Auf vielen Internetseiten wird zur Anmeldung mittlerweile eine Multi-Faktor-Authentifizierung gefordert oder zumindest stark empfohlen. Dies dient zum Schutz des eigenen Accounts, da eine reine Passwort-Sicherung mittlerweile nicht mehr ausreicht. Warum das so ist und was der so genannte Brute-Force-Angriff damit zu tun hat, erklären wir Ihnen in unserem heutigen Blog-Beitrag.
Was ist eine Brute-Force-Attacke?
Bei einem solchen Angriff versucht ein Hacker Zugang zu einem Konto zu bekommen, in dem er so lange mögliche Passwörter probiert, bis ihm dies gelingt. Sie können sich dabei das Passwort als eine Art Zahlenschloss vorstellen, bei dem jemand alle Zahlenkombinationen probiert, bis das Schloss aufspringt. Tatsächlich geschieht dieser Vorgang jedoch nicht manuell, sondern wird in der Regel durch einen Bot durchgeführt.
Ein gutes Passwort reicht doch, oder?
Jaein, je länger ein Passwort ist, desto schwieriger wird es mittels Probieren das Passwort zu knacken. Bei einem einfachen Passwort, das nur aus fünf Kleinbuchstaben besteht gibt es beispielsweise 11.881.376 verschiedene Kombinationsmöglichkeiten. Das erscheint erst einmal viel. Allerdings können moderne Rechner mit entsprechenden Programmen innerhalb einer Sekunde bis zu 1.000.000.000 (1 Milliarde) Kombinationen durchprobieren.
Das verdeutlicht die Notwendigkeit von längeren Passwörtern mit Groß- Kleinbuchstaben, Sonderzeichen und Ziffern. Nehmen wir beispielsweise nur Ziffern und Großbuchstaben hinzu ergeben sich für fünf Stellen bereits 916.132.832 Möglichkeiten. Dennoch wäre das Passwort in unter einer Sekunde knackbar. Aus diesem Grund ist es sinnvoll, auch eine entsprechende Länge von mindestens 16 Zeichen für das Passwort zu wählen. Mit Blick auf die größere Rechenleistung und Entwicklung von Quantencomputern raten wir aber in jedem Fall zur Multi-Faktor-Authentifizierung.
Wie funktioniert eine Brute-Force-Attacke im Detail?
Es gibt verschiedene Varianten, wie ein solcher Angriff ausgeführt wird:
1. Klassische Brute-Force: Wie der Name „Brute-Force“ (Rohe Gewalt) ausdrückt, wird beim klassischen Brute-Force-Angriff nur durch Ausprobieren versucht, das Passwort zu knacken. Also alle Kombinationen werden durchprobiert. Dies ist die zeitaufwendigste Variante.
2. Wörterbuch-Attacke: Anders als beim bloßen Durchprobieren, wird hier ein Wörterbuch als Grundlage genutzt. Dieses enthält gängige Passwörter wie „Passwort12345“ oder „admin“. Diese Methode läuft meist weitaus schneller, da nicht alle Kombinationen probiert werden müssen.
3. Hybrid-Attacke aus 1 und 2: Hierbei werden gängige Passwörter mit Zahlen und Sonderzeichen kombiniert. „Passwort1234?“ oder „adm1n“.
Wie können Sie sich vor Brute-Force-Angriffen schützen?
1. Nutzen Sie lange und komplexe Passwörter und diese am besten nur einmal pro Login.
2. Richten Sie, wenn möglich, eine Multi-Faktor-Authentifizierung ein.
3. Wenn Sie selbst Admin sind, richten sie ein, dass sich Ihr System nach zu vielen Fehlversuchen selbst sperrt. Auch eine Captcha Abfrage kann einen automatisierten Angriff verlangsamen oder sogar stoppen.
Fazit
Wir müssen weg von dem Gedanken, dass Hacker händisch versuchen in Systeme einzudringen. Brute-Force-Attacken geschehen durch Bots und KI und sind gerade dadurch so effektiv und wenig zeitaufwendig. Deshalb sollten Sie zwingend die genannten Schutzmaßnahmen für Ihre Accounts durchführen, um kein Opfer von solchen Angriffen zu werden.