Brute-Force-Attacke

Unter einer Brute-Force-Attacke (aus dem Englischen für „Rohe Gewalt“) versteht man eine Angriffs-Methode, bei der abgesicherte Zugänge durch wiederholte und systematische Eingabe von Nutzer-Passwort-Varianten und -Kombinationen aufgebrochen werden (sollen). Für Hacker zählt diese Methode zum Standardrepertoire. Mittels automatisierter Tools und viel Rechenleistung lassen sich simple Login-Daten in kurzer Zeit „erraten“. Je stärker (sicherer) die verwendeten Passwörter und Verschlüsselungsalgorithmen ausfallen, desto mehr Rechenleistung und Zeit benötigt die Brute-Force-Methode. Dementsprechend hängt der Erfolg einer Brute-Force-Attacke auch maßgeblich davon ab, wie stark die eingesetzten Passwörter sind und ob bereits weitere Informationen zu den Zugängen vorliegen.

Man unterscheidet übrigens fünf unterschiedliche Brute-Force-Attacken – abhängig vom Kenntnisstand des Angreifers:

• Traditionell
Diese wird genutzt, wenn keinerlei Informationen zu Kennwörtern oder Accountnamen verfügbar sind. Die Angreifer lassen alle möglichen Kombinationen von Login-Daten durchlaufen.

• Credential Stuffing
Beim Credential Stuffing sind vollständige Zugangsdaten bekannt, nicht jedoch der Dienst oder die Plattform, auf welcher sie zutreffen. Da viele Anwender auf unterschiedlichen Plattformen dieselbe E-Mail-/Passwort-Kombination nutzen, machen sich die Cyberkriminellen auf die Suche nach weiteren Konten des Geschädigten. Meistens stammen die Login-Informationen aus Datenpannen. Im Darknet werden ganze Listen mit diesen Datensätzen gehandelt.

• Credential Cracking
Hier sind noch nicht die gesamten Zugangsdaten bekannt, meist besitzen die Angreifer nur den Nutzernamen. Um nun das dazu passende Kennwort zu bestimmen, können Angreifer entweder Passwortlisten mit den gängigsten Kennwörtern sukzessive abarbeiten oder den Schlüssel komplett nach dem Zufallsprinzip errechnen.

• Rainbow-Table-Angriff
Haben Angreifer Zugriff auf hinterlegte Passwörter, sind diese nicht im Klartext, sondern als Hashwert gespeichert – daraus lässt sich das Passwort allerdings nicht rückwärts berechnen. Auf den sogenannten Rainbow Tables sind die Hashwerte der gängigsten Passwörter enthalten. Per automatisiertem Abgleich dieser Daten lassen sich die Kennwörter ermitteln.

• Dictionary-Angriff
Ein weiterer Klassiker. Bei Wörterbuch-Angriffen werden vorhandene Wortlisten mit geläufigen Nutzernamen und Passwörtern eingesetzt, um Zugänge zu knacken.

Nach oben