Was ist eigentlich ein Brute-Force-Angriff?

Der Begriff Brute-Force ist den meisten wahrscheinlich bereits begegnet. Was einen Brute-Force-Angriff ausmacht und wie man sich davor schützen kann, erkläre ich in diesem Beitrag.

Was bedeutet „Brute-Force“?

Der Begriff Brute-Force bedeutet übersetzt „rohe Gewalt“. In der IT macht sich ein sogenannter „Brute-Force-Angriff“ ebenso rohe Gewalt zunutze.

Mit dem Brute-Force Angriff wird versucht Passwörter schlichtweg zu „erraten“. Dabei werden solange alle möglichen Zeichenkombinationen einer bestimmten Länge ausprobiert, bis der Angreifer einen Treffer hat.

Wie läuft ein Brute-Force-Angriff ab?

Ein Brute-Force-Angriff kann aufgrund seiner Vorgehensweise unterschiedlich lang dauern. Dies hängt, neben der Leistungsfähigkeit und den Ressourcen des Angreifer-Systems, ab von der Länge des zu erratenden Passwortes und seiner Komplexität. In einem anderen Artikel, hat mein Kollege Götz Weinmann bereits erwähnt, dass das Herausfinden eines Passwortes über eine Brute-Force-Attacke ab einer gewissen Länge und Komplexität schlichtweg unmöglich ist. Zur Erinnerung noch einmal seine Tabelle:

Komplexität / Länge 4 Zeichen 8 Zeichen 9 Zeichen 10 Zeichen
10 [0-9] <1 ms 100 ms 1 s 10 s
26 [a-z] <1 s 4 min 2 h 2 d
52 [A-Z;a-z] <1 s 15 h 33 d 5 y
62 [A-Z;a-z;0-9] <1 s 3 d 159 d 27 y
96 (+Sonderzeichen) <1 s 84 d 22 y 2.108 y

Das Entschlüsseln eines Passwortes mit 10 Zeichen, bei dem alle Sonderzeichen erlaubt sind, würde mit der Brute-Force-Attacke also im Schnitt 2108 Jahre dauern. Der durchschnittliche Angreifer lebt vermutlich nicht solange.

Zum Teil wird die Brute-Force-Attacke auch kombiniert mit der sogenannten „Wörterbuch-Attacke“ . Bei dieser Attacke liegt eine Liste von Zeichenkombinationen, die nacheinander abgearbeitet werden, dem Angriff zugrunde. Die bekannteste, öffentlich zugängliche Auflistung von Zeichenkombinationen ist das Wörterbuch, daher auch der Name „Wörterbuch-Attacke“.

Wie kann man sich vor Brute-Force-Angriffen schützen?

Um sich gegen Brute-Force-Angriffe zu schützen, sind ausreichend lange und sichere Passwörter dringend notwendig. Da es immer wieder passiert, dass Portale wie beispielsweise LinkedIn von Passwort-Leaks betroffen sind, sollte für jeden Account ein eigens Passwort verwendet werden. Denn einen 100% Schutz gibt es zwar nicht, aber so stellen Sie sicher, dass nur EIN Account betroffen ist und nicht zufällig auch der Zugang zu Ihrem Unternehmens-Account, für den Sie das gleiche Passwort und die gleiche E-Mail-Adresse als Login verwenden.

5 Tipps zum Schutz vor Brute-Force-Angriffen:

  • Verwenden Sie keine persönliche Daten in Passwörtern
  • Verwenden Sie einen Passwortmanager
  • Generieren Sie sich für jeden Dienst ein eigenes ausreichend langes Zufallspasswort
  • Nutzen Sie als Passwort kein Wort, welches genau so im Wörterbuch steht
  • Schulen Sie Ihre Mitarbeiter zum Umgang mit Passwörtern

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *