Was ist eigentlich ein Brute-Force-Angriff?
Was bedeutet „Brute-Force“?
Der Begriff Brute-Force bedeutet übersetzt „rohe Gewalt“. In der IT macht sich ein sogenannter „Brute-Force-Angriff“ ebenso rohe Gewalt zunutze.
Mit dem Brute-Force Angriff wird versucht Passwörter schlichtweg zu „erraten“. Dabei werden solange alle möglichen Zeichenkombinationen einer bestimmten Länge ausprobiert, bis der Angreifer einen Treffer hat.
Wie läuft ein Brute-Force-Angriff ab?
Ein Brute-Force-Angriff kann aufgrund seiner Vorgehensweise unterschiedlich lang dauern. Dies hängt, neben der Leistungsfähigkeit und den Ressourcen des Angreifer-Systems, ab von der Länge des zu erratenden Passwortes und seiner Komplexität. In einem anderen Artikel, hat mein Kollege Götz Weinmann bereits erwähnt, dass das Herausfinden eines Passwortes über eine Brute-Force-Attacke ab einer gewissen Länge und Komplexität schlichtweg unmöglich ist. Zur Erinnerung noch einmal seine Tabelle:
Komplexität / Länge | 4 Zeichen | 8 Zeichen | 9 Zeichen | 10 Zeichen |
10 [0-9] | <1 ms | 100 ms | 1 s | 10 s |
26 [a-z] | <1 s | 4 min | 2 h | 2 d |
52 [A-Z;a-z] | <1 s | 15 h | 33 d | 5 y |
62 [A-Z;a-z;0-9] | <1 s | 3 d | 159 d | 27 y |
96 (+Sonderzeichen) | <1 s | 84 d | 22 y | 2.108 y |
Das Entschlüsseln eines Passwortes mit 10 Zeichen, bei dem alle Sonderzeichen erlaubt sind, würde mit der Brute-Force-Attacke also im Schnitt 2108 Jahre dauern. Der durchschnittliche Angreifer lebt vermutlich nicht solange.
Zum Teil wird die Brute-Force-Attacke auch kombiniert mit der sogenannten „Wörterbuch-Attacke“ . Bei dieser Attacke liegt eine Liste von Zeichenkombinationen, die nacheinander abgearbeitet werden, dem Angriff zugrunde. Die bekannteste, öffentlich zugängliche Auflistung von Zeichenkombinationen ist das Wörterbuch, daher auch der Name „Wörterbuch-Attacke“.
Wie kann man sich vor Brute-Force-Angriffen schützen?
Um sich gegen Brute-Force-Angriffe zu schützen, sind ausreichend lange und sichere Passwörter dringend notwendig. Da es immer wieder passiert, dass Portale wie beispielsweise LinkedIn von Passwort-Leaks betroffen sind, sollte für jeden Account ein eigens Passwort verwendet werden. Denn einen 100% Schutz gibt es zwar nicht, aber so stellen Sie sicher, dass nur EIN Account betroffen ist und nicht zufällig auch der Zugang zu Ihrem Unternehmens-Account, für den Sie das gleiche Passwort und die gleiche E-Mail-Adresse als Login verwenden.
5 Tipps zum Schutz vor Brute-Force-Angriffen:
- Verwenden Sie keine persönliche Daten in Passwörtern
- Verwenden Sie einen Passwortmanager
- Generieren Sie sich für jeden Dienst ein eigenes ausreichend langes Zufallspasswort
- Nutzen Sie als Passwort kein Wort, welches genau so im Wörterbuch steht
- Schulen Sie Ihre Mitarbeiter zum Umgang mit Passwörtern