Was ist ein Brute-Force-Angriff?

Die Taktik des Brute-Force-Angriffs beruht auf Ausprobieren und wird von Hackern dazu verwendet, Login-Daten zu stehlen, Kodierungsschlüssel und versteckte URLs zu knacken.

Wie der Name „Brute-Force-Angriffe“ schon sagt, wird hier mit brachialen Techniken in Form von endlosen Login-Versuchen versucht, sich unbefugt Zugriff auf private Konten, sensible Dateien, Unternehmensnetzwerke und andere passwortgeschützte Online-Ressourcen zu verschaffen. Dies erreichen sie durch den Einsatz von Bots, die kontinuierlich verschiedene Kombinationen von Benutzernamen und Passwörtern ausprobieren, um in die Konten einzubrechen.

Obwohl es die Brute-Force-Angriffe schon seit Jahrzehnten gibt und sie auch verhältnismäßig simpel sind, ist ihre Wirksamkeit und damit auch ihre Popularität ungebrochen, und sie werden häufig von Hackern genutzt. Tatsächlich handelt es sich bei mindestens 80% der aktuellen Datenschutzverletzungen um Brute-Force-Angriffe oder die Verwendung verlorener oder gestohlener Login-Daten.¹ Dies ist leider keine große Überraschung, angesichts der mehr als 15 Milliarden kompromittierten Zugangsdaten, die derzeit in Dark-Web-Foren kursieren und für Hacker problemlos zugänglich sind.²

Angreifer, die ein Konto durch ein Brute-Force-Angriff gehackt haben, können:

• die Benutzeraktivitäten erfassen und überwachen.

   

• den Benutzer einem Identitätsdiebstahl aussetzen, indem sie empfindliche personenbezogene Informationen abrufen, wie zum Beispiel Steuer-, Bank- und Gesundheitsdaten.

   

• die Website mit Malware infizieren, die sich auf den Geräten der Besucher installiert (und diese z. B. kapert, um sie für ein Botnet zu nutzen).

   

• Spam-Werbung auf einer Website einfügen, durch die der Angreifer Geld für jeden Klick erhält oder die Besucher der Website mit Spyware infizieren, um personenbezogene Daten zu erfassen und sie ohne Einwilligung zu verkaufen.

   

• Ihren Ruf durch Vandalismus auf einer Website mit anstößigen Inhalten schädigen.

Es gibt verschiedene Arten von Brute-Force-Angriffen, die alle darauf abzielen, sich unbefugten Zugriff auf Online-Ressourcen zu verschaffen.

Einfache Brute-Force-Angriffe: Die Angreifer versuchen, das Passwort eines Benutzers eigenständig und ohne Hilfe eines Softwareprogramms zu erraten. Diese Angriffe funktionieren, wenn sie gegen Benutzer mit schwachen, leicht zu erratenden Passwörtern wie „password“, „1234567890“ oder „qwertz“ eingesetzt werden.

Wörterbuch-Angriffe (die einfachste Form von Brute-Force-Angriffen): Ein Angreifer probiert so viele Passwörter wie möglich mit einem bestimmten Benutzernamen aus. Diese Brute-Force-Angriffe werden als „Wörterbuch-Angriffe“ bezeichnet, da die Angreifer beim Ausprobieren von Passwörtern ganze Wörterbücher durchgehen und dabei die Wörter oftmals so abändern, dass sie Zahlen und Sonderzeichen enthalten.

Hybride Brute-Force-Angriffe: Diese Angriffsstrategie sieht häufig eine Kombination aus einfachen Brute-Force-Angriffen und Wörterbuch-Angriffen vor. Die Angreifer verwenden zum Knacken von Konten logisch errechnete Wörter und Phrasen in Verbindung mit verschiedenen Buchstaben- und Zeichenkombinationen. Beispiele für Passwörter, die bei dieser Art von Angriff verwendet werden, sind beliebte Kombinationen wie „Houston123!“ oder „Bailey2022“.

Reverse-Brute-Force-Angriffe (oder umgekehrte Brute-Force-Angriffe): Bei Reverse-Brute-Force-Angriffen benutzt der Angreifer ein ihm bekanntes, reelles Passwort. Er arbeitet in umgekehrter Weise und testet Millionen von Benutzernamen mit diesem Passwort, um ein passendes Gegenstück und damit einen Satz von Login-Daten zu finden. In vielen Fällen verwenden die Hacker Passwörter, die aus einer Sicherheitsverletzung stammen und online leicht zugänglich sind.

Credential Stuffing: Diese Methode, auch bekannt als „Credential Recycling“, ist ein weiteres Genre von Brute-Force-Angriffen, bei denen der Angreifer mehrere Kombinationen von Benutzernamen und Passwörtern testet, die von irgendwoher ins Dark Web gelangt sind oder von Websites gestohlen wurden. Diese Angriffstechnik funktioniert gut bei Benutzern, die gleiche Login-Daten für mehrere Online-Konten verwenden.

Passwörter sind generell nicht besonders benutzerfreundlich. Kurze und einfache Passwörter kann man sich zwar leicht merken, aber sie sind leider auch schwach und für Brute-Force-Angreifer leicht zu knacken. Andererseits kann das Erstellen langer und komplexer Passwörter und deren häufige Änderung zwar die Sicherheit deutlich steigern, allerdings sind sie schwer zu merken. Damit steigt die Wahrscheinlichkeit, dass Benutzer wieder dazu übergehen, dieselben Passwörter für mehrere Websites zu verwenden, sie auf unsichere Weise zu speichern und sie nicht häufig genug zu aktualisieren.

Während eine durchschnittliche Person 191 Dienste in Anspruch nimmt, die Passwörter oder andere Login-Daten anfordern³, haben die meisten Menschen doch wesentlich mehr Passwörter zu verwalten, als je zuvor. Hinzu kommt, dass 70% dieselben Benutzernamen und Passwörter auf mehreren Websites verwenden.⁴ Dies macht sie zu einem leichten Ziel für Kriminelle, und wenn Login-Daten durch Phishing oder Brute-Force-Angriffe auf einer Website kompromittiert werden, können Hacker dieselben Kombinationen von Benutzernamen und Passwörtern auch auf weiteren Websites ausprobieren.  

Wie lange ein Brute-Force-Angriff braucht, bis er ein Passwort knacken kann, hängt von der Komplexität dieses Passworts und von der Rechenleistung des Computers ab, den der Hacker verwendet – das heißt, es kann ein paar Sekunden, aber auch Jahre dauern. Gängige Computerprogramme für Brute-Force-Angriffe können bis zu einer Milliarde Passwörter pro Sekunde durchtesten.⁵ Mit anderen Worten: Auch wenn ein Brute-Force-Angriff Jahre braucht, um ein von Ihnen erstelltes komplexes Passwort zu knacken, könnten Sie – je nach Hartnäckigkeit des Angriffs – dennoch gefährdet sein.

Wenn die bisherigen Entwicklungen richtungsweisend sind, dann werden Brute-Force-Angriffe auf Dauer Bestand haben und sich wahrscheinlich weiter ausbreiten. Glücklicherweise sind die Multi-Faktor-Authentifizierung (MFA) und die passwortlose Authentifizierung zwei äußerst wirksame Methoden, um die damit verbundenen Risiken zu mindern.

Im Folgenden werden drei „geeignete“, „bessere“ und „optimale“ Sicherheitspraktiken vorgestellt, mit denen Unternehmen und Einzelpersonen die Wahrscheinlichkeit verringern können, Opfer eines Brute-Force-Angriffs zu werden.

Geeignet: Verstärkung der Passwortsicherheit

Verwenden stärkerer Passwörter, die praktisch nicht zu erraten sind. Dies ist die einfachste (wenn auch schwächste) Methode, um sich gegen Brute-Force-Angriffe zu wappnen. Bewährte Praktiken bei der Erstellung neuer Passwörter sind zum Beispiel Folgende:

• Verwenden langer Passwörter mit mindestens 15 Zeichen.

   

• Erstellen komplexer Passwörter, die zufällige Zeichenketten und keine gängigen Wörter enthalten.

   

• Einschließen von Kombinationen aus Zahlen, Symbolen und Groß- und Kleinbuchstaben in Passwörter.

   

• Niemals dieselben Passwörter für mehrere Websites verwenden.

   

• Der Einsatz von Passwortmanagern, die automatisch sichere Passwörter generieren, die Benutzer sich dann nicht mehr merken müssen.

   

   

Unternehmen sollten ihre Passwörter im Backend anhand der folgenden Sicherheitsmaßnahmen schützen:

• Verwenden der höchstmöglichen Verschlüsselungsraten, z. B. 256-Bit-Verschlüsselung für Passwörter, bevor sie gespeichert werden.

   

• Salting von Passwörtern vor dem Hashing. Unter Salting versteht man das Hinzufügen von zufälligen zusätzlichen Zeichen zu Passwörtern, bevor sie gehasht werden.

   

• Begrenzung der Login-Versuche, so dass ein Brute-Force-Angreifer schon nach wenigen erfolglosen Kombinationen von Benutzername und Passwort an einem erneuten Login-Versuch gehindert wird.

   

• Das Verwenden von CAPTCHA kann Softwareprogramme für Brute-Force-Angriffe abwehren, da sie ihre Legitimität nicht manuell nachweisen können, das heißt sie können keine Kästchen aktivieren oder auswählen, welche Bilder einer Kombination ein bestimmtes Objekt enthalten.

   

Besser: Multi-Faktor-Authentifizierung

Wenn eine Multi-Faktor-Authentifizierung (MFA) angefordert wird, verhindert dies Datenverstöße durch Brute-Force-Angriffe und kompromittierte Login-Daten, da sie eine zusätzliche Sicherheitsebene ergänzt. Wie der Name schon sagt, verwendet die MFA zwei oder mehr Faktoren (auch als „Anmeldedaten“ bezeichnet) zur Authentifizierung eines Users. Diese Faktoren müssen aus mindestens zwei von drei Kategorien stammen:

• Etwas, das man weiß: Die Passwörter, PINS oder Muster, die normalerweise den ersten Authentifizierungsfaktor bilden, sind wissensbasiert und können Fragen sein wie zum Beispiel „Wie lautet der Mädchenname Ihrer Mutter?“.

• Etwas, das man hat: Authentifizierungsfaktoren dieser Kategorie bestätigen, dass Sie im Besitz einer bestimmten Sache sind. Beispiele dafür sind der Empfang einer Push-Benachrichtigung oder einer Textmitteilung auf Ihrem Mobiltelefon oder das Einstecken Ihrer Bankkarte in einen Geldautomaten.

• Etwas, das man ist oder tut: Diese MFA-Kategorie bezieht sich in der Regel auf Ihre Biometrie, wobei die gängigsten Verifizierungsmethoden ein Fingerabdruckscan, die Gesichtserkennung oder Stimmerkennung sind.

   

Wenn sich ein Benutzer mit Faktoren aus mindestens zwei dieser Kategorien authentifiziert, kann ihm ein wesentlich höheres Maß an Vertrauen zugeordnet werden. Ganz gleich, wie sich der Hacker Zugang zu den Login-Daten eines Benutzers verschafft hat, sei es durch einen Brute-Force- oder einen anderen Angriff – bei einer MFA sind diese Login-Daten nutzlos. Das liegt daran, dass der Hacker unfähig ist, die zusätzlichen angeforderten Verifizierungen durchzuführen und eine Push-Benachrichtigung oder eine Gesichtserkennung auf dem spezifischen (das heißt „vertrauenswürdigen“) Gerät des tatsächlichen Benutzers zu erhalten bzw. durchzuführen, um Zugriff zu erhalten.

Optimal: Passwortlose Authentifizierung

Die passwortlose Authentifizierung ist eine weitere Lösung, die Brute-Force-Angreifer sofort stoppen kann. Es handelt sich dabei nicht um ein bestimmtes Produkt oder eine Funktion, sondern um ein gewünschtes Ergebnis, das die Reibung verringert und Sicherheitsrisiken (wie z. B. Brute-Force-Angriffe) eindämmt, indem es die Probleme mit der Benutzerfreundlichkeit, die Passwörter typischerweise mit sich bringen, entweder minimiert oder vollständig ausräumt.

Während eine MFA die Verifizierung der Benutzeridentität mit Passwörtern durch zusätzliche Authentifizierungsschritte ergänzt, gewährt die passwortlose Authentifizierung den Zugriff auf Ressourcen über andere Authentifizierungsfaktoren als Passwörter, z. B. Push-Benachrichtigungen oder Einmalpasscodes (OTPs), QR-Codes, FIDO-Sicherheitsschlüssel oder biometrische Faktoren wie Fingerabdruckscans und Gesichtserkennung. Mit anderen Worten: Bei einer passwortlosen Authentifizierung bemühen sich die Brute-Force-Angreifer vergeblich, denn sie bauen auf die Fallstricke der Login-Daten, die jetzt außer Kraft gesetzt sind.

Einige der wichtigsten Vorteile von MFA und passwortloser Authentifizierung:

• Mehr Sicherheit: Durch das Abfragen zusätzlicher Authentifizierungsfaktoren oder das völlige Abschaffen von Passwörtern erhalten Brute-Force-Angreifer selbst nach erfolgreicher Kompromittierung der Login-Daten eines Benutzers keinen unbefugten Zugriff auf dessen Konto. 

• Bessere Benutzererfahrungen: Diese Methoden ermöglichen reibungslose, optimierte Transaktionen und geringere Abbruchquoten (insbesondere beim Identitäts- und Access-Management für Kunden).

• Gesteigerte Mitarbeiterproduktivität: Wenn Passwörter abgeschafft sind, brauchen die Benutzer sie auch nicht mehr in regelmäßigen Abständen zurückzusetzen (sofern die Unternehmensrichtlinien dies vorgesehen hatten). Dies bedeutet eine effektive Steigerung der Produktivität, da sowohl der damit verbundene Unmut als auch die Ausfallzeiten der Arbeitnehmer verringert werden.

• Kosteneinsparungen: Diese Methoden entlasten die IT-Helpdesks und die Kosten, die entstehen, wenn ein Benutzer sein Passwort vergessen hat. Bei Push-Benachrichtigungen und biometrischen Authentifizierungsfaktoren über das Smartphone des Benutzers entfallen bei MFA und passwortloser Authentifizierung außerdem die Kosten, die mit dem Austausch von Token und/oder Smart Cards verbunden wären.

Ping Identity schützt Unternehmen vor Brute-Force-Angriffen mithilfe seiner PingOne Cloud Plattform, einer Cloud-Lösung, die No-Code-Identitätsorchestrierung mit Authentifizierung, Benutzerverwaltung und adaptiven MFA-Diensten sowie Single Sign-on und passwortloser Authentifizierung kombiniert, um Unternehmen bei der Entwicklung, Prüfung und Optimierung nahtloser und sicherer Kundenerlebnisse zu unterstützen.

Weitere Informationen über die passwortlose Authentifizierung finden Sie in unserem Whitepaper Erste Schritte auf Ihrem Weg zur passwortlosen Authentifizierung.

1 Verizon 2020 Data Breach Investigations Report

2 „From Exposure to Takeover: The 15 billion stolen credentials allowing account takeover“, Digital Shadows, 2020.

3 „From Exposure to Takeover: The 15 billion stolen credentials allowing account takeover“, Digital Shadows, 2020.

4 Griffith, Eric. „Stop Using the Same Password on Multiple Sites! No. Really.“ PCMag, Sept 21, 2021.

5 https://nordpass.com/blog/brute-force-attack/