Deine IP: Unbekannt · Dein Status: GeschütztUngeschütztUnbekannt

Was ist ein Brute-Force-Angriff?

Bei einer Brute-Force-Attacke (Brute Force lässt sich in etwa mit „Brachialgewalt“ oder „roher Gewalt“) handelt es sich um eine sehr bekannte Attacke auf Netzwerke, die seit Jahren angewandt wird.

Ilma Vienazindyte

Ilma Vienazindyte

Nov 15, 2020 · 4 Min. Lesezeit

Was ist ein Brute-Force-Angriff?

Dabei ist die Vorgehensweise äußerst simpel: Hacker probieren wahllos verschiedene Buchstabenfolgen oder Zeichenketten aus. Sie versuchen dabei, Passwörter zu entwenden, Systeme zu übernehmen oder sensible Daten abzugreifen. Der Aufwand steigt dabei proportional zur Anzahl der zu probierenden möglichen Lösungen. Moderne und sehr leistungsfähige Rechnersysteme können innerhalb kurzer Zeit viele mögliche Kombinationen durchrechnen. Mit den entsprechenden Tools kann ein Hacker auf einem Standard-PC in einem kurzen Zeitraum zahlreiche Passwörter ausprobieren (dazu im Laufe des Artikels mehr). Diese Tools können Namen haben wie Medusa, Brutus, John the Ripper oder THC Hydra.

Eine Brute-Force-Attacke wird nicht nur zu illegalen Zwecken durchgeführt. Es gibt auch legale Anwendungsbereiche wie das Prüfen der Sicherheit von IT-Systeme oder Netzwerken.

Wie lange dauert ein Brute-Force-Angriff

Wie lange solch eine Attacke dauert, bis sie erfolgreich ist, hängt stark davon, welche Komplexität dein Passwort besitzt. Die meisten Nutzer verwenden sehr kurze und einfache Passwörter, die damit sehr unsicher sind. Wie bereits erwähnt kann ein Experte innerhalb von kurzer Zeit eine hohe Anzahl an Passwörtern ausprobieren. Hinzu kommt, dass heutige Rechner immer leistungsfähiger werden. Damit können sie mehr Möglichkeiten pro Zeiteinheit durchprobieren.

Eine Brute-Force-Attacke kann übrigens auch aus einem sogenannten „Wörterbuchangriff“ (englisch: dictionary attack) bestehen. Dabei wird die Anzahl der auszuprobierenden Passwörter auf Einträge in einem Wörterbuch beschränkt. Es werden auch Zusammensetzungen von Einträgen verwendet. Dabei bedient sich der Angreifer einer Passwortliste – manchmal auch zwei getrennten Listen für Benutzername und Passwort.

Damit du ein Verständnis davon erhältst, wie viele Kombinationen je Passwortlänge und Komplexität möglich sind, im Folgenden ein kleines Beispiel: für ein Passwort, das aus sechs Ziffern besteht, gibt es zwei Milliarden mögliche Kombinationen. Ein Prozessor, der 30 Passwörter pro Sekunde durchprobiert, braucht mehr als zwei Jahre, bis er das Passwort geknackt hat. Mit einer einzigen, sehr leistungsstarken Grafikkarte steigert man die Effektivität um das Vielfache. Dann können 7100 Passwörter pro Sekunde durchprobiert werden. Dann dauert es etwa dreieinhalb Tage bis zum Knacken des Passworts.

So wählst du ein sicheres Passwort

Das Beispiel zeigt dir, dass es sinnvoll ist, ein Passwort möglichst lang und abwechslungsreich zu gestalten. Das bedeutet, dass du nicht nur Ziffern oder Buchstaben benutzen solltest, sondern auch Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen in Kombination ohne besonderen Zusammenhang (das bekannte Negativbeispiel „Passwort1234“ ist definitiv keine gute Wahl). Wenn du ein Passwort mit mindestens zehn Zeichen wählst, das Symbole oder Ziffern enthält, vervielfachst du die Kombinationsmöglichkeiten auf 171,3 Trillionen! Ein Standard-Grafikprozessort würde dann mit der Brute-Force-Methode ca. 526 Jahre brauchen, um das Passwort zu knacken. Das führt dazu, dass den meisten Hackern der Rechenaufwand hinsichtlich Zeit und Kosten zu groß wird. Gerade als Privatperson kannst du dir dann sicher sein, dass die Chance sehr gering ist, Ziel einer Attacke zu werden.

Bei der Erstellung eines Passworts kann dir ein Passwortmanager helfen. Dort kannst du dir sichere Passwörter erstellen lassen und diese dann in einem virtuellen Tresor speichern. Du musst dir die Passwörter somit nicht selbst ausdenken und musst sie auch nicht (ungeschützt) analog oder digital notieren.

Du benötigst dann nur noch ein einziges Master-Passwort für den Tresor, um (geräteübergreifend, wenn gewünscht) auf all deine Passwörter zuzugreifen. Dieses sollte selbstverständlich ebenfalls anhand der o.g. Kriterien erstellt werden. Zudem ist es wichtig, dass du einen seriösen und vertrauenswürdigen Anbieter suchst; denn du vertraust diesem schließlich sensible Passwörter an. NordPass bietet dir all das. Und keine Angst, die Einrichtung ist äußerst einfach.

Zusätzlicher Schutz

Sperrung nach mehrfacher falscher Eingabe: Unternehmen bieten oft zusätzliche Maßnahmen an, um deine Accounts zu schützen. Vielleicht hast du schon einmal dein Passwort vergessen und es aus Versehen mehrfach falsch eingegeben. Das führt bei manchen Webseiten dazu, dass dein Konto vorübergehend gesperrt wird oder du erst den Kundenservice kontaktieren musst, um es wieder entsperren zu können. Ein Problem hierbei ist nur, dass ein Hacker eine DoS-Attacke (Denial of Service) nutzen kann, um somit hunderte Accounts zu sperren. Weil nur vorhandene Accounts gesperrt werden können, erfährt ein Hacker alle verfügbaren Accounts. Denn bei ungültigen Accounts bekommt er eine Fehlermeldung.

Es wird eine Mehrweg-Authentifizierung angeboten: das bedeutet, dass zusätzlich zum Passwort noch eine zweite Authentifizierung erfolgen muss. Beispielsweise könnte es sein, dass du eine Sicherheitsfrage beantworten musst, deren Antwort du beim Einrichten deines Kontos festgelegt hast (z.B.: In welcher Straße bist du aufgewachsen?). Oder es wird ein Code an deine Handynummer geschickt, den du zusätzlich eingeben musst. Das ist häufig der Fall, wenn du dich von anderen Geräten einloggen willst, die du vorher noch nicht verwendet hast; oder wenn du längere Zeit inaktiv warst.

Captcha: Auch die sogenannten Captcha sind dir sicherlich bekannt und werden häufig verwendet. Wenn du z.B. anklicken musst, auf welchen Bildern, die angezeigt werden, sich Autos befinden. Das soll sicherstellen, dass ein Mensch die Eingabe vornimmt und keine Maschine.

Wechsele deine Passwörter außerdem regelmäßig und vermeide, dass du ein und dasselbe Passwort für mehr als einen Account verwendest. Damit verhinderst du, dass ein Hacker direkt auf mehrere Accounts von dir zugreifen kann, sobald er ein Passwort geknackt hat. Dabei kann dir wieder der oben vorgestellte Passwort-Manager helfen.

Nutze ein VPN für zusätzlichen Schutz

Auch wenn der Erfolg einer Brute-Force-Methode maßgeblich von schwachen Passwörtern abhängt, kann ein VPN dennoch allgemein zur Sicherheit und zum Schutz deiner Privatsphäre beitragen. Denn es verschlüsselt deinen Datenverkehr und allgemein deine Onlineaktivitäten. Cyberkriminellen, die andere Vorgehensweisen als die von Brute-Force verwenden, wird das Leben damit deutlich schwerer gemacht. Wenn du es in Kombination z.B. mit einem Passwortmanager verwendest, bist du im Internet gut geschützt.

Fazit

Um einer Brute-Force-Attacke vorzubeugen, kann dir am effektivsten ein Passwort helfen, das den o.g. Kriterien entspricht. Scheue nicht den minimalen Mehraufwand, dir ein möglichst kompliziertes Passwort zu erstellen. Wenn du damit einen Angriff verhindern kannst, ist es die Mühe wert! Lass dir auf jeden Fall durch einen Passwort-Manager helfen, und setze zusätzlich auf ein VPN.

Auch verfügbar in: English, Svenska