Brute-Force-Attacken: Was ist das und wie funktionieren sie?

Homeoffice und Remote Work nehmen aufgrund der Coronavirus-Krise immer weiter zu. Dadurch entstehen zahlreiche Herausforderungen in Bezug auf Sicherheit, denn Cyberkriminelle passen sich immer mehr den neuen Umständen an. So nehmen Brute-Force-Attacken wieder zu und haben dabei etwa Anmeldedaten von Privat- sowie Unternehmenskonten im Visier. Finden Sie heraus, wie Brute-Force-Angriffe funktionieren und wie Sie sich neben einem guten Passwortmanager am besten davor schützen können.

Das steckt hinter einem Brute Force-Angriff

Bei einer Brute-Force-Attacke versucht ein Angreifer durch wiederholte und systematische Eingabe verschiedener Nutzernamen und Passwörter Anmeldedaten zu „erraten“. Bildlich beschrieben probiert er also Millionen von Schlüsseln aus bis er den richtigen findet der in das Schloss passt. Da diese Prozedur manuell zu viel Zeit in Anspruch nehmen würde, kommen Automatisierungsprogramme, Skripte oder Bots zum Einsatz, die Millionen Passwort-Kombinationen in Sekunden durchprobieren. Die Angreifer sind aber nicht nur auf Passwörter scharf, auch auf Verschlüsselungs- oder API-Daten sowie SSH-Log-ins. Nach einer erfolgreichen Attacke erlangen die Angreifer etwa Remote-Zugriff auf bestimmte Rechner im Netzwerk. Darüber können sie dann wiederum persönliche Daten abgreifen und erhalten dann Zugang zu weiteren Online-Konten und Netzwerk-Ressourcen. Diese können dann wiederum für Phishing-Links oder Fake-Nachrichten missbraucht werden.

Brute-Force-Varianten im Überblick

  • Klassischer Brute Force-Angriff: Computer probieren jede mögliche Kombination aus Nutzernamen und Passwort aus, bis sie die richtige gefunden haben.
  • Wörterbuchangriff: Die gängigste, aber inzwischen leicht veraltete Brute-Force-Methode ist ein sogenannter Wörterbuchangriff. Dabei greifen die Programme auf ein Wörterbuch mit potenziellen Passwörtern durch und probieren alle der Reihe nach aus.
  • Umgekehrter Angriff: Umgekehrte Brute-Force-Angriff verwenden beliebte Passwörter wie „password“ oder „12345“ und versuchen den dazugehörigen Benutzernamen zu erraten. Da immer noch viele Nutzer auf eingängige Passwörter setzen, ist diese Angriffstechnik erstaunlich erfolgreich.
  • Credential-Recycling / Credential-Stuffing: Ein Brute-Force-Angriff, bei dem Benutzernamen und Kennwörter aus anderen Hacks zum Einsatz kommen.
  • Rainbow-Table-Angriffe: Bei einer Regenbogentabelle handelt es sich sozusagen um vorberechnete Wörterbücher, mit dem nicht das Kennwort selbst, sondern die vom Hash bereitgestellte Verschlüsselungssicherheit angegriffen wird.

Brute Force: der Faktor Zeit

Für die Angriffe setzen Hacker auf verschiedene Automatisierungs-Tools, die of auch für Penetration-Tests genutzt werden. Dazu zählen etwa Hashcat, THC Hydra, John the Ripper und Aircrack. In Kombination mit schnellen Computern, können sie ein einfaches Passwort in Sekunden zu knacken. Mit zunehmender Passwortlänge steigt der Zeitaufwand. Stärkere 8-stellige alphanumerische Passwörter samt Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen sind in rund zwei Stunden erraten. Ein kompliziertes Passwort mit 13 Zeichen ist dagegen erst nach tausenden Jahren geknackt. Neben der Passwortlänge spielt die Verschlüsselungsmethode eine wichtige Rolle für die Passwortsicherheit: Bei einer 128-Bit-Verschlüsselung gibt es 2 128 mögliche Kombinationen – während Angreifer bei einer 256 Bit-Verschlüsselung schon 2 256 mögliche Kombinationen durchtesten müssen.

Brute-Force-Angriffe verhindern

Im Umkehrschluss bedeutet das: Je stärker das Passwort und die Verschlüsselung der Daten, umso mehr Rechenleistung ist auf Seiten der Cyber-Kriminellen erforderlich. Zu Hause als Privatnutzer kann man sich gut mit einem sicheren Passwort und verschiedenen Kennwörtern für die unterschiedlichen Accounts schützen – so verringert man zumindest die Wahrscheinlichkeit von Credential-Stuffing. Unternehmen können also die Effektivität von Brute-Force-Attacken mit den richtigen Mitteln zumindest so weit reduzieren, dass eine erfolgreiche Kompromittierung nahezu unmöglich wird. Hier sind  noch einmal die wichtigsten Maßnahmen, gegen erfolgreiche Brute-Force-Angriffe.

  • Lange, komplizierte Passwörter: Mehr Zeichen bedeuten mehr Zeitaufwand. Mindestens 12 Zeichen sind empfehlenswert. Wichtig ist auch ein starke Verschlüsselungsmethode (idealerweise 256-Bit)
  • Anmeldeversuche einschränken: Das System sollte die möglichen Log-in-Versuche innerhalb eines definierten Zeitrahmens beschränken und nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen einen Passwort-Reset auslösen.
  • Captcha implementieren: Captcha ist ein gebräuchliches System, um zu überprüfen, ob es sich um einen Menschen oder einen Bot bzw. Computer handelt.
  • Multi-Faktor-Authentifizierung: Die Multi-Faktor-Authentifizierung fügt jedem Anmeldeversuch eine zweite Sicherheitsebene hinzu.