Im Bereich der IT-Sicherheit bedeutet ein Brute Force Angriff (deutsch: rohe Gewalt) das Knacken eines Passworts durch das Berechnen und Ausprobieren tausender möglicher Varianten. Über den Versuch-und-Irrtum-Ansatz kann der Passwortschutz gebrochen werden.
In der IT unterscheidet man grundsätzliche mehrere Wege, sich unerlaubt einen Zugriff zu einem System zu verschaffen: Cyberkriminelle nutzen Schwachstellen (Exploits) aus, um die Passwort-Barriere zu umgehen, die Login-Daten legitimer Nutzer zu stehlen oder das System mit Passwortlisten (Brute Force Methode) zu befeuern. Diese Listen werden automatisch berechnet oder illegal eingekauft und heruntergeladen.
Für die ersteren beiden Varianten gilt: Erforderliches Wissen und nötiger Aufwand sind meist größer als bei Variante drei. Dagegen ist die Brute Force Attacke – wie der Name schon sagt – eine buchstäbliche Holzhammer-Methode. Die Zugriffsversuche erfolgen automatisiert und können von wenigen Sekunden bis zu Tagen andauern. Dies hängt von der Rechenleistung des Computers und der Stärke des Passworts ab.
Von der Nutzung häufig verwendeter Passwörter wird daher dringend abgeraten – stattdessen sollte immer zu einem komplexeren Passwort gegriffen werden.
Jetzt mit Zero Touch WAF von Link11 schützen
Für die Brute Force Methode gibt es verschiedene Ansätze:
Im Internet kursieren Listen mit gekaperten Zugangsdaten, meistens in speziellen Foren im Clearnet oder aber im Darknet. Etwa eine halbe Million Login-Daten von Geräten des belgischen Telekommunikationsunternehmen Telenet wurde im Frühjahr 2020 Opfer in einem Forum veröffentlicht.
Solche Listen werden verkauft oder in manchen Fällen sogar als kostenloser Data Dump von Hackern publiziert. Verfügen die Angreifer über eine vorhandene Liste an möglichen Zugangsdaten, lassen sie diese einfach per Script an der Passwortschranke abfragen.
Im „Idealfall“ für Cyber-Kriminelle müssen sie sich nicht mal die Mühe machen, einen Brute-Force-Angriff vorzubereiten. Die manuelle Eingabe von Standard-Systempasswörtern kann manchmal schon ausreichen. Diese werden werksseitig vergeben und sollten natürlich von Verwendern geändert werden.
Einige Beispiele aus der Presse beweisen allerdings, dass selbst große Unternehmen diese Sicherheitslücke entgeht – mit schwerwiegenden Konsequenzen: Eine Sammelklage richtete sich gegen den US-Amerikanischen Kreditprüfer Equifax, nachdem Hacker mithilfe eines Default-Adminpassworts ins System gelangten und rund 150 Millionen Kundendatensätze von Konsumenten ergaunerten. Diese Fahrlässigkeit im Bereich der IT-Sicherheit kostete das Unternehmen neben dem Imageverlust 700 Millionen US-Dollar.
Bei vielen IoT-Geräten (z. B. Routern) auf dem Markt können eben diese Standard-Passwörter nicht verändert werden. Dadurch werden sie regelmäßig zur Zielscheibe von Botnetz-Attacken.
Fangen Angreifer bei null an, nutzen sie das Prinzip der erschöpfenden Suche. Mithilfe eines Algorithmus werden Passwörter ausprobiert. Die Berechnung der Möglichkeiten funktioniert binnen Sekunden. Neben den häufigsten Passwörtern werden Wörterbuch-Angriffe unternommen. D. h. all bekannten Zeichenkombination, die im Duden o. ä. zu finden sind, werden zunächst durchprobiert.
Hat diese Methode keinen Erfolg, können mögliche Zeichenfolgen (Hashwerte) berechnet werden. Als Hashwerte bezeichnet man Passwörter, nachdem sie mithilfe eines Algorithmus (Hashfunktion) in eine verschlüsselte Zeichenfolge umgewandelt wurden. In dieser Form speichern Systeme Passwörter, damit sie nicht als Cleartext abrufbar sind.
Jedes Mal, wenn sich ein Nutzer einloggt, wird die Passwort-Eingabe durch die Hashfunktion umgewandelt und mit dem gespeicherten Hashwert abgeglichen. Stimmen die beiden Werte überein, ist der Login erfolgreich. Bei einer Brute Force Attacke nutzen Cyberkriminelle genau diese Methode: Sie testen vordefinierte, häufige Hashwerte, die in so genannten Rainbow-Tabellen verfügbar sind. Dies verringert zumindest den Zeitaufwand.
Der Traffic, der durch Bots im Internet entsteht, steigt kontinuierlich. Die bösartige Variante dieser Programme ist außerdem in der Lage, Brute Force Angriffe zu unternehmen. Um solche Bots zu steuern, sind schon lange keine Expertenkenntnisse mehr nötig. Auch spezielle Bad Bots werden als Dienstleistung angeboten.
Ein Problem besteht für viele Internetnutzer darin, dass viele alltägliche Aufgaben über verschiedenste Online-Dienste abgewickelt werden – und das oftmals über mehrere Geräte hinweg, beruflich und privat. Ob Online-Shops, Versicherung, Bezahldienste, Zeitungsabo, E-Mails oder Autovermietung: Jede Registrierung verlangt eine Passwortvergabe. Wie also den Überblick über unzählige Zugänge behalten?
Viele User verwenden genau aus diesem Grund ein einfaches Standardpasswort, das gar nicht oder nur leicht abgewandelt bei allen Logins zum Einsatz kommt. Gerade im E-Commerce ist diese Methode besonders gefährlich, denn Kunden hinterlegen bei den Anbietern neben ihren persönlichen Informationen auch Bezahldaten.
Das Hasso-Plattner-Institut (HPI) veröffentlicht jährlich die beliebtesten Passwörter der Deutschen, um Verbraucher auf die Gefahr eines Passwortmissbrauchs hinzuweisen.
| Rang | Passwort |
|---|---|
| 1 | 123456 |
| 2 | 123456789 |
| 3 | 12345678 |
| 4 | 1234567 |
| 5 | password |
| 6 | 111111 |
| 7 | 1234567890 |
| 8 | 123123 |
| 9 | 000000 |
| 10 | abc123 |
| 11 | dragon |
| 12 | iloveyou |
| 13 | password1 |
| 14 | monkey |
| 15 | qwertz123 |
| 16 | target123 |
| 17 | tinkle |
| 18 | qwertz |
| 19 | 1q2w3e4r |
| 20 | 222222 |
Quelle: HPI
Alle diese Passwörter sind für die Rechenleistung eines herkömmlichen Computers kein Hindernis: Mit der passenden Software können sie innerhalb weniger Sekunden geknackt werden. Aber selbst ohne Unterstützung einer Maschine könnte ein entschlossener Krimineller diese einfachen Kombinationen durch bloßes händisches Ausprobieren erraten.
Wie bei vielen Worst-Case-Szenarios besteht ein grundsätzliches Problem: Die Wahrscheinlichkeit, dass ein Passwort gebrochen wird, ist für Otto Normalverbraucher eher gering. Wenn der Fall aber eintritt, kann der persönliche Schaden enorm groß sein.
Bei der Frage nach der Sicherheit vor Passwortknackern sind nicht nur die Nutzer selbst gefragt, sondern auch die Betreiber von Online-Diensten. Egal, ob E-Mail-Hoster, E-Commerce oder Social-Media-Plattform – User sollten auf einen ausreichenden Schutz achten und diesen einfordern.
Nicht selten schreiben die Anmeldeformulare eines Online-Dienstes genau vor, wie das Passwort aussehen muss. Im Normalfall sollen diese Vorgaben den Nutzer zur Wahl eines stärkeren Passworts zwingen. Leider geht diese Idee aber in manchen Fällen nach hinten los: Ist die Zeichenzahl zum Beispiel auf 8 oder weniger Zeichen festgelegt, nötigt das System den Kunden letztlich dazu, ein Passwort mit nur geringer oder mittlerer Stärke zu wählen.
Es gibt für Betreiber weitere Möglichkeiten, Brute Force Angriffe zu erschweren. Zum Beispiel kann ein definiertes Ereignis eintreten, sobald eine bestimmte Anzahl von erfolglosen Login-Versuchen erreicht wurde:
Diese Schranken bieten einen zusätzlichen Schutz vor Cyberkriminellen. Besonders in Kombination miteinander machen sie einen Brute Force Angriff im besten Fall uninteressant.
Trotzdem funktionieren sie nicht als unüberwindbare Barriere im Kampf gegen professionelle Angreifer. Die Regeln, die definiert werden (z. B. eine Beschränkung der Anmeldeversuche auf 5, danach Sperrung) beziehen sich auf die Verwendung einer individuellen IP-Adresse. Wechselt die IP-Adresse, sind neue Anmeldeversuche möglich. Für Hacker in Kontrolle eines Botnetzes stellt diese Regel also kein starkes Hindernis dar.
Einige Systeme bieten eine erforderliche oder freiwillige Mehrfach-Authentifikation. Statt eines Passworts muss eine weitere Sicherheitsschranke überwunden werden, zum Beispiel:
Nicht selten muss eine zweite Authentifikation über ein weiteres Gerät stattfinden, z. B. durch das Senden eines PINs an eine hinterlegte Mobiltelefonnummer.
Für Unternehmen sieht die Risikokalkulation anders aus: Sie sind beliebte, strategische Ziele für Brute Force Angriffe und müssen sich daher besser absichern. Zwei-Faktor-Authentifizierung kombiniert mit einem strengem Berechtigungsmanagement kann dabei helfen, die Barrieren für Passwort-Knacker höher zu bauen.
Unternehmen können sich außerdem durch Schutzlösungen vor Passwortknackern absichern. Das Stichwort ist dabei Zero Trust (deutsch: Null Vertrauen). Dieser Ansatz im Bereich der Sicherheit bedeutet, dass keinem Client (innerhalb und außerhalb der eigenen Firewall) vertraut wird und Zugangsdaten kontinuierlich abgefragt werden.
Weiterhin helfen Intrusion Detection Systeme dabei, die Sicherheit durch Warnungen zu erhöhen.
Über Link11 Zero Touch WAF informieren
Die einfachste und gleichzeitig effektivste Methode um einen Brute-Force-Angriff einzubremsen, ist ein Absicherungsmechanismus für die Passworteingabe. Wird das benötigte Passwort zu oft falsch eingegeben, wird der Account des Users gesperrt.
Aber Achtung: Eine solche Implementierung kann auch dazu führen, dass seröse Nutzer aus ihrem Account ausgesperrt werden, sollten diese ungewollt das Passwort mehrfach falsch eingeben. Das führt zu einem erhöhten Aufwand der IT-Administration. Eine sorgfältig ausgewählter Mittelweg ist hier die Lösung.
Dieser Tipp mag offensichtlich klingen, ist er aber nicht unbedingt. Grundsätzlich ist es hilfreich, bereits im Vorfeld Passwörter zu vergeben, die eine gewisse Komplexität vorweisen. Das bedeutet: Keine offensichtlichen Zahlenkombinationen und keine normalen Wortkombinationen, wie sie etwa im Duden existieren.
Stattdessen die Empfehlung: Eine lange Kette an Buchstaben und Zahlen, die keinen Sinn und keine Logik vorweisen.
Die Zwei-Faktor-Authentifizierung (= 2FA) ist ebenfalls ein geeigneter Schutzmechanismus. Neben dem klassischen Login-Vorgang wird eine zweite Sicherheitsbarriere implementiert – im besten Fall wird dafür ein zweites Gerät benötigt.
Mögliche Optionen für 2FA wären hier eine Zweitbestätigung per SMS oder per Code-Generator.
Manche Unternehmen setzen auf One-Time-Passwörter (OTP), sogenannte Wegwerf-Passwörter. Vor jedem Login wird ein neuer Login-Code generiert, der den Zugriff erlaubt. Dieser Zugang verfällt nach dem Login und kann kein zweites Mal genutzt werden.
Äußerst effektiv, aber durchaus mit einem Mehraufwand verbunden.
In einer globalen Studie von NTT Security wurden die häufigsten Typen von Cyberangriffen nach Branchen ermittelt. Brute Force Software war mehrfach auf dem Siegertreppchen der größten Gefahren:
Weiterhin fand die Studie, dass 12 % des bösartigen Datenverkehrs weltweit auf Brute Force Angriffe zurückzuführen ist. Die häufigsten Angriffsziele der Cyberkriminellen sind E-Mails, http-Formulare (Browser), Windows-Anwendungen und Dateiübertragungsprotokolle wie SSH/SFTP oder FTP. Eine Untersuchung von eset zeigte außerdem, dass während der globalen COVID-19-Pandemie vermehrt Remote Desktop Protokolle (RDP) attackiert wurden.
