Zum Inhalt springen Zur Navigation springen
Brute-Force-Angriffe einfach erklärt sowie Schutzmaßnahmen

Brute-Force-Angriffe einfach erklärt sowie Schutzmaßnahmen

Brute-Force-Angriffe sind immer noch ein beliebtes Mittel, um sich Zugang zu Systemen zu verschaffen. Einerseits, weil die dafür benötigte Rechenleistung immer billiger wird und anderseits, weil Benutzer und Administratoren immer noch sehr sorglos mit Authentifizierungsverfahren umgehen. Wir zeigen, wie Angreifer vorgehen und wie man sich gegen Brute-Force-Attacken schützt.

Definition eines Brute-Force-Angriffs

Brute Force bedeutet übersetzt „mit roher Gewalt“. Bei dieser Art von Angriff werden durch „Trial & Error“ (Ausprobieren und Scheitern), solange Anfragen an ein System gesendet, bis der Angreifer die richtigen Authentifizierungsdaten herausgefunden hat.

Wie funktioniert ein Brute-Force-Angriff?

Die einfachste Version eines Brute-Force-Angriffs ist das simple Erraten von Anmeldedaten bzw. Passwörtern. Dass diese Angriffe dennoch von Erfolg sein können, liegt an der noch immer weit verbreiteten Angewohnheit, sehr einfache Passwörter wie z.B. „1234“ oder mehrmals das gleiche Passwort zu verwenden.

Doch haben Angreifer auch weitaus effektivere Methoden. Denn was Brute-Force-Attacke gerade so attraktiv macht, ist die Vereinfachung des sog. „Trial & Error“ durch die hohe Verfügbarkeit von Skripten, die einen Brute-Force-Angriff zu großen Teilen automatisieren können.

Ein Beispiel hierfür sind Bibliotheken, die bekannte und häufig genutzte Kombinationen für Passwörter verwenden. Ein Tool testet alle Ziffern- oder Buchstabenfolgen gegen das System, bis der Datensatz erschöpft oder das Passwort gefunden wurde. Dasselbe Prinzip funktioniert auch mit Listen von gestohlenen Passwörtern, die meist als Beute aus verschiedenen Hackerangriffen auf Unternehmen stammen. Jedoch wird ein Brute-Force-Angriff aufwendiger, wenn der Betreiber des Systems eine sogenannte Hashfunktion einsetzt.

Was ist eine Hashfunktion?

Denn bestenfalls werden Passwörter „gehashed“. Dies funktioniert im Grunde wie folgt:

Es wird ein Algorithmus (Hashfunktion) verwendet, um ein Passwort in eine Zeichenfolge (Hashwert) umzuwandeln. Gibt ein Nutzer das Passwort in der Anmeldemaske ein, wird dieses mit dem Hash abgeglichen, welcher im Optimalfall in einer externen Datenbank gespeichert ist.

Doch wie wir in unserem Beitrag zu Hashwerten und deren Funktionen aufgezeigt haben, können auch diese Hashverfahren wie bspw. MD5 „geknackt“ werden. Es existieren aber bereits neuere Hashfunktionen wie z.B. SHA-3, welche als sicherer gelten. Zudem lässt sich das Erraten der Hashes durch Brute-Force-Attacken mittels Salt and Pepper noch weiter erschweren.

Wie lange dauert ein Brute-Force-Angriff?

Je stärker das Passwort oder sein Hash, desto länger dauert ein Brute-Force-Angriff. Dabei kommt es insbesondere auf die Länge des Passworts an, da die Anzahl der Möglichkeiten exponentiell ansteigt. Über die konkrete Dauer der Attacke entscheidet dann die dem Angreifer verfügbare Rechenleistung. Zur Verdeutlichung das folgende Beispiel zum Erratens eine mittels MD5 gehashten Passworts. Als Ausgangslage hier, ist die Kennung und der Hash bereits bekannt.

„Eine einzelne Nvidia GTX 1080 Ti schafft rund 35000 MH/s, zusammengeschlossen können MD5 Hashes mit rund 355 GH/s generiert werden:

  • 6-stelliges Passwort: 0,006 Minuten
  • 7-stelliges Passwort: 0,47 Minuten
  • 8-stelliges Passwort: 33,9 Minuten
  • 9-stelliges Passwort: 40,7 Stunden
  • 10-stelliges Passwort: 122,1 Tage

In dieser Berechnung gehen wir von einem Zeichensatz von 72 Zeichen pro Stelle aus. Darunter zählen 10 Ziffern, 52 Buchstaben (klein und groß), 10 Sonderzeichen (mehr werden in der Praxis kaum verwendet).“ Quelle

Mit aktuelleren, besseren Grafikkarten können noch bessere Ergebnisse erzielt werden. Doch je stärker die Hashes, desto mehr Rechenleistung ist nötig – bis die Kosten im Vergleich zum Ergebnis unverhältnismäßig werden.

Zusätzlich bringen Brute-Force-Angriffe weitere Nachteile mit sich. Unter anderem sind sie sehr leicht aufzudecken.

Brute-Force-Attacke aus IT-forensischer Sicht

Wie bereits erklärt, funktioniert ein Brute-Force-Attacke über eine große Anzahl von Anfragen an die Passwortabfrage. Diese Vielzahl von Versuchen generiert aus IT-forensischer Sicht eine Menge „Noise“ (Lärm). Bei der Analyse des Windows-Eventlogs (ID 4625) werden die fehlgeschlagenen Logins, welche sich durch das „Trial & Error“-Prinzip häufen, sehr offensichtlich dargestellt.

Hier gilt es jedoch zu beachten, dass die Auflistung der Logins nicht unendlich ist und Angreifer durch das Fluten der Logfiles ggf. andere Spuren verwischen könnten.

Je nachdem wie ein System konfiguriert ist und wie die Situation es ermöglicht, existieren bei einem Brute-Force-Angriff entweder mehr oder weniger Hindernisse auf dem Weg zum richtigen Kennwort. Beispielsweise eine Accountsperrung nach drei fehlgeschlagenen Versuchen. Mit Updates nach dem 11.10.2022 führt Microsoft diese über eine lokale Richtlinie auch für lokale Administratoren ein.

Ein sicheres Passwort erstellen

Wie schon das obige Beispiel gezeigt hat, kann ein starkes Passwort einen großen Einfluss auf den Ausgang einer Brute-Force Attacke haben.

Ein starkes Passwort beinhaltet sowohl eine ausreichende Länge als auch eine gewisse Komplexität. Man sollte bedenken, dass eine erhöhte Komplexität das Passwort zwar verstärkt, es aber auch schwieriger für den Anwender wird, sich besagtes Passwort zu merken. Den größeren Unterschied macht – wie im Beispiel oben zu sehen – die Länge des Passwortes. Wie man sichere Passwörter in der Praxis erstellt, finden Sie auch in unserem Beitrag „Nützliche Tipps zur Passwort-Sicherheit“.

Brute Force und Passwörter

Brute-Force-Angriffe können ein einfaches Mittel für Angreifer sein, um Passwörter zu knacken. Die stetig steigende Rechenleistung begünstigt diese Art des automatisierten Angriffs zusätzlich. Die Verwendung von aktuellen Hashfunktionen wie SHA-3 und der Erstellung von starken, langen Passwörtern kann zwar nie 100%-ige Sicherheit garantieren, jedoch die Chance auf einen erfolgreichen Brute-Force-Attacke deutlich verringern.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Der Artikel vermischt zwei Dinge und erweckt so den Eindruck, dass man mittels einer Grafikkarte sich schnell in einen Server einloggen kann. Zum Einen werden die Zeiten für das Erraten eines vorhandenen, verschlüsselten Passwords angegeben. Dazu muss man erst das verschlüsselte Passwort irgendwie bekommen haben (und die Kennung sowieso), d.h. man muss schon in ein beteiligtes System eingebrochen sein. Das Zweite ist das Anmelden mit einem komplett unbekannten Passwort aber einer bekannten Kennung (z.B. „admin“). Beim ersteren werden von der Grafikkarte verschlüsselte Passwörter generiert und mit dem Ziel verglichen. Beim zweiten werden Klartext-Passwörter generiert oder eine Liste abgearbeitet werden und dann damit ein Logon versucht. Das dauert wesentlich länger und fällt leicht in den Logs auf, wie beschrieben. Die Zeitangaben im Artikel sind interessant aber haben nichts mit dem Zweiten und wohl häufiger vorkommenden Fall. Insgesamt wird dadurch einen falschen Eindruck für nicht-Experten vermittelt.

  • ich bin unfähig, trotz eines akademischen abschulußes, mir die komplex vorgegebenen passwörter zu merken, und so gehen diese auch verloren. nebenbei mochte ich computer nie, aber wärend des covid zeitraumes wurde uns diese art waren zu beziehen, aufgezwungen. gerne wüßte ich wieviele ältere menschen davon betroffen sind. rebay

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.