Was ist ein Brute-Force-Angriff?

Was ist eine Brute-Force-Attacke?

Der Begriff Brute-Force-Angriff leitet sich von den englischen Begriffen brute und force ab, was sich mit „roher Gewalt“ ins Deutsche übersetzen lässt. Bei einem Brute-Force-Angriff versucht ein Hacker durch Ausprobieren, das richtige Passwort, die richtige PIN oder den richtigen Verschlüsselungscode zu erraten. Er kann böswillig eingesetzt werden, um sich Zugang zu einem passwortgeschützten Konto oder einer Plattform zu verschaffen. Es kann aber auch dazu eingesetzt werden, um Penetrationstests durchzuführen, um die Netzwerksicherheit eines Unternehmens zu überprüfen.

Der Angriff erfordert nicht viel Know-How oder komplexe Algorithmen – es ist lediglich ein Ratespiel. Allerdings erfordert der Angriff einige Ressourcen – Zeit und Rechenleistung. Je komplexer das Passwort ist, desto schwieriger ist es, es zu knacken. Das wollen wir uns genauer ansehen.

Wie funktioniert die Brute-Force-Methode?

Stell dir vor, dass dein Passwort nur aus zwei Ziffern besteht. Das bedeutet, dass es 100 mögliche Passwortkombinationen gibt, die ein Hacker ausprobieren könnte. Cyberkriminelle könnten diese Möglichkeiten manuell eingeben, was zwar zeitaufwändig, aber nicht unmöglich ist. Moderne Webseiten verlangen komplexere Passwörter – mindestens 8 Zeichen lang, einschließlich Groß- und Kleinschreibung. Solche Passwörter bieten Millionen von Kombinationsmöglichkeiten, was es fast unmöglich macht, sie zufällig zu „erraten“.

Deshalb setzen Hacker spezielle Software oder einen Brute-Force-Algorithmus ein, welche tausende von Passwortkombinationen pro Sekunde ausprobieren können. Diese Tools sind unter anderem mit den Namen Ncrack, Aircrack-ng und Rainbow bekannt. Wenn dein Passwort nur aus wenigen Zeichen besteht, kann es eine solche Software in wenigen Sekunden erraten. Wenn du aber ein zufälliges, 16 Zeichen langes Passwort gewählt hast, kann es Jahre dauern, bis die Software es knackt.

Welche Arten von Brute-Force-Angriffen gibt es?

Hacker können auch verschiedene Arten von Brute-Force-Angriffen einsetzen.

• Credential Recycling. Für diese Art von Angriff werden zuvor gesammelte Benutzernamen und Passwörter benötigt. Diese können aus früheren Brute-Force-Angriffen, aus Sicherheitslücken und Datenlecks stammen oder einfach im Dark Web gekauft werden. Der Hacker wird dann versuchen, sie auf verschiedenen Plattformen zu verwenden. Wenn sie zum Beispiel deine Facebook-Anmeldedaten in die Hände bekommen, könnten sie versuchen, sich damit Zugang zu anderen Konten zu verschaffen. Deshalb ist es so wichtig, dass du nicht dasselbe Passwort für mehrere Konten verwendest!
• Wörterbuchangriff.Bei dieser Art von Angriff versucht der Hacker, Wörter aus dem Wörterbuch zu verwenden. Es ist sehr verbreitet, dass Menschen Namen, Städte und Gegenstände als Passwörter verwenden. Das macht es jedoch einfacher, sie zu erraten. Hacker könnten auch beliebte Passwort- und Zahlenkombinationen wie Password123 zu solchen Datenbanken hinzufügen.
• Umgekehrter Brute-Force-Angriff. Dieser Angriff verwendet, wie der Name schon sagt, eine umgekehrte Taktik. Ein Hacker nimmt ein Passwort, normalerweise ein beliebtes, und probiert es bei so vielen Konten wie möglich aus. In diesem Fall hat es der Hacker nicht auf eine bestimmte Person abgesehen, sondern sucht nach einer Gelegenheit, in ein beliebiges Konto einzubrechen.

Wie lange dauert ein Brute-Force-Angriff

Wie lange es dauert, bis dein Passwort durch Brute-Force-Angriffe geknackt werden kann, hängt davon ab:

• wie stark und komplex dein Passwort ist
• und welche Rechenleistung der PC des Hackers hat.

Damit du ein Verständnis davon erhältst, wie viele Kombinationen je Passwortlänge und Komplexität möglich sind, im Folgenden ein kleines Beispiel: für ein Passwort, das aus sechs Ziffern besteht, gibt es zwei Milliarden mögliche Kombinationen. Ein Prozessor, der 30 Passwörter pro Sekunde durchprobiert, braucht mehr als zwei Jahre, bis er das Passwort geknackt hat. Mit einer einzigen, sehr leistungsstarken Grafikkarte steigert man die Effektivität um das Vielfache. Dann können 7100 Passwörter pro Sekunde durchprobiert werden. Dann dauert es etwa dreieinhalb Tage bis zum Knacken des Passworts.

So wählst du ein sicheres Passwort

Es gibt bei der Wahl eines sicheren Passworts einiges zu beachten. Wenn du die folgenden Tipps befolgst, bist du aber gut gegen Brute-Force-Angriffe geschützt.

• Ein Passwort sollte möglichst lang und komplex sein. Das bedeutet, dass du nicht nur Ziffern oder Buchstaben benutzen solltest, sondern auch Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen in Kombination ohne besonderen Zusammenhang (das bekannte Negativbeispiel „Passwort1234“ ist definitiv keine gute Wahl). Wenn du ein Passwort mit mindestens zehn Zeichen wählst, das Symbole oder Ziffern enthält, vervielfacht sich die Kombinationsmöglichkeiten auf 171,3 Trillionen! Ein Standard-Grafikprozessort würde dann mit der Brute-Force-Methode circa 526 Jahre brauchen, um das Passwort zu knacken.
• Nutze einen Passwort-Manager. Bei der Erstellung eines Passworts kann dir ein Passwortmanager helfen. Dort kannst du dir ein starkes Passwort erstellen lassen und diese dann in einem virtuellen Tresor speichern. Du musst dir die Passwörter somit nicht selbst ausdenken und musst sie auch nicht (ungeschützt) analog oder digital notieren. Du benötigst dann nur noch ein einziges Master-Passwort für den virtuellen Tresor, um (geräteübergreifend, wenn gewünscht) auf all deine Passwörter zuzugreifen. Dieses sollte selbstverständlich ebenfalls anhand der o.g. Kriterien erstellt werden. Zudem ist es wichtig, dass du einen seriösen und vertrauenswürdigen Anbieter suchst; denn du vertraust diesem schließlich sensible Passwörter an. NordPass bietet dir all das. Und keine Angst, die Einrichtung ist äußerst einfach.
• Verwende die 2-Faktor-Authentifizierung. Ohne Zugriff auf dein Gerät kann ein böswilliger Akteur nicht auf dein Konto zugreifen.
• Ändere deine Passwörter regelmäßig.
• Verwende deine Passwörter nicht für verschiedene Konten, da du sonst anfällig für Credential-Recycling-Angriffe bist.

Andere Möglichkeiten, dich vor Brute-Force-Angriffen zu schützen

• Sperrung nach mehrfacher Falscheingabe: Unternehmen bieten oft zusätzliche Maßnahmen an, um deine Accounts zu schützen. Vielleicht hast du schon einmal dein Passwort vergessen und es aus Versehen mehrfach falsch eingegeben. Das führt bei manchen Webseiten dazu, dass dein Konto vorübergehend gesperrt wird oder du erst den Kundenservice kontaktieren musst, um es wieder entsperren zu können. Ein Problem hierbei ist nur, dass ein Hacker eine DDoS-Attacke (Denial of Service) nutzen kann, um somit hunderte Accounts zu sperren. Weil nur vorhandene Accounts gesperrt werden können, erfährt ein Hacker alle verfügbaren Accounts. Denn bei ungültigen Accounts bekommt er eine Fehlermeldung.
• Es wird eine Multi-Faktor-Authentifizierung angeboten: das bedeutet, dass zusätzlich zum Passwort noch eine zweite Authentifizierung erfolgen muss. Beispielsweise könnte es sein, dass du eine Sicherheitsfrage beantworten musst, deren Antwort du beim Einrichten deines Kontos festgelegt hast (z.B.: In welcher Straße bist du aufgewachsen?). Oder es wird ein Code an deine Handynummer geschickt, den du zusätzlich eingeben musst. Das ist häufig der Fall, wenn du dich von anderen Geräten einloggen willst, die du vorher noch nicht verwendet hast; oder wenn du längere Zeit inaktiv warst.
• Captcha: Auch die sogenannten Captcha sind dir sicherlich bekannt und werden häufig verwendet. Wenn du z.B. anklicken musst, auf welchen Bildern, die angezeigt werden, sich Autos befinden. Das soll sicherstellen, dass ein Mensch die Eingabe vornimmt und keine Maschine.
• VPN verwenden: Auch wenn der Erfolg einer Brute-Force-Methode maßgeblich von schwachen Passwörtern abhängt, kann ein VPN dennoch allgemein zur Sicherheit und zum Schutz deiner Privatsphäre beitragen. Denn es verschlüsselt deinen Datenverkehr und allgemein deine Online-Aktivitäten. Cyberkriminellen, die andere Vorgehensweisen als die von Brute-Force verwenden, wird das Leben damit deutlich schwerer gemacht. Wenn du es in Kombination z.B. mit einem Passwortmanager verwendest, sind dein PC und deine Smartphones gut geschützt.