EN

Was ist ein Brute-Force-Angriff

In diesem Artikel:

Ein Brute-Force-Angriff ist eine Methode, mit der versucht wird, Passwörter, Anmeldedaten, Verschlüsselungsschlüssel, versteckte Webseiten und Inhalte zu erraten und sich unbefugten Zugang zu Daten, Systemen oder Netzwerken zu verschaffen. Dabei wird versucht, alle möglichen Kombinationen zu testen, um das richtige Passwort zu finden

Um mehr über Brute-Force-Angriffe zu erfahren, wie sie durchgeführt werden, welche Arten von Angriffen es gibt und wie man sie verhindern kann, lesen Sie weiter!

Bedeutung des Brute-Force-Angriffs

Der Name dieses Angriffs leitet sich von seiner Methode ab – es steckt keine komplexe Strategie dahinter. Stattdessen handelt es sich um einen gewaltsamen Versuch, das richtige Ergebnis zu finden, wobei Millionen von Kombinationen verwendet werden können. 

Obwohl es sich um einen alten Angriffstyp handelt und es lange dauern kann, bis er Ergebnisse liefert, ist er immer noch beliebt. Zur Vorbereitung eines tiefergehenden Angriffs kann Brute-Force eingesetzt werden, wenn andere Schwachstellen als Teil eines größeren Angriffsszenarios nicht ausgenutzt werden können, wie z. B. beim DROWN-Angriff oder während der Überwachungs- und Infiltrationsphase.

Ein erfolgreicher Brute-Force-Angriff kann dazu führen, dass Angreifer ein Konto oder System kapern, Malware einschleusen, Daten stehlen oder beschädigen oder auch den Datenverkehr von einer Website umleiten können.

Idealerweise zielen Brute-Force-Angriffe auf die Ausnutzung von Identifizierungs- und Authentifizierungsschwachstellen und -fehlern ab, eine der Schwachstellen, die in der OWASP Top 10 2021 aufgeführt sind. 

Beim Erraten von Passwörtern kann ein Brute-Force-Angriff bei kurzen oder häufig verwendeten Passwörtern sehr effizient sein, bei längeren Passwörtern wird er jedoch langsamer und stößt auf Schwierigkeiten. Je länger ein Kennwort ist, desto mehr Ressourcen und Zeit werden benötigt, um es zu erraten. 

Wie wird ein Brute-Force-Angriff durchgeführt?

Die Bequemlichkeit eines Brute-Force-Angriffs besteht darin, dass er einfach durchgeführt wird und nur wenig Aufmerksamkeit erfordert. Da in der Regel ein Tool verwendet wird, wird der Angriff, sobald er gestartet ist, automatisch ausgeführt und funktioniert entweder, oder nicht. 

Insbesondere, wenn keine Kontosperrungsrichtlinie Anmeldeversuche nach einer bestimmten Anzahl von Fehlversuchen sperrt, schafft dies die notwendigen Bedingungen für die Ausführung eines solchen Angriffs. Dieser Angriff wird hauptsächlich über GET- oder POST-Anfragen ausgeführt.

In seiner einfachsten Form wird beim Versuch, Anmeldedaten zu knacken, eine Anwendung oder ein Skript (Bot) gestartet, das alle möglichen Kombinationen von Zahlen, Buchstaben und Zeichen ausprobiert, um ein Passwort zu erraten. In manchen Fällen werden Listen mit häufig verwendeten oder gestohlenen Anmeldedaten verwendet, um die Erfolgschancen zu erhöhen, da viele Passwörter schwach oder ähnlich sind. 

Eine Möglichkeit für Angreifer, sich für einen solchen Angriff zu rüsten, ist das Dark Web. Im Dark Web werden häufig Brute-Force-Malware-Kits verkauft, die die für einen Angriff erforderlichen Tools und Listen mit gestohlenen Anmeldedaten enthalten. Darüber hinaus können im Dark Web auch Bot-Kits erworben werden. Diese bieten Zugang zu Botnets – gekaperten Computern, deren Rechenleistung für einen Brute-Force-Angriff genutzt wird.

Beispiele für Brute-Force-Angriffe

Nachfolgend sind die wichtigsten Arten von Brute-Force-Angriffen aufgeführt, basierend auf ihrem Angriffsvektor und ihrer Methode. 

Andere, hier nicht aufgeführte Angriffsarten sind Maskenangriffe, Permutationsangriffe, regelbasierte Angriffe usw.

Einfacher Brute-Force-Angriff

Dies ist die einfachste Art der Brute-Force-Methode. Er wird auch als Angriff mit erschöpfender Schlüsselsuche bezeichnet. Dabei werden Tools oder Skripte verwendet, die den Prozess des Erratens eines Passworts automatisieren und viele aufeinanderfolgende Versuche unternehmen, bis die richtige Antwort gefunden wird. 

Abhängig von der Rechenleistung des Angreifers kann er in der Lage sein, Tausende von Vermutungen oder mehr pro Sekunde anzustellen. Mit dieser Methode lassen sich einfache Kennwörter, bei denen es keine Unterschiede in der Groß- und Kleinschreibung gibt, ziemlich leicht knacken. 

Wörterbuchangriff

Bei einem Wörterbuchangriff wird versucht, Benutzerkennwörter zu knacken, indem gängige Phrasen oder Wörter verwendet werden. Dabei können Wörter aus einem Wörterbuch und Zahlenkombinationen verwendet werden, häufig werden aber auch Listen mit gestohlenen Anmeldeinformationen (so genanntes Credential Recycling) eingesetzt. 

Dieser Ansatz kann weiterentwickelt werden, um nach Variationen von Wörtern zu suchen, die unterschiedliche Klein- oder Großbuchstaben verwenden oder die Buchstaben durch Sonderzeichen ersetzen, auch bekannt als Leetspeak. Der Wörterbuchangriff ist spezifischer und stützt sich auf bestimmte Phrasen, die häufiger als Passwörter verwendet werden, ist aber durch die mitgelieferte Logik begrenzt, d. h. es werden keine unwahrscheinlichen oder zufälligen Kombinationen versucht.

Hybrider Brute-Force-Angriff

Bei einem hybriden Angriff werden der einfache Angriff und der Wörterbuchangriff zusammen verwendet. Der anfängliche Ansatz kann auf einer externen Logik beruhen, z. B. dem Wörterbuchangriff. Die möglichen Vorschläge werden dann wie beim einfachen Angriff modifiziert – es werden alle möglichen Varianten getestet. 

So ist es beispielsweise üblich, am Ende des Kennworts eine Zahlenfolge zu verwenden, z. B. „1234“, das Geburtsjahr usw. In diesem Fall wird mit Hilfe eines Wörterbuchansatzes ein gängiges Kennwort getestet, an das viele Zahlenkombinationen angehängt und auf alle möglichen Arten ausprobiert werden. 

Credential Stuffing

Beim Credential Stuffing wird eine bekannte Kombination aus Benutzernamen und Passwort von einer Website auf vielen anderen Websites getestet. Es basiert auf der Logik, dass Menschen manchmal ihre Benutzernamen und Passwörter wiederverwenden.

Umgekehrter Brute-Force-Angriff

Normalerweise beginnen Angreifer mit der Kenntnis von Benutzernamen und versuchen, Passwörter zu erraten. Bei einem umgekehrten Brute-Force-Angriff kennen die Angreifer die Passwörter und probieren verschiedene Kombinationen von Benutzernamen oder Kontonummern aus. 

Passwort-Spraying-Angriff

Dieser Ansatz wird verwendet, wenn Richtlinien zur Kontosperrung vorhanden sind und die Angreifer nur eine begrenzte Anzahl von Versuchen unternehmen können. Anstatt viele verschiedene Kombinationen von Kennwörtern auszuprobieren, nehmen sie zum Beispiel ein Kennwort, von dem bekannt ist, dass es häufig verwendet wird, und probieren es bei vielen anderen Konten aus.

Rainbow-Table-Angriff

Dieser Angriff beruht auf der Umkehrung kryptografischer Hash-Funktionen. Um Anmeldedaten zu knacken, verwenden die Angreifer eine im Voraus berechnete Tabelle oder ein Wörterbuch mit Klartextkennwörtern und den dazugehörigen Hash-Funktionen. Der Ansatz ist jedoch begrenzt, da er nur zum Erraten von Hash-Funktionen einer bestimmten Länge verwendet werden kann.

Botnet-Angriff

Bei einem Botnet-Angriff wird die Leistung vieler Computer gleichzeitig genutzt, um einen Brute-Force-Angriff jeglicher Art durchzuführen. Indem sie ganze Computernetzwerke infiltrieren und kapern, lösen Angreifer das Problem der fehlenden Rechenleistung, um Brute-Force-Angriffe schnell auszuführen. Außerdem hilft die Verwendung eines Botnets, die Angreifer weiter zu verstecken.

Werkzeuge für Brute-Force-Angriffe

Es gibt viele verschiedene Brute-Force-Tools, die von Angreifern eingesetzt werden. Einige dieser Tools sind darauf ausgelegt, nur bestimmte Systeme anzugreifen, während andere für eine Vielzahl von Systemen verwendet werden können. Hier sind einige der beliebtesten Tools.

Aircrack-ng 

Eine Suite von Tools wird verwendet, um die Sicherheit drahtloser Netzwerke zu ermitteln und ihre Passwörter zu knacken, und zwar mithilfe eines Detektors, eines Paket-Sniffers und eines WEP/WPA/WPA2-PSK-Crackers und -Analysetools für Wi-Fi 802.11. Es kann auf Netzwerkschnittstellen-Controller (NIC) abzielen, die den Rohüberwachungsmodus unterstützen. 

John der Ripper

Eines der beliebtesten Tools, John the Ripper, läuft auf 15 verschiedenen Plattformen und vereint eine Vielzahl von Tools in einem. Es kann Hunderte von Verschlüsselungs- und Hash-Typen erkennen und verfügt über einen anpassbaren Cracker. Unter anderem unterstützt es ein Wörterbuch und einen einfachen Brute-Force-Ansatz.

L0phtCrack

Dieses Tool wird hauptsächlich zum Knacken von Windows-Passwörtern durch einfache Brute-Force-, Wörterbuch-, Hybrid- und Rainbow-Table-Angriffe verwendet. Es wird auch zur Überprüfung von Passwörtern eingesetzt.

Ophcrack

Ophcrack ist ein weiteres Tool, das zum Knacken von Windows-Anmeldekennwörtern verwendet wird. Seine Angriffsmethode verwendet LAN Manager (LM) Hashes über Rainbow-Tabellen.

RainbowCrack

Wie der Name schon sagt, verwendet dieses Tool Regenbogentabellen zum Knacken von Kennwörtern. Außerdem ist es schneller als andere Tools, da die Tabellen vorberechnet werden.

THC Hydra

Hydra ist ein parallelisierter Netzwerk-Login-Cracker, der speziell zum Knacken von Netzwerkprotokoll-Passwörtern verwendet wird. Es wird häufig von Penetrationstestern verwendet.

Hashcat

Hashcat ist bekannt für seine Unterstützung vieler verschiedener Hash-Algorithmen und Angriffsarten. Darüber hinaus ist es das wohl schnellste CPU-basierte Cracking-Tool, da es die Grafikeinheit (GPU) mit einbezieht.

DaveGrohl

Dieses Tool ist ein Open-Source-Tool für Mac OS X. Es verwendet Wörterbuch- und Inkrement-Angriffe und verfügt über einen verteilten Modus, der es Angreifern ermöglicht, mehrere Computer gleichzeitig zu benutzen.

Ncrack

Ncrack ist ein weiteres beliebtes Tool zum Knacken der Netzwerkauthentifizierung. Es unterstützt eine Vielzahl von Netzwerkprotokollen und Angriffsarten.

Schutz vor Brute-Force-Angriffen

Um sich vor Brute-Force-Angriffen zu schützen, können Unternehmen einige oder alle der folgenden Maßnahmen ergreifen:

Einführung einer Sperrrichtlinie – Begrenzung der Anzahl der Anmeldeversuche und Sperren von Konten nach mehreren Fehlversuchen.

  • Implementierung progressiver Verzögerungen – verlangsamen Sie die Angriffe erheblich, indem Sie Verzögerungen zwischen den einzelnen fehlgeschlagenen Anmeldeversuchen einführen.
  • Verwendung von Captcha – Brute-Force-Tools können Captcha-Aufgaben nicht ausführen, was eine Hürde für die automatisierte Natur dieses Angriffs darstellt.
  • Einführung einer Richtlinie für starke Passwörter – lehnen Sie schwache Passwörter grundsätzlich ab und verlangen Sie robuste und komplexe Passwörter sowie regelmäßige Passwortänderungen.
  • Schließen Sie ungenutzte Konten – entfernen Sie ungenutzte Konten mit hohen Berechtigungen, da sie ein großes Risiko darstellen.
  • Verwenden Sie eine Multi-Faktor-Authentifizierung – MFA bietet eine zusätzliche Sicherheitsebene, die ein höheres Maß an Sicherheitskompromittierung erfordert, um erfolgreich zu sein.
  • Sorgen Sie für eine hohe Verschlüsselung – je höher die Verschlüsselungsrate, z. B. 256-Bit-Verschlüsselung, desto schwieriger ist es, ein Passwort zu erzwingen.
  • Randomisierung von Passwort-Hashes – Hash-Salting fügt zufällige Zeichenketten in Passwörter ein, wodurch der Hash zufällig wird.
  • Bedrohungen jagen – eine proaktive Bedrohungsjagd kann Versuche erfolgreicher Brute-Force-Angriffe aufdecken.

FAQ

Wie funktionieren Brute-Force-Angriffe?

In ihrer einfachsten Form versuchen Brute-Force-Angriffe, ein Kennwort zu knacken, indem sie alle möglichen Kombinationen durch Ausprobieren ausschöpfen. So kann ein Angreifer beispielsweise Millionen von Kombinationen ausprobieren, um ein Kennwort zu erraten.

Wie kann man sich vor Brute-Force-Angriffen schützen?

Eine der besten Möglichkeiten, sich vor einem Brute-Force-Angriff zu schützen, besteht darin, ein unvorhersehbares, langes und komplexes Kennwort zu verwenden und dessen Wiederverwendung zu vermeiden. Die Verwendung eines Passwort-Managers kann dabei helfen, den Überblick über die Passwörter zu behalten.

Sind Brute-Force-Angriffe gefährlich?

Wenn ein Brute-Force-Angriff erfolgreich ist, kann er zu unbefugtem Zugriff, zum Bekanntwerden von Zugangsdaten, zu Datendiebstahl, zur Übernahme von Konten oder Systemen, zur Verbreitung von Malware und vielem mehr führen.

Erhalten Sie jetzt kostenlos einen schnellen Sicherheitsbericht für Ihre Website

Wir analysieren derzeit http://example.com
Wir scannen derzeit http://example.com
Status des Scans: In Bearbeitung
Scan target: http://example.com/laskdlaksd/12lklkasldkasada.a
Datum: 27/05/2022
Crashtest Security Suite prüft auf:
Information disclosure Known vulnerabilities SSL misconfiguration Open ports
Scanauftrag ausfüllen
Bitte geben Sie Ihre Daten ein, um die schnelle Sicherheitsüberprüfung zu erhalten.
Ein Sicherheitsspezialist analysiert gerade Ihren Scan-Bericht.
Bitte geben Sie Ihre Telefon-/Handynummer an, damit wir Ihre Identität überprüfen können:
Ihren Bericht anfordern
Vielen Dank.
Wir haben Ihren Antrag erhalten.
Sobald Ihr Sicherheitsaudit fertig ist, werden wir Sie benachrichtigen.