Ein Brute-Force-Angriff ist eine Methode in der IT-Sicherheit, bei der systematisch alle möglichen Kombinationen durchprobiert werden, um Zugangsdaten wie Passwörter oder Verschlüsselungen zu knacken. Der Name "Brute Force" (rohe Gewalt) bezieht sich auf die simple aber effektive Vorgehensweise des wiederholten Ausprobierens aller Möglichkeiten.
Wie funktioniert ein Brute-Force-Angriff?
Bei einem Brute-Force-Angriff werden automatisiert alle denkbaren Kombinationen von Zeichen durchprobiert, bis die korrekte Kombination gefunden wird. Dies geschieht in der Regel mit spezieller Software und leistungsstarker Hardware. Je länger und komplexer das Passwort ist, desto mehr Zeit und Rechenleistung wird benötigt. Nicht selten kommen große Server-Farmen oder sogar GPU-Cluster zum Einsatz, um die Berechnungen zu beschleunigen. Letzteres ist primär der Fall, wenn die Verschlüsselung einer Datei oder eines Passworts geknackt werden soll.
Ablauf eines typischen Brute-Force-Angriffs
-
Ziel identifizieren:
Der Angreifer wählt ein Ziel aus, z.B. einen Login-Bereich oder eine verschlüsselte Datei. -
Angriffssoftware einsetzen:
Spezielle Tools wie Hydra oder John the Ripper werden gestartet. -
Kombinationen generieren:
Das Tool erzeugt systematisch alle möglichen Zeichenkombinationen. -
Automatisiertes Testen:
Jede Kombination wird am Zielsystem ausprobiert, bis ein Treffer erzielt wird.
Welche Arten von Brute-Force-Angriffen gibt es?
Es existieren verschiedene Varianten von Brute-Force-Angriffen, die sich in ihrer Vorgehensweise und Effizienz unterscheiden. Die Wahl der Methode hängt oft vom Ziel und den verfügbaren Informationen ab.
Gängige Varianten
-
Einfacher Brute-Force-Angriff:
Alle möglichen Kombinationen werden ohne Vorwissen durchprobiert. -
Wörterbuch-Angriff:
Nutzt eine Liste häufiger Passwörter statt zufälliger Kombinationen. -
Hybridangriff:
Kombiniert Wörterbuch-Angriff mit zufälligen Zeichen. -
Rainbow-Table-Angriff:
Verwendet vorberechnete Tabellen von Passwort-Hashes.
Speziell im Kontext der Web- und API-Sicherheit wollen wir noch eine weitere Art, die sehr selten genannt wird, hinzufügen. Diese lassen sich gut automatisieren und großflächig durchführen. Die Argos Sicherheitsplattform bietet diese Möglichkeit im Rahmen der Überwachung der externen Angriffsoberfläche beispielsweise an.
-
Credential Stuffing:
Nutzt eine Liste von Benutzernamen und Passwörtern, die aus anderen Datenlecks stammen, um Zugriff auf Konten zu erhalten. -
Dynamische Angriffe:
Nutzt eine Liste von pro Ziel generierten Passwörtern und bekannten Nutzernamen, um Zugriff auf Konten zu erhalten. Hier wird Hintergrundwissen über das Ziel benötigt.
Kann man sich vor Brute-Force-Angriffen schützen?
Man kann sie nicht ganz verhindern, jedoch kann man es Angreifern schwer machen, in dem man bestimmte Maßnahmen ergreift.
Schutzmaßnahmen für Nutzer
-
Komplexe Passwörter:
Lange Passwörter mit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen verwenden. -
Einzigartige Passwörter:
Für jeden Dienst ein anderes Passwort nutzen. -
Zwei-Faktor-Authentifizierung:
Zusätzliche Sicherheitsebene durch zweiten Faktor aktivieren. -
Multi-Faktor-Authentifizierung:
Oder noch besser - direkt auf MFA statt 2FA setzen! -
Passwort-Manager:
Sichere Verwaltung komplexer Passwörter mit spezieller Software.
Maßnahmen für Systembetreiber
-
Zugriffsbeschränkungen:
Begrenzen der Anmeldeversuche und temporäres Sperren nach Fehlversuchen. -
CAPTCHA:
Einsatz von CAPTCHAs zur Unterscheidung von Mensch und Maschine. -
Verzögerungen:
Künstliche Verlangsamung der Login-Prozesse nach Fehlversuchen. -
Sichere Hashing-Verfahren:
Verwendung moderner Algorithmen zur Passwortspeicherung.
Brute-Force-Angriffe stellen nach wie vor eine ernst zu nehmende Bedrohung dar. Mit den richtigen Schutzmaßnahmen lässt sich das Risiko jedoch deutlich reduzieren. Regelmäßige Schulungen und Updates der Sicherheitssysteme sind dabei unerlässlich.
Was sind typische Ziele für Brute-Force-Angriffe?
Häufig sieht man, dass Black Hat Hacker und APT versuchen Login-Daten von Portalen und Logins zu bruteforcen. Hierbei sind besonders Webseiten, APIs und Remote-Desktops beliebte Ziele. Server-Administratoren kennen das Problem ebenfalls nur zu gut - Port 22 (SSH) oder Port 21 (FTP) sind beliebte Ziele für Brute-Force-Angriffe, da sie bei Erfolg direkten Zugriff auf das System ermöglichen. Remote Desktops auf Port 3389 sind ebenfalls beliebte Ziele. Im Bereich von Websites sind Port 80 bzw. 443 (HTTP/HTTPS) interessant, wenn der HTTP-Status Code 401 (Unauthorized) zurückgegeben wird. Hierbei wird oft versucht, die Zugangsdaten der htaccess-Datei zu erbeuten. Das spannende hier ist, dass es an dieser Stelle oft keine Schutzmechanismen gibt, weshalb Hacker hier viele Kombinationen ausprobieren können.
Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.