Bei einem Brute-Force-Angriff handelt es sich um den Versuch, ein Passwort oder einen Benutzernamen zu knacken oder eine verborgene Webseite oder den Schlüssel zu finden, mit dem eine Nachricht verschlüsselt wurde. Dabei wird nach dem Trial-and-Error-Prinzip vorgegangen, in der Hoffnung, die gewünschten Informationen irgendwann zu erraten. Diese Angriffsmethode ist zwar alt, bei Hackern aber immer noch effektiv und beliebt.
Je nach Länge und Komplexität eines Passworts kann das Knacken von ein paar Sekunden bis hin zu vielen Jahren dauern. Tatsächlich bearbeiten einige Hacker über Monate und manchmal sogar Jahre hinweg ein und dasselbe System.
Das Erraten eines Passworts eines bestimmten Benutzers oder einer bestimmten Website kann viel Zeit in Anspruch nehmen. Daher haben Hacker Tools entwickelt, um schneller ans Ziel zu gelangen.
Wörterbücher sind das grundlegendste Tool. Einige Hacker lassen ungekürzte Wörterbücher durchlaufen und ergänzen Wörter durch Sonderzeichen und Ziffern oder verwenden Fachlexika. Diese Art von sequenziellem Angriff ist allerdings mühsam.
Bei einem Standardangriff sucht sich ein Hacker ein Ziel und lässt mögliche Passwörter mit dem Benutzernamen abgleichen. Solche Angriffe sind als Wörterbuchangriffe bekannt.
Wie der Name bereits impliziert, handelt es sich bei einem umgekehrten Brute-Force-Angriff um eine Angriffsstrategie, bei der ein bekanntes Passwort den Ausgangspunkt bildet, wie etwa gehackte Passwörter, die online verfügbar sind. Hierbei werden Millionen von Benutzernamen abgefragt, bis ein Benutzername gefunden wird, der mit dem Passwort übereinstimmt.
Auch für Brute-Force-Angriffe stehen automatisierte Tools zur Verfügung, wie beispielsweise Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng und Rainbow. Viele dieser Tools sind in der Lage, ein Passwort, das aus einem einzigen im Wörterbuch verzeichneten Wort besteht, innerhalb von einer Sekunde zu finden.
Solche Tools überwinden viele Computerprotokolle (wie FTP, MySQL, SMTP und Telnet) und ermöglichen Hackern, WLAN-Router zu knacken, schwache Passwörter zu ermitteln, Passwörter in verschlüsselten Speichern zu entschlüsseln, Wörter in sogenannten Leetspeak zu übersetzen („don’thackme“ wird beispielsweise zu „d0n7H4cKm3“), alle möglichen Zeichenkombinationen durchzutesten und Wörterbuchangriffe auszuführen.
Einige Tools scannen vorberechnete Rainbow Tables auf die Ein- und Ausgangszeichenfolgen bekannter Hashfunktionen. Mit dieser algorithmusbasierten Verschlüsselungsmethode werden Passwörter in lange Zeichenreihen mit einer vorgegebenen Länge übersetzt, die aus Buchstaben und Ziffern bestehen.
Die Kombination von CPU und GPU (Graphics Processing Unit) beschleunigt die Rechenleistung, indem die Tausenden von Rechenkernen in der GPU bei der Verarbeitung einbezogen werden. Dadurch ist das System in der Lage, mehrere Aufgaben gleichzeitig zu bewältigen. Die Verarbeitung per GPU kommt bei Analysen, Engineering und anderen rechenintensiven Programmen zum Einsatz. Mit einer GPU können Passwörter ca. 250 Mal schneller als mit einer CPU allein geknackt werden.
Nehmen wir ein Beispiel: Für ein sechsstelliges Passwort, das aus Ziffern besteht, gibt es etwa zwei Milliarden möglicher Kombinationen. Eine leistungsstarke CPU, die 30 Passwörter pro Sekunde durchprobiert, braucht mehr als zwei Jahre, um das Passwort zu knacken. Kommt nun aber eine einzige, leistungsstarke Grafikkarte ins Spiel, kann derselbe Computer 7.100 Passwörter pro Sekunde durchprobieren und das Passwort innerhalb von dreieinhalb Tagen knacken.
Um Brute-Force-Angriffe zu erschweren, sollten Systemadministratoren sicherstellen, dass die Passwörter für ihre Systeme über die maximale Schlüssellänge verfügen, wie z. B. bei einer 256-Bit-Verschlüsselung. Je mehr Bits die Verschlüsselung aufweist, desto schwerer ist das Passwort zu knacken.
Administratoren sollten außerdem Salts für die Hashfunktionen verwenden. Dabei wird durch das Anhängen einer zufälligen Zeichenfolge aus Buchstaben und Ziffern („Salt“) an das Passwort die Zufälligkeit der Passwort-Hashes sichergestellt. Diese Zeichenfolge sollte in einer separaten Datenbank gespeichert und vor dem Hashen abgerufen und an das Passwort angehängt werden. Auf diese Weise haben Benutzer mit demselben Passwort unterschiedliche Hashes. Darüber hinaus können Administratoren eine zweistufige Authentifizierung erzwingen und ein IDS (Intrusion Detection System) installieren, das Brute-Force-Angriffe erkennt.
Die Begrenzung der Anzahl von Angriffsversuchen reduziert auch die Anfälligkeit für Brute-Force-Angriffe. Wenn Benutzer zum Beispiel drei Versuche haben, um das richtige Passwort einzugeben, bevor für mehrere Minuten eine Sperre aktiviert wird, können Fehlversuche erhebliche Verzögerungen mit sich bringen und dazu führen, dass sich Hacker Zielen zuwenden, bei denen sie ein leichteres Spiel haben.
Benutzer sollten nach Möglichkeit Passwörter mit mindestens zehn Zeichen wählen, die Symbole oder Ziffern enthalten. Damit erhält man 171,3 Trillionen (1,71 x 1020) Kombinationsmöglichkeiten. Mit einem Grafikprozessor, der 10,3 Milliarden Hashes pro Sekunde durchprobiert, würde das Knacken dieses Passworts ca. 526 Jahre dauern. Ein Supercomputer könnte das Passwort allerdings innerhalb von wenigen Wochen herausfinden.
Lange Passwörter sind aber nicht auf allen Websites zulässig; daher sollten Benutzer statt einzelner Wörter komplexe Passphrasen wählen. Es ist wichtig, die häufigsten Passwörter zu vermeiden und das Passwort regelmäßig zu ändern.
Unter https://password.kaspersky.com können Benutzer die Sicherheit von Passphrases testen.
Weitere Artikel:
Weitere Produkte: