Zum Hauptinhalt springen

Was ist ein Brute-Force-Angriff?

Bei einem Brute-Force-Angriff geht es darum, Anmeldeinformationen oder Verschlüsselungscodes durch reines Ausprobieren zu erraten oder eine versteckte Webseite zu finden. Dafür gehen Hacker alle erdenklichen Kombinationen durch und hoffen, irgendwann auf eine passende zu treffen.

Die englische Bezeichnung bezieht sich dabei auf die „rohe Gewalt“, die bei dem exzessiven Versuch angewendet wird, um sich gewissermaßen gewaltsam Zugang zu privaten Konten zu verschaffen.

Diese Angriffsmethode ist zwar alt, bei Hackern aber immer noch effektiv und beliebt. Da Länge und Komplexität eines Passworts durchaus variieren, kann das Knacken von ein paar Sekunden bis hin zu vielen Jahren dauern.

Was können Hacker mit einem Brute-Force-Angriff erreichen?

Bis sich diese Methode bezahlt macht, müssen Brute-Force-Angreifer viel Geduld aufwenden. Sie holen sich zwar Unterstützung von technischen Tools, aber dennoch könnte man sich fragen, warum sich jemand diese Mühe eigentlich macht.

Aber es gelingt Hackern durchaus, aus Brute-Force-Angriffen genügend Profit zu schlagen:

  • Sie profitieren von Anzeigen oder dem Sammeln von Aktivitätsdaten
  • Es gelingt ihnen, persönliche Daten und Werte zu entwenden
  • Sie richten Chaos durch die Verbreitung von Malware an
  • Sie vereinnahmen Systeme, um weitere schädliche Aktivitäten voranzutreiben
  • Sie können den Ruf einer Webseite ruinieren

Sie profitieren von Anzeigen oder dem Sammeln von Aktivitätsdaten.

Hacker können neben anderen Anbietern eine Website nutzen, um Provisionen für geschaltete Anzeigen zu kassieren. Zu den beliebtesten Methoden gehören hierbei:

  • Auf häufig frequentierten Webseiten werden Spam-Anzeigen geschaltet, so dass jedes Mal die Kasse klingelt, wenn Besucher eine der Anzeigen anklicken oder ansehen.
  • Der Besucherverkehr einer beliebten Webseite wird auf extra dafür geschaltete Werbeseiten umgeleitet.
  • Eine Webseite oder deren Besucher werden mit Malware – in der Regel einer Spyware – infiziert, die künftig alles protokollieren, was ein Nutzer tut. Daten werden ohne Zustimmung ihrer Eigentümer an Werbetreibende verkauft, damit diese ihr Marketing verbessern können.

Es gelingt ihnen, persönliche Daten und Werte zu entwenden.

In Online-Konten einzubrechen ist wie einen Banktresor zu knacken: Alles, von Bankkonten bis hin zu Steuerinformationen, ist mittlerweile online zu finden. Es braucht nur einen erfolgreichen Angriff an der richtigen Stelle und schon hat ein Krimineller Zugang zu Ihren Identitätsdaten und Ihrem Geld, den er selber entweder nutzt oder gewinnbringend weiterverkauft. Manchmal geraten bei Datenschutzverletzungen auf Unternehmensebene die vertraulichen Daten ganzer Konzerne in die falschen Hände.

Sie richten Chaos durch die Verbreitung von Malware an.

Wenn ein Hacker Arger machen oder einfach nur ausprobieren möchte, wie weit er kommt, kann er den Datenverkehr einer Webseite auf eine andere, schädliche Webseite umleiten. Alternativ kann eine Webseite auch direkt mit versteckter Malware infiziert sein, die Internetnutzer sich einfangen, wenn sie die Seite besuchen.

Sie vereinnahmen Systeme, um weitere schädliche Aktivitäten voranzutreiben.

Wenn ein einziger Rechner nicht ausreicht, können Hacker ganze Armeen von gekaperten Geräten ahnungsloser Nutzer anheuern, ein so genanntes Botnet, um sehr viel schneller und wirksamer zum Ziel zu kommen. Malware kann in Ihren Computer, Ihr mobiles Gerät oder Ihre Online-Konten eindringen, um Spam-Phishing, erweiterte Brute-Force-Angriffe und vieles mehr durchzuführen. Besonders stark gefährdet sind Sie, wenn Sie kein Antiviren-Programm installiert haben.

Sie können den Ruf einer Webseite ruinieren.

Als seriöser Betreiber einer Webseite können Sie zur Zielscheibe werden, wenn ein Cyberkrimineller beschließt, Ihre Seiten mit obszönen Inhalten zu infizieren. Dazu könnte er Texte, Bilder und Audiodateien mit gewalttätigem, pornografischem oder rassistischem Inhalt auf Ihrer Seite platzieren.

Arten von Brute-Force-Angriffen

Bei einem Brute-Force-Angriff können ganz unterschiedliche Methoden zum Einsatz kommen, um an Ihre vertraulichen Daten zu kommen. Folgende Brute-Force-Methoden sind besonders beliebt:

  • Einfache Brute-Force-Angriffe
  • Wörterbuchangriffe
  • Hybride Brute-Force-Angriffe
  • Umgekehrte Brute-Force-Angriffe
  • Credential Stuffing

Einfache Brute-Force-Angriffe: Hacker versuchen, Ihre Anmeldedaten ganz ohne Hilfe von Softwaretools oder anderen Mitteln zu erraten, indem sie naheliegende Kombinationen durchprobieren. Diese Methode wirkt bei extrem einfach gestrickten Passwörtern und PINs. Zum Beispiel bei Passwörtern nach dem Schema Gast12345.

Wörterbuch-Angriffe: Bei einem Standardangriff sucht sich ein Hacker ein Ziel und lässt mögliche Passwörter mit dem Benutzernamen abgleichen. Solche Angriffe sind als Wörterbuchangriffe bekannt. Wörterbuchangriffe sind das einfachsten Werkzeuge bei Brute-Force-Angriffen. Obwohl es sich dabei nicht unbedingt um Brute-Force-Angriffe handelt, werden diese häufig als wichtige Komponente zum Knacken von Passwörtern eingesetzt. Einige Hacker lassen ungekürzte Wörterbücher durchlaufen und ergänzen Wörter durch Sonderzeichen und Ziffern oder verwenden Fachlexika. Diese Art von sequenziellem Angriff ist allerdings mühsam.

Hybride Brute-Force-Angriffe: Hierbei kombinieren Hacker externe Tools mit naheliegenden Varianten, um einen Treffer zu landen. Ein hybrider Angriff ist meist eine Kombination aus Wörterbuch- und Brute-Force-Angriff. In der Regel werden dabei Kombinationen aus häufig verwendeten Begriffen mit zufälligen Zeichen gebildet, um das Passwort zu erraten. Brute-Force-Angriffe dieser Art sind am ehesten bei Passwörtern wie NewYork1993 oder Spike1234 erfolgreich.

Umgekehrte Brute-Force-Angriffe: Wie der Name schon sagt, gehen die Angreifer bei dieser Methode umgekehrt, das heißt, vom Passwort, aus. Das Passwort ist bekannt und die Hacker suchen Millionen von Benutzernamen ab, bis sie eine Übereinstimmung finden. Die Passwörter, die hier verwendet werden, wurden in den meisten Fällen im Zuge einer vorangegangenen Datenschutzverletzung abgegriffen und anschließend online zur Verfügung gestellt.

Credential Stuffing: Davon spricht man, wenn dem Hacker eine funktionierende Kombination aus Benutzername und Passwort für eine bestimmte Webseite vorliegt und er dieselbe Kombination auf vielen anderen Webseiten ausprobiert. Diese Methode ist nach wie vor ziemlich erfolgreich, da Internetnutzer dafür bekannt sind, dass sie dieselben Anmeldedaten auf mehreren Webseiten verwenden.

Brute-Force-Angriffsversuche mithilfe von Tools

Das Erraten eines Passworts eines bestimmten Benutzers oder einer bestimmten Website kann viel Zeit in Anspruch nehmen. Daher haben Hacker Tools entwickelt, um schneller ans Ziel zu gelangen.

Automatisierte Tools werden bei Brute-Force-Angriffen unterstützend eingesetzt. Mit ihnen können alle möglichen Passwortkombinationen im Schnellverfahren durchprobiert werden, bis ein Anmeldeversuch gelingt. Eine Brute-Force-Hacker-Software ist in der Lage, ein Passwort, das aus einem einzigen im Wörterbuch verzeichneten Wort besteht, innerhalb von einer Sekunde zu finden.

Zur Unterstützung werden in diese Tools Umgehungstaktiken einprogrammiert:

  • Um mit möglichst vielen Computerprotokollen (wie FTP, MySQL, SMPT und Telnet) arbeiten zu können
  • Um drahtlose Modems zu knacken.
  • Um unsichere Passwörter zu identifizieren.
  • Um Passwörter in verschlüsselten Speichern zu decodieren.
  • Um Buchstaben durch ähnlich aussehende Zahlen zu ersetzen – so wird aus „don'thackme“ zum Beispiel „d0n7H4cKm3“.
  • Um alle erdenklichen Zeichenkombinationen auszutesten.
  • Um Wörterbuchangriffe auszuführen.

Einige Tools durchforsten so genannte Regenbogentabellen nach den Ein- und Ausgaben bekannter Hash-Funktionen. „Hash-Funktionen“ sind auf Algorithmen basierende Verschlüsselungsmethoden, mit denen Passwörter in lange Buchstaben- und Zahlenreihen fester Länge umgesetzt werden. Mit anderen Worten: Regenbogentabellen helfen den schwierigsten Teil des Brute-Force-Angriffs zu überwinden und den Hackingprozess zu beschleunigen.

GPU beschleunigt Brute-Force-Angriffsversuche

Für die Ausführung einer Brute-Force-Passwortsoftware ist sehr viel Rechenleistung erforderlich. Leider haben Hacker Hardware-Lösungen entwickelt, die diesen Teil der Arbeit erheblich erleichtern.

Durch Kombinieren von CPU und Grafikprozessor (GPU) lässt sich die Rechenleistung erheblich steigern. Mithilfe von Tausenden von Computer-Kernels in der Grafikkarte für die Verarbeitung ist das System in der Lage, mehrere Aufgaben auf einmal zu bewältigen. Die Grafikkarte wird für Analysen, technische und andere rechenintensive Anwendungen eingesetzt. Mit dieser Methode können Hacker Passwörter etwa 250 Mal schneller knacken als mit der CPU allein.

Wie lange dauert es also, ein Passwort zu knacken? Nehmen wir ein Beispiel: Für ein sechsstelliges Passwort, das aus Ziffern besteht, gibt es etwa zwei Milliarden möglicher Kombinationen. Eine leistungsstarke CPU, die 30 Passwörter pro Sekunde durchprobiert, braucht mehr als zwei Jahre, um das Passwort zu knacken. Kommt nun aber eine einzige, leistungsstarke Grafikkarte ins Spiel, kann derselbe Computer 7.100 Passwörter pro Sekunde durchprobieren und das Passwort innerhalb von dreieinhalb Tagen knacken.

Schritte für ein Mehr an Passwortschutz für Profis

Um sich selbst und Ihr Netzwerk zu schützen, sollten Sie Vorsichtsmaßnahmen ergreifen und anderen dabei helfen, es Ihnen gleich zu tun. Dazu muss das Nutzerverhalten geändert und die Sicherheitssysteme für Ihr Netzwerk müssen verstärkt werden.

Es gibt eine Reihe von allgemeinen Ratschlägen, die sich sowohl IT-Spezialisten als auch Endnutzer zu Herzen nehmen sollten:

  • Vergeben Sie sichere Passwörter und Benutzernamen. Anmeldedaten, die nicht jeder auf Anhieb erraten kann, helfen Ihnen bei der Abwehr dieser Angreifer, Anmeldedaten wie admin und passwort1234 sollten Sie daher unbedingt vermeiden. Je stärker die Kombination, desto schwieriger wird es, sie zu knacken.
  • Löschen Sie Konten mit weitreichenden Berechtigungen, wenn Sie diese nicht mehr benötigen. In der Cyberwelt ähneln sie Türen mit veralteten Schlössern, die jedem Einbrecher das Leben leicht machen. Konten, die nicht weiter gepflegt werden, sind ein Schwachstelle, die Sie nicht riskieren sollten. Löschen Sie sie so bald wie möglich.

Sobald Sie grundlegende Sicherheit geschaffen haben, sollten Sie die Sicherheit weiter erhöhen und die Benutzer in die Pflicht nehmen.

Wir beginnen mit empfohlenen Maßnahmen im Backend und fahren dann mit Tipps zur Förderung sicherer Verhaltensweisen.

Passiver Backend-Schutz für Passwörter

Hohe Verschlüsselungsraten: Um Brute-Force-Angriffe zu erschweren, sollten Systemadministratoren sicherstellen, dass die Passwörter für ihre Systeme über die maximale Schlüssellänge verfügen, wie z. B. bei einer 256-Bit-Verschlüsselung. Je mehr Bits die Verschlüsselung aufweist, desto schwerer ist das Passwort zu knacken.

Salt für den Hash: Administratoren sollten außerdem Salts für die Hashfunktionen verwenden. Dabei wird durch das Anhängen einer zufälligen Zeichenfolge aus Buchstaben und Ziffern („Salt“) an das Passwort die Zufälligkeit der Passwort-Hashes sichergestellt. Diese Zeichenfolge sollte in einer separaten Datenbank gespeichert und vor dem Hashen abgerufen und an das Passwort angehängt werden. So haben Benutzer mit demselben Passwort unterschiedliche Hashes.

Zwei-Faktor-Authentifizierung (2FA): Darüber hinaus können Administratoren eine zweistufige Authentifizierung erzwingen und ein IDS (Intrusion Detection System) installieren, das Brute-Force-Angriffe erkennt. Voraussetzung dafür ist, dass die Benutzer für die Anmeldung neben dem Passwort eine zweite Sicherheitsebene, z. B. einen physischen USB-Schlüssel oder biometrische Daten wie einen Fingerabdruck-Scan einrichten.

Begrenzung der Anzahl der Anmeldeversuche: Ein weiterer guter Schutz vor Brute-Force-Angriffen ist die Begrenzung der Zahl der Anmeldeversuche, die hintereinander unternommen werden können. Wenn Nutzer zum Beispiel drei Versuche haben, um das richtige Passwort einzugeben, bevor für mehrere Minuten eine Sperre aktiviert wird, können Fehlversuche erhebliche Verzögerungen mit sich bringen und dazu führen, dass sich Hacker Zielen zuwenden, bei denen sie ein leichteres Spiel haben.

Sperrung des Kontos nach eine Überzahl von Anmeldeversuchen: Wenn ein Hacker auch nach einer vorübergehenden Sperrung immer wieder Passwörter ausprobieren könnte, ist die Wahrscheinlichkeit größer, dass er es immer wieder versucht. Wenn das Konto gesperrt und der Benutzer aufgefordert wird, sich an die IT-Abteilung zu wenden, um die Sperre aufzuheben, wirkt das auf Hacker abschreckend. Kurze Sperrzeiten sind zwar bequemer für die Benutzer, aber dieser zusätzliche Komfort kann sich irgendwann als Schwachstelle erweisen. Als guten Mittelweg können Sie erwägen, die komplette Sperrung des Kontos erst vorzunehmen, wenn nach einer kurzen Sperre weiterhin viele fehlgeschlagene Versuche stattfinden.

Verlängerte Zeitspanne zwischen Anmeldeversuchen: Sie können den Angreifer ausbremsen, wenn erst eine gewisse Zeit verstreichen muss, bevor ein erneuter Anmeldeversuch unternommen werden kann. Nach einem fehlgeschlagenen Versuch beginnt ein Timer abzulaufen, und erst danach ist wieder ein Versuch möglich. In der Zwischenzeit könnte Ihr Echtzeit-Überwachungsteam diese Bedrohung erkennen und stoppen. Manch ein Hacker wird seine Versuche eventuell auch einstellen, wenn sich für ihn das Warten nicht lohnt.

Captcha nach wiederholten Anmeldeversuchen: Die manuelle Verifizierung verhindert, dass ein automatisiertes Skript per Brute-Force-Angriff zu Ihren Daten vordringt. Captcha gibt es in zahlreichen Varianten, so müssen Sie z. B. einen Text in einem Bild abtippen, ein Kontrollkästchen aktivieren oder Objekte in Bildern identifizieren. Sie alle sind gleichermaßen geeignet und können sowohl vor der ersten Anmeldung als auch nach jedem fehlgeschlagenen Anmeldeversuch eingefordert werden.

Sperren Sie bekannte Angreifer über eine IP-Deny-Liste. Wer immer diese Liste verwaltet, muss sie natürlich immer auf dem neuesten Stand halten.

Aktiver IT-Support-Schutz für Passwörter

Passwortschulung: Passwortsicherheit hängt im Wesentlichen von Verhalten der Nutzer ab. Informieren Sie Ihre Nutzer über sichere Praktiken und Tools, die ihnen helfen, den Überblick über ihre Passwörter zu behalten. Mit Diensten wie Kaspersky Password Manager können Benutzer ihre komplexen, schwer zu merkenden Passwörter in einem verschlüsselten sicheren Speicher aufbewahren, statt sie auf Notizzetteln zu notieren, was wenig sicher ist. Da Benutzer eher auf Bequemlichkeit bedacht sind als auf Sicherheit, sollten Sie es ihnen mit praktischen Hilfsmitteln möglichst leicht machen.

Lassen Sie Konten in Echtzeit auf seltsame Aktivitäten überwachen: Ungewöhnliche Anmeldeorte, ungewöhnlich hohe Zahl von Anmeldeversuchen usw. Ermitteln Sie Trends, um ungewöhnliche Aktivitäten zu erkennen, und ergreifen Sie Maßnahmen, um potenzielle Angreifer in Echtzeit zu blockieren. Achten Sie auf gesperrte IP-Adressen und Konten und nehmen Sie Kontakt zu den Nutzern auf, um festzustellen, ob die Aktivitäten in ihren Konten ihre Richtigkeit haben (wenn sie verdächtig erscheinen).

So können Nutzer ihre Passwörter vor Brute-Force-Angriffen schützen

Als Nutzer können Sie eine Menge für Ihren Schutz in der digitalen Welt tun. Der beste Schutz vor Passwortangriffen besteht darin, sicherzustellen, dass Ihre Passwörter so schwer wie möglich zu knacken sind.

Brute-Force-Angriffe benötigen Zeit, um ein Passwort herauszufinden. Daher sollten Sie dafür zu sorgen, dass Sie diese Angriffe mit Ihren Einstellungen so weit wie möglich ausbremsen. Denn wenn es zu lange dauert und der Mühe nicht wert ist, geben die meisten Hacker auf und ziehen weiter.

Im Folgenden haben wir für Sie zusammengestellt, wie Sie Ihre Passwörter vor Brute-Force-Attacken schützen können:

Längere Passwörter aus unterschiedlichen Zeichentypen. Benutzer sollten nach Möglichkeit Passwörter mit mindestens zehn Zeichen wählen, die Symbole oder Ziffern enthalten. Damit erhält man 171,3 Trillionen (1,71 x 1020) Kombinationsmöglichkeiten. Mit einem GPU-Prozessor, der 10,3 Milliarden Hashes pro Sekunde durchprobiert, würde es etwa 526 Jahre dauern, das Passwort zu knacken. Ein Supercomputer würde das allerdings innerhalb weniger Wochen schaffen. Nach dieser Logik können Sie Ihr Passwort noch sicherer machen, indem Sie noch mehr Zeichen verwenden.

Ausschweifende Passphrasen. Lange Passwörter sind nicht auf allen Websites zulässig; daher sollten Sie statt einzelner Wörter komplexe Passphrasen wählen. Wörterbuchangriffe sind speziell auf einzelne Wörter ausgerichtet, daher bieten Wörter keinen ausreichenden Schutz. Passphrasen, also Passwörter, die aus mehreren Wörtern oder Sätzen zusammengesetzt sind, sollten darüber hinaus mit zusätzlichen Zeichen und Sonderzeichen gespickt sein.

Erstellen Sie Regeln für die Erstellung Ihrer Passwörter. Die besten Passwörter sind solche, die Sie sich leicht merken können, die aber für Außenstehende keinen Sinn ergeben. Wenn Sie sich für eine Passphrase entscheiden, sollten Sie verkürzte Wörter verwenden, indem Sie z. B. „Holz“ durch „Hlz“ ersetzen und so eine Zeichenkette bilden, die nur für Sie Sinn ergibt. Andere Beispiele sind das Weglassen von Vokalen oder die Verwendung nur der ersten beiden Buchstaben eines Wortes.

Lassen Sie die Finger von häufig verwendeten Passwörtern. Es ist wichtig, die häufigsten Passwörter zu vermeiden und das Passwort regelmäßig zu ändern.

Verwenden Sie für jede Webseite, die Sie nutzen, ein anderes Passwort. Wenn Sie Passwörter grundsätzlich nur einmal verwenden, können Sie niemals zu einem Opfer von Credential Stuffing werden. Noch mehr Sicherheit ist gewährleistet, wenn Sie außerdem noch für jede Webseite einen anderen Benutzernamen angeben. Sie verhindern damit, dass mehrere Konten in Gefahr geraten, wenn nur eines gehackt wird.

Verwenden Sie einen Passwort-Manager. Ein Passwort-Manager erstellt automatisch neue Passwörter für Sie und übernimmt auch die Verwaltung Ihrer Online-Anmeldeinformationen. Sie brauchen sich dann nur noch einmal bei Ihrem Passwort-Manager anmelden und können über ihn bequem auf alle Ihre Konten zugreifen. Wenn Sie dann lange und komplexe Passwörter für alle von Ihnen besuchten Websites erstellen und sicher speichern, brauchen Sie sich nur das Passwort für den Password Manager zu merken.

Wenn Sie wissen möchten, wie lange es dauern würde, Ihr Passwort zu knacken, können Sie die Sicherheit Ihrer Passphrasen unter testen.

Kaspersky Internet Security erhielt zwei AV-TEST Auszeichnungen für die beste Leistung und den besten Schutz für ein Internet Security Produkt im Jahr 2021. In allen Tests zeigte Kaspersky Internet Security hervorragende Leistung und Schutz vor Cyberbedrohungen.

Verwandte Artikel:

Brute-Force-Angriff: Definition und Beispiele

Brute-Force-Angriffe: Passwortschutz
Kaspersky Logo