Was ist ein Brute-Force-Angriff?

Brute-Force-Angriffe knacken Daten, indem sie jede mögliche Kombination ausprobieren. Das ist wie bei einem Dieb, der einbricht und einen Safe knacken will, indem er jede Zahlenkombination ausprobiert.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Unterscheidung Brute-Force-Angriffe und komplexere Angriffe
  • Definition der Stärken und Schwächen von Brute-Force-Angriffen
  • Erklären Sie die besten Methoden zum Schutz vor Brute-Force-Angriffen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist ein Brute-Force-Angriff?

Ein Brute-Force-Angriff ist eine Versuch-und-Irrtum-Methode zur Entschlüsselung sensibler Daten. Die häufigsten Anwendungsgebiete für Brute-Force-Angriffe sind das Knacken von Passwörtern und das Knacken von Verschlüsselungscodes (lesen Sie weiter, um mehr zu Verschlüsselungscodes zu erfahren). Weitere häufige Ziele für Brute-Force-Angriffe sind API-Schlüssel und SSH-Logins. Auf Passwörter auf einer Anmeldeseite einer Website werden oft Brute-Force-Angriffe von Skripten oder Bots durchgeführt.

Was Brute-Force-Angriffe von anderen Knackverfahren unterscheidet, ist, dass Brute-Force-Angriffe keine intellektuelle Strategie anwenden; sie versuchen einfach, verschiedene Zeichenkombinationen zu verwenden, bis die richtige Kombination ermittelt wird. Das ist wie bei einem Dieb, der versucht, einen Zahlencode-Safe zu knacken, indem er jede mögliche Zahlenkombination ausprobiert, bis sich der Safe öffnet.

Sie werden angegriffen?
Umfassender Schutz vor Cyberangriffen

Was sind die Stärken und Schwächen von Brute-Force-Angriffen?

Der größte Vorteil von Brute-Force-Angriffen liegt darin, dass sie relativ einfach durchzuführen sind und bei ausreichend Zeit und fehlender Abwehrstrategie des Ziels immer funktionieren. Alle existierenden passwortgeschützten Systeme und Verschlüsselungscodes können mittels eines Brute-Force-Angriffs geknackt werden. Die Dauer, die zum gewaltsamen Eindringen in ein System benötigt wird, ist in der Tat eine nützliche Kennzahl, um das Sicherheitsniveau dieses Systems zu messen.

Andererseits sind Brute-Force-Angriffe sehr langsam, da sie jede mögliche Zeichenkombination durchlaufen müssen, bevor sie ihr Ziel erreichen. Diese Langsamkeit wird mit steigender Anzahl von Zeichen in der Zeichenkette des Ziels verstärkt (eine Zeichenkette ist lediglich eine Kombination von Zeichen). Beispielsweise dauert ein Brute-Force-Angriff bei einem vierstelligen Passwort deutlich länger als bei einem dreistelligen Passwort und bei einem fünfstelligen Passwort deutlich länger als bei einem vierstelligen Passwort. Sobald die Anzahl der Zeichen einen bestimmten Punkt überschreitet, wird ein erfolgreicher Brute-Force-Angriff auf ein ordnungsgemäß zufällig generiertes Passwort unrealistisch.

Wie lange dauert Brute-Force-Cracking

Ist die Zielzeichenkette ausreichend lang, kann es Tage, Monate oder sogar Jahre dauern, bis ein ordnungsgemäß zufällig generiertes Passwort entschlüsselt ist. Als Folge der aktuellen Tendenz, dass längere Passwörter und Verschlüsselungsschlüssel verlangt werden, ist auch das Knacken von Inhalten durch Brute-Force-Angriffe um einiges schwieriger geworden. Werden gute Passwörter und Verschlüsselungscodes verwendet, versuchen Angreifer es in der Regel mit anderen Methoden, wie Social Engineering oder On-Path-Angriffen.

So schützt man sich vor Brute-Force-Angriffen

Entwickler, die Autorisierungssysteme verwalten, können Vorkehrungen treffen, wie z. B. das Sperren von IP-Adressen, die zu viele fehlgeschlagene Anmeldungen verursacht haben, und das Integrieren einer Verzögerung in ihre Software zur Passwortüberprüfung. Schon eine Verzögerung von wenigen Sekunden kann die Wirksamkeit eines Brute-Force-Angriffs stark mindern.

Nutzer von Webdiensten können ihre Anfälligkeit für Brute-Force-Angriffe durch die Auswahl längerer, komplexerer Passwörter verringern. Es wird auch empfohlen, die Zwei-Faktor-Authentifizierung zu aktivieren und für jeden Dienst einzigartige Passwörter zu verwenden. Wenn ein Angreifer mit einem Brute-Force-Angriff das Passwort eines Nutzers für einen Dienst knacken kann, kann dieser Angreifer versuchen, die gleichen Login-Daten und Passwort für viele andere beliebte Dienste zu verwenden. Dies wird als Credential Stuffing bezeichnet.

Benutzer sollten auch die Eingabe von Passwörtern oder persönlichen Informationen wie Kreditkartennummern oder Bankinformationen bei Webdiensten vermeiden, die ihre Daten nicht mit robusten Verschlüsselungscodes schützen.

Was ist ein Verschlüsselungscode?

Verschlüsselungscodes sind zufällig erzeugte Bitketten, die erzeugt werden, um Daten zu verschlüsseln und zu entschlüsseln. Sobald die Daten verschlüsselt wurden, erscheinen sie als eine Folge von zufälligen, ungeordneten Zeichen, bis sie mit dem richtigen Verschlüsselungscode entschlüsselt werden. Wie bei Passwörtern können auch Verschlüsselungscodes mit Brute-Force-Angriffen geknackt werden, aber heute gibt es Verschlüsselungscodes, bei denen das Knacken mit modernen Computern so lange dauern würde, dass sie als so gut wie unknackbar gelten.

Was ist der Unterschied zwischen 128-Bit-Verschlüsselung und 256-Bit-Verschlüsselung?

Ein längerer Verschlüsselungscode ist exponentiell sicherer als ein kürzerer. So gibt es z. B. bei einem 128-Bit-Verschlüsselungscode 2128 mögliche Kombinationen, die ein Brute-Force-Angreifer ausprobieren müsste. Ein Angreifer müsste bei einer 256-Bit-Verschlüsselung 2256 verschiedene Kombinationen ausprobieren, was eine 2128-mal höhere Rechenleistung erfordern würde als beim Knacken eine 128-Bit-Schlüssels! (2128 = 340.282.366.920.938.463.463.374.607.431.768.211.456 mögliche Kombinationen).

Damit Sie einen Eindruck davon erhalten, was diese Zahlen bedeuten: Ein leistungsstarker Computer, der Billionen von Kombinationen pro Sekunde überprüfen kann, bräuchte immer noch weit über eine Sexdezillion Jahre, um einen 256-Bit-Verschlüsselungsschlüssel zu knacken (eine Sexdezillion ist eine 1 gefolgt von 96 Nullen).

Da High-Bit-Verschlüsselungscodes praktisch immun gegen aktuelle Brute-Force-Angriffe sind, wird empfohlen, dass alle Webdienste, die Nutzerinformationen sammeln, ihre Daten und Kommunikationen mit 256-Bit-Verschlüsselungscodes verschlüsseln. Cloudflare verwendet die branchenführende TLS-Verschlüsselung zur Verhinderung von Brute-Force-Angriffen, und hat an Zukunftssicherungs-Projekten gegen Quantencomputing gearbeitet.