltung der Passwörter einfacher wird, kann man einen Passwortmanager benutzen. Hier werden Benutzernamen und Passwörter für alle Dienste gespeichert. Oftmals schlagen Passwortmanager auch sichere Passwörter vor und füllen automatisch die Daten bei der Anmeldung aus.

    6. Zwei-Faktor Authentifizierung nutzen

    Zwei-Faktor Authentifizierung bedeutet, dass, zusätzlich zu einem Passwort, ein weiterer Parameter zur Anmeldung erforderlich ist. Zum Beispiel muss zusätzlich ein generierter Code angegeben werden.
    Wenn also das Passwort erfolgreich erraten wurde, kann ein Angreifer sich dennoch keinen Zugang zu dem Account verschaffen. Dazu bräuchte er nämlich den zweiten Faktor, den er in der Regel nicht hat.

FAQ

Was ist eine Brute-Force-Attacke?

Bei einer Brute-Force Attacke wird versucht Benutzernamen oder Passwörter durch zufälliges „Ausprobieren“ zu hacken.

Wie kann ich mich vor einer Brute-Force-Attacke schützen?

Generell sind Brute-Force-Attacken immer möglich, da sie das einfachste Prinzip – das Raten – ausnutzen.
Durch die Verwendung möglichst komplizierter Passwörter erschwert man es dem Angreifer, das richtige Passwort herauszufinden. Man sollte darauf achten, keine Zahlenfolgen oder Wörter zu verwenden. Diese werden nämlich von Angreifern zuerst ausprobiert.

Was sind die Stärken einer Brute-Force-Attacke?

Ein Brute-Force-Angriff ist immer möglich. Der Angreifer muss lediglich so lange verschiedene Kombinationen von Buchstaben, Zahlen und Sonderzeichen ausprobieren, bis er die richtige gefunden hat. Das bedeutet auch, dass Brute-Force-Attacken immer erfolgreich sind. Allerdings hängt die Dauer bis zum Erfolg der Attacke stark von der Passwortlänge ab. Somit kann es bei langen Passwörter Jahre dauern, bis dieses richtig erraten wurde.

Was sind die Schwächen einer Brute-Force-Attacke?

Dadurch, dass viele Passwörter ausprobiert werden, ist die Brute-Force-Attacke sehr langsam. Je länger ein Passwort ist, desto mehr mögliche Kombinationen von Buchstaben, Zahlen und Sonderzeichen existieren für dieses.
Die Zeit, die dann benötigt wird, um ein Passwort zu raten, steigt somit ebenfalls. Bei ausreichend langen und möglichst zufällig erstellten Passwörtern kann es Jahre dauern, bis dieses erraten wird. Für die meisten Angreifer ist dieser Zeitraum zu lang, weshalb sie andere Methoden verwenden.