Was sind Brute-Force-Angriffe? So schützen Sie sich vor ihnen
Wenn Sie Sicherheitsartikel gelesen oder von schwerwiegenden Verstößen gehört haben, haben Sie wahrscheinlich den Begriff "Brute-Force-Angriff" gehört. Möglicherweise wissen Sie jedoch nicht genau, was dies bedeutet.
Lassen Sie uns durchgehen, was ein Brute-Force-Angriff ist, wie sie normalerweise funktionieren und wie Sie vor ihnen geschützt bleiben können.
Die Grundlagen von Brute-Force-Angriffen
Grundsätzlich ist ein Brute-Force-Angriff wirklich einfach. Das brutale Erzwingen eines Passworts bezieht sich darauf, jede mögliche Kombination zu erraten, bis Sie es schließlich herausfinden. Und obwohl Sie dies manuell tun können, wird es offensichtlich bald langweilig.
Daher versucht ein Computerprogramm bei den meisten grundlegenden Brute-Force-Angriffen, ein Kennwort oder einen Verschlüsselungsschlüssel zu erraten, indem es alle möglichen Kombinationen für eine bestimmte Anzahl von Zeichen durchläuft.
Angenommen, Sie haben ein Dienstprogramm geschrieben, mit dem versucht wurde, ein iPhone-Kennwort mit vier Nummern brutal zu erzwingen. Es würde damit beginnen, 0000 , dann 0001 , dann 0002 , 0003 usw. zu erraten, bis es bis 9999 reicht .
Das gleiche Prinzip gilt für kompliziertere Passwörter. Ein Brute-Force-Algorithmus, der versucht, ein Kennwort mit sechs alphanumerischen Zeichen zu knacken , beginnt möglicherweise mit aaaaaa , aaaaab , aaaaac usw. Es würde dann fortfahren, Zahlen (und möglicherweise Großbuchstaben) wie aabaa1 , aabaa2 , aabaa3 und mehr einzuschließen . Dies würde jede mögliche sechsstellige Kombination von Zahlen und Buchstaben bis hinunter zu zzzzzz , zzzzz1 und darüber hinaus durchlaufen .
Es gibt auch eine verwandte Technik, die als umgekehrter Brute-Force-Angriff bekannt ist und bei der Sie ein gemeinsames Passwort für viele verschiedene Benutzernamen versuchen. Dies ist weniger verbreitet und schwieriger erfolgreich anzuwenden, aber es werden einige gängige Gegenmaßnahmen umgangen (auf die wir gleich noch eingehen werden).
Dies ist eindeutig keine elegante Methode, um ein Passwort zu erraten. Wenn Sie genügend Rechenleistung und Zeit hätten, könnten Sie theoretisch jedes Passwort mit Brute Force erraten. Wenn Sie jedoch versuchen, etwas anderes als ein kurzes und einfaches Passwort zu knacken, sind Brute-Force-Angriffe ineffizient. Es würde Jahre und Tonnen von Rechenleistung brauchen, um ein sicheres Passwort brutal zu erzwingen.
Wie zu erwarten, sind Kennwort-Cracking-Schemata ausgefeilter geworden.
Erweiterte Brute-Force-Angriffe
Da Brute-Force-Angriffe nur begrenzt auf einfache Passwörter angewendet werden können, haben Hacker Möglichkeiten, diese zu verbessern.
Ein Wörterbuchangriff durchläuft beispielsweise nicht nur alle möglichen Zeichenkombinationen. Stattdessen werden Wörter, Zahlen oder Zeichenfolgen aus einer vorkompilierten Liste verwendet – normalerweise aus einer Liste häufig durchgesickerter Kennwörter. Da diese Passwörter so häufig vorkommen, bieten sie wahrscheinlich Zugang zu anderen Konten.
Beispielsweise kann ein Wörterbuchangriff eine Reihe gängiger Kennwörter wie "Kennwort", "123456", "Letmein" usw. versuchen, bevor ein Standard-Brute-Force-Angriff ausgeführt wird. Oder es wird das aktuelle Jahr am Ende aller Kennwörter hinzugefügt, die versucht werden, bevor mit dem nächsten Kennwort fortgefahren wird.
Wörterbuchangriffe reduzieren seltene Passwortkombinationen erheblich. Dies ist sinnvoll – für ein einfaches achtstelliges Passwort verwendet jemand eher "dogs1234" als "zp1vg8el". Indem Sie sich zuerst auf die wahrscheinlicheren Kombinationen konzentrieren, können Sie die Zeit reduzieren, die Sie beim Brute-Forcing verbringen.
Es gibt verschiedene Methoden zur Verwendung von Brute-Force-Angriffen, die jedoch alle darauf beruhen, dass eine große Anzahl von Passwörtern so schnell wie möglich ausprobiert wird, bis das richtige gefunden wird. Einige erfordern mehr Rechenleistung, sparen jedoch Zeit. Andere sind schneller, erfordern jedoch während des Angriffs eine größere Menge an Ressourcen.
Wo Brute-Force-Angriffe gefährlich sind
Theoretisch können Brute-Force-Angriffe auf jedem Konto oder jeder anderen Plattform verwendet werden, die über ein Kennwort oder einen Verschlüsselungsschlüssel verfügt. Aber viele Orte, an denen sie arbeiten könnten, haben normalerweise wirksame Gegenmaßnahmen gegen sie, wie unten untersucht.
Sie sind durch einen Brute-Force-Angriff am stärksten gefährdet, wenn Sie Ihre Daten verlieren und ein böswilliger Schauspieler darauf zugreifen kann. Sobald sich etwas auf dem Computer einer anderen Person befindet, können einige der auf Ihrem Computer oder online vorhandenen Sicherheitsvorkehrungen umgangen werden.
Wie kann ein Schurke Ihre Daten auf seinen Computer übertragen? Sie könnten ein Flash-Laufwerk verlieren, wenn es aus Ihrer Tasche fällt. Vielleicht lassen Sie Ihr Telefon in einer Uber-Fahrt. Ein gehackter Cloud-Dienst kann einige Ihrer Dateien anderen Personen zugänglich machen, oder Malware kann Ihre Daten ohne Ihr Wissen auf den Computer eines anderen kopieren.
Der Punkt ist, dass Brute-Force-Angriffe an einigen Stellen zwar nicht effektiv sind, es jedoch immer noch Möglichkeiten gibt, wie Hacker sie für Ihre Daten bereitstellen können. Um Situationen zu vermeiden, in denen ein Brute-Force-Angriff den Schutz Ihrer Daten beeinträchtigen könnte, sollten Sie genau verfolgen, wo sich Ihre Geräte und Dateien befinden.
Schutz vor Brute-Force-Angriffen
Es gibt eine Reihe von Schutzmechanismen, die Websites und andere Tools gegen Brute-Force-Angriffe einsetzen, sowie Möglichkeiten, sich vor ihnen zu schützen.
Wie Dienste vor Brute-Force-Angriffen schützen
Einer der einfachsten und am häufigsten verwendeten Schutzmaßnahmen ist die Sperrung. Wenn Sie ein bestimmtes Mal ein falsches Passwort eingeben, lehnt das Konto weitere Anmeldeversuche ab. Um es erneut zu versuchen, müssen Sie sich an den Kundendienst wenden oder eine bestimmte Zeit warten.
Dies stoppt einen Brute-Force-Angriff auf seinen Spuren – anstatt Tausende von Kombinationen in Minuten zu versuchen, wird ein potenzieller Hacker davon abgehalten, 10 Minuten oder eine Stunde warten zu müssen, um fortzufahren.
Websites können auch Brute-Force-Angriffe mit einer CAPTCHA-Herausforderung oder ähnlichem abschrecken. Das Ausfüllen eines CAPTCHA jedes Mal, wenn Sie ein Passwort ausprobieren möchten, verlangsamt den Prozess erheblich und macht den Punkt zunichte.
Keine dieser Methoden funktioniert jedoch gegen einen umgekehrten Brute-Force-Angriff. Diese Angriffe schlagen einen Kennworttest nur einmal für jedes Konto fehl, was wahrscheinlich nicht ausreicht, um den Schutz auszulösen.
Es ist erwähnenswert, dass diese Taktiken zwar großartig sind, um Brute-Force-Angriffe zu vermeiden, aber auch andere Möglichkeiten bieten, eine Site anzugreifen. Wenn beispielsweise ein Brute-Force-Angriff auf eine Site gestartet wird, die nach fünf falschen Versuchen Konten sperrt, kann das Kundendienstteam mit Anrufen legitimer Benutzer überflutet werden, wodurch der Betrieb verlangsamt wird.
Das Überwältigen eines Standorts mit Brute-Force-Versuchen könnte auch als Teil eines verteilten Denial-of-Service-Angriffs eingesetzt werden .
So schützen Sie sich vor Brute-Force-Angriffen
Die Zwei-Faktor-Authentifizierung ist eine leistungsstarke Methode, um sich vor Brute-Force-Angriffen zu schützen , sowohl bei Standard- als auch bei umgekehrten Angriffen. Bei der Zwei-Faktor-Authentifizierung (2FA) verhindert die Eingabe eines anderen Codes, dass ein Angreifer Zugriff auf Ihr Konto erhält, selbst wenn ein Hacker das richtige Kennwort errät.
Der einfachste Weg, sich vor einem Brute-Force-Angriff zu schützen, ist bei weitem die Verwendung eines langen Passworts. Mit zunehmender Länge eines Passworts wächst die Rechenleistung, die erforderlich ist, um alle möglichen Zeichenkombinationen zu erraten, exponentiell.
Betrachten Sie das iPhone-Passcode-Beispiel von früher. Ältere Versionen von iOS verwendeten eine vierstellige PIN mit 10.000 möglichen Kombinationen. Moderne iOS-Versionen verwenden jedoch standardmäßig einen sechsstelligen Passcode. Dies erhöht die Anzahl möglicher Kombinationen auf eine Million.
In beiden Fällen ist es unwahrscheinlich, dass jemand Ihr iPhone-Passwort tatsächlich brutal erzwingen kann, was teilweise auf die Sperrung zurückzuführen ist, die nach einigen falschen Vermutungen erfolgt. Sie können jedoch sehen, dass sich der Schutzfaktor durch Hinzufügen von nur zwei weiteren Ziffern um das 100-fache erhöht.
Neben der Länge sind komplexe Passwörter auch viel schwerer zu erzwingen. Wenn jemand ein Passwort brechen wollte und wusste, dass es nur Kleinbuchstaben enthielt, konnte er viele mögliche Kombinationen überspringen. Dieselbe Kennwortlänge mit eingeworfenen Zahlen, Großbuchstaben und Symbolen würde jedoch die Zeit zum Brute-Force-Erzwingen des Kennworts um mehrere Größenordnungen verlängern.
Verwenden Sie sichere Passwörter – idealerweise mit einem Passwort-Manager, damit Sie sich nicht alle merken müssen – und Sie sind so gut wie immun gegen Brute-Force-Angriffe. Ein 12-stelliges Passwort, das Groß- und Kleinbuchstaben, Zahlen und einen Pool von 18 Symbolen verwendet, hätte mehr als 68 Sextillionen Möglichkeiten. Dies würde Jahrhunderte dauern, um brutale Gewalt anzuwenden.
Brute-Force-Angriffe können in einigen Fällen effektiv sein
Diese Art von Angriffen ist einfach und unelegant – der Name ist schließlich aus einem bestimmten Grund "Brute Force". Jetzt wissen Sie, wie Brute-Force-Angriffe funktionieren und wie Sie sich vor ihnen schützen können. Sie sollten sich also keine Sorgen mehr machen müssen.
Verwenden Sie sichere Kennwörter und lassen Sie Ihre Daten nicht an einem Ort landen, an dem sie nicht durch Brute-Force-Gegenmaßnahmen geschützt sind. Vergessen Sie jedoch nicht, dass es andere Möglichkeiten gibt, Passwörter zu kompromittieren.