Eine Brute Force Attacke ist eine Angriffsmethode von Cyberkriminellen, deren Ziel es ist, beispielsweise Zugangsdaten wie Passwörter und Benutzernamen zu ergattern. Dabei gehen die Angreifer nach einem Trial and Error Prinzip vor, das bedeutet sie probieren schlichtweg unterschiedliche Kombinationen aus und zwar so lange, bis sie beispielsweise ein Passwort „erraten“ haben.

 

Diese Art des Angriffs ist alt und verbraucht unter Umständen sehr viele Ressourcen. Allerdings ist sie immer noch sehr effektiv und daher bei Hackern beliebt, da immer noch viele Passwörter vergleichsweise einfach zu erraten sind (weil sie nicht kompliziert sind) und sich damit der aufwändige Angriff immer noch lohnen kann.

 

Möglichkeiten für einen Brute Force Angriff

 

Ein Brute Force Angriff verbraucht viele Ressourcen, unter anderem Rechenleistung und damit Zeit. Darum haben Hacker früh begonnen Tools zu entwickeln, die die Angriffe beschleunigen.

 

Das grundlegenste Tool sind Wörterbücher. Hier verwenden Hacker Wörter aus dem Wörterbuch und ergänzen sie mit Sonderzeichen und Ziffern. Diese Art des Angriffs ist allerdings relativ aufwändig. Bei einer Standard Attacke wählt ein Hacker sein Ziel aus und versucht Nutzernamen und mögliche Passwörter abzugleichen. Diese Angriffe nennen sich Wörterbuchangriffe.

 

Um diese Wörterbuchangriffe deutlich effizienter zu gestalten wurden automatisierte Tools wie Brutus oder Medusa entwickelt. Diese sind in der Lage Passwörter, die nur aus einem einzigen Wort aus dem Wörterbuch bestehen, innerhalb einer Sekunde herauszufinden.

 

Natürlich wird es für diese Tools deutlich schwieriger, je mehr Sonderzeichen, Ziffern oder inkoherente Passwörter verwendet werden.

GPU gestützte Brute Force Attacke

 

Da die Brute Force Attacken sehr ressourcenintensiv sind, wird sehr viel Rechenleistung gebraucht, die in teilweise sehr langen Wartezeiten für die Angreifer resultieren. Diese Leistung wird jedoch erheblich beschleunigt, wenn zusätzlich zu den CPUs auch GPUs (Grafikkarten) verwendet werden. Bei der Verwendung von GPUs für die Berechnungen und Abfragen können die zahlreichen Rechenkerne der GPUs verwendet werden um mehrere Aufgaben gleichzeitig zu bearbeiten.

 

Wenn eine GPU zum Einsatz kommt, können die Passwörter 250 Mal schneller geknackt werden, als mit einer CPU alleine.

 

Beispiel: Unser Passwort besteht aus 6 Ziffern. Das heißt es gibt in etwa zwei Milliarden möglicher Kombinationen. Eine starke CPU schafft es etwa 30 Passwörter pro Sekunde auszuprobieren. Um alle zwei Milliarden Optionen durchzugehen, braucht die CPU etwa zwei Jahre um das richtige Passwort zu finden.

 

Verwenden wir stattdessen aber eine starke GPU, kann der gleiche Computer über 7000 Kombinationen je Sekunde ausprobieren, sodass das Passwort innerhalb von 3,5 Tagen erraten werden kann.

 

Schutz vor einem Brute-Force Angriff

 

Dreieinhalb Tage sind eine relativ kurze Zeitspanne, sodass es für Systemadministratoren wichtig ist sicherzustellen, dass die Passwörter über die maximale Schlüssellänge – beispielsweise einer 256 Verschlüsselung – verfügen. Je mehr Bits eine Verschlüsselung hat, desto schwieriger ist es das Passwort mittels eines Brute-Force Angriff zu erraten.

 

Zudem wird empfohlen Salts zu verwenden. Das beschreibt das Anhängen von zufälligen Zeichenfolgen aus Ziffern und Buchstaben („Salt“) an das gewählte Passwort. Diese Salts sollten in separaten Datenbanken gespeichert und vor dem Hashen an das Passwort angehängt werden. Damit haben Benutzer mit gleichen Passwörtern immer noch unterschiedliche Hashes. Zudem können Administratoren eine Zwei-Faktor Authentifizierung erzwingen und Intrusion Detection Systeme (IDSs) installieren. Durch IDS wird ein Brute Force Angriff leichter erkannt.

 

Zusätzlich können die erlaubten Versuche limitiert werden. Das heißt ein Nutzer hat beispielsweise nur drei Versuche um das richtige Passwort einzugeben. Schafft er es nicht das richtige Passwort einzugeben, ist er für mehrere Minuten gesperrt. Das hat zur Folge, dass das Ziel für Hacker relativ wenig lohnenswert ist, und die Wahrscheinlichkeit hoch ist, dass sie sich anderen, leichteren Zielen zuwenden.

 

Nebst all der technischen Voraussetzungen ist es jedoch auch wichtig, dass die Nutzer darin geschult sind, sichere Passwörter zu erstellen, und sich auch an entsprechende Richtlinien halten.

 

Sichere Passwörter

 

Die einfachste Methode möglichst sichere Passwörter zu erstellen ist, dass die Passwörter wenigstens zehn Zeichen lang sind. Zusätzlich sollten neben Groß- und Kleinbuchstaben auch Ziffern und Sonderzeichen verwendet werden. Durch diese Vorsichtsmaßnahmen entstehen bereits 171,3 Trillionen (das bedeutet 1,71 * 10²0) möglicher Kombinationen, die ein Hacker für einen Brute Force Angriff ausprobieren müsste.

 

Würde der Angreifer nun eine starke GPU verwenden, die über 10 Milliarden Hashes jede Sekunde ausführen kann, würde er immer noch 526 Jahre brauchen um das Passwort auf diese Weise zu knacken.

 

ABER: Ein Super Computer könnte das Passwort weiterhin innerhalb weniger Wochen herausfinden.

 

Weiteres Problem: Viele Webseiten erlauben keine besonders langen Passwörter. In diesem Fall sollten Benutzer anstatt Wörtern lieber komplizierte Passphrasen erstellen. Dabei sollte auf jeden Fall vermieden werden sehr häufige Passwörter wie beispielsweise den Firmennamen oder einen Vornamen zu verwenden. Zudem sollten Passwörter regelmäßig geändert werden.

 

Eine einfache Möglichkeit starke Passwörter zu erstellen und zu speichern sind Passwort Manager, die die komplexen Passwörter speichern und ihrerseits mit einem Passwort geschützt sind. Dann brauchen sich die User nur noch die Zugangsdaten für den Passwort Manager merken.

War das hilfreich?

Weitere Artikel

Atera ist jetzt SOC 2 Typ 2 konform!

Jetzt lesen

4 Vorteile warum Sie eine IT Security Zertifizierung brauchst!

Jetzt lesen

Was ist ein IT-Sicherheitskonzept?

Jetzt lesen

Was ist ein Ransomware-Angriff?

Jetzt lesen

Stärken Sie Ihr IT-Team mit KI-gestützter IT

Nutzen Sie die Leistung der KI, um Ihre IT-Effizienz zu 10-fachen. Befreien Sie Ihr Unternehmen von den Einschränkungen der gestrigen IT-Tools.