Was ist eine Brute-Force-Attacke?

Unter einer Brute-Force-Attacke versteht man eine Angriffs-Methode, bei der mithilfe hoher Rechenleistung abgesicherte Zugänge durch wiederholte und systematische Eingabe von Nutzer-Passwort-Varianten und -Kombinationen aufgebrochen werden.

Auf einen Blick

  1. 1. Brute-Force-Attacke: eine Definition
    1. 2. Wie funktioniert eine Brute-Force-Attacke
      1. 3. Welche Arten von Brute-Force-Attacken gibt es?
        1. 4. Welche Tools werden für Brute-Force-Attacken eingesetzt?
          1. 5. Welche Gefahren gehen von Brute-Force-Attacken aus?
            1. 6. Wie können sich Unternehmen vor Brute-Force-Attacken schützen?
              1. 7. Brute-Force-Attacken: Das müssen Sie wissen
                Ablauf einer Brute-Force-Attacke

                01

                Brute-Force-Attacke: eine Definition

                Für Hacker, Pentester, Cyberforensiker und auch Cyberkriminelle gehört das Knacken von Passwörtern per Brute Force seit Jahren zum Standardrepertoire. Mittels automatisierter Tools und leistungsstarker Hardware lassen sich simple Login-Daten in kurzer Zeit „erraten“. Je stärker jedoch die verwendeten Passwörter und Verschlüsselungsalgorithmen ausfallen, desto mehr Rechenleistung und Zeit benötigt die Brute-Force-Methode.

                02

                Wie funktioniert eine Brute-Force-Attacke

                Für Brute-Force-Attacken sind in der Regel leistungsstarke Computersysteme sowie automatisierte Tools erforderlich, die in Kombination ein performantes Abarbeiten möglichst vieler Lösungsansätze erlaubt, um schließlich die gesuchten Zugangsdaten zu entschlüsseln. Der Erfolg einer Brute-Force-Attacke hängt maßgeblich davon ab, wie stark die eingesetzten Passwörter sind und ob bereits weitere Informationen zu den Zugängen vorliegen. Sind beispielsweise schon einzelne Bestandteile des Passworts oder dessen genaue Zeichenzahl bekannt, schränkt das die Anzahl der möglichen Kombinationen deutlich ein und erleichtert damit den Angriff. Je nachdem wie viele Informationen bekannt sind, unterscheidet man auch zwischen unterschiedlichen Varianten von Brute-Force-Angriffen.

                Welche Arten von Brute-Force-Attacken gibt es?

                Je nach Vorgehensweise unterscheidet man bei Brute-Force-Attacken verschiedene Methoden. Eine wesentliche Rolle spielt dabei der Kenntnisstand zu den gesuchten Zugangsdaten.

                Traditioneller Brute-Force-Angriff

                Wenn keine Informationen zu Kennwörtern oder Accountnamen verfügbar sind und die Angreifer lediglich alle möglichen Kombinationen von Login-Daten testen, spricht man von herkömmlichem Brute Force. Umso stärker die dabei eingesetzte Hardware ausfällt, desto schneller können die gesuchten Kennwörter aufgespürt werden. Spezielle Grafikkarten eignen sich sehr gut zum Lösen kryptografischer Rätsel. Daher werden diese auch primär zum Schürfen von Digitalwährungen wie Bitcoin eingesetzt, da sich hier die Anforderungen an die Hardware ähneln.

                Credential Stuffing

                Beim sogenannten Credential Stuffing sind bereits die vollständigen Zugangsdaten bekannt, nicht jedoch der Dienst oder die Plattform, auf welcher sie zutreffen. Die Angreifer machen sich bei dieser Brute-Force-Methode die Bequemlichkeit auf Anwenderseite zu nutze. Da trotz regelmäßiger Warnungen immer noch viele Anwender ein und dieselbe E-Mail-Passwort-Kombination für mehrere Dienste nutzen, ist es für Cyberkriminelle ein Leichtes zahlreiche Konten zu kapern, sobald diese Informationen einmal bekannt sind. Meist stammen die erbeuteten Logininformationen aus Datenpannen von Internetdiensten. Im Darknet werden ganze Listen mit diesen Datensätzen gehandelt. Um möglichst schnell und unerkannt vorzugehen, setzen Angreifer auf Botnetze, die getarnt und mit unterschiedlichen IP-Adressen unzählige parallele Anmeldeversuche starten.

                Credential Cracking

                Im Gegensatz zum Credential Stuffing sind bei Angriffen mittels Credential Cracking noch nicht die gesamten Zugangsdaten bekannt. Beispielsweise besitzen die Angreifer einen Nutzernamen für ein bestimmtes Konto auf einem Payment-Account. Das dazugehörige Passwort fehlt allerdings. Um nun das korrekte Kennwort zu bestimmen, können Angreifer entweder Passwortlisten mit den gängigsten Kennwörtern sukzessive abarbeiten oder den Schlüssel komplett nach dem Zufallsprinzip errechnen. Auch hierfür werden in der Regel Botnetze eingesetzt, um die Angriffe zu verschleiern und zu beschleunigen.

                Rainbow-Table-Angriff

                Haben Angreifer Zugriff auf die im System hinterlegten Passwörter, sind diese in der Regel nicht im Klartext, sondern lediglich als Hashwert gespeichert. Auf den sogenannten Rainbow Tables sind die Hashwerte der gängigsten Passwörter enthalten. Per automatisiertem Abgleich dieser Daten lassen sich die zutreffenden Kennwörter ermitteln.

                Dictionary-Angriff

                Bei Dictionary-Angriffen werden wie der Name schon andeutet, vorhandene Wortlisten mit geläufigen Nutzernamen und Passwörtern eingesetzt, um digitale Zugänge zu knacken.

                04

                Welche Tools werden für Brute-Force-Attacken eingesetzt?

                Neben möglichst starker Hardware spielt auch die eingesetzte Software eine wesentliche Rolle für erfolgreiche Brute-Force-Attacken. Eine Reihe gängiger Cracking-Tools haben sich sowohl bei Sicherheitsspezialisten als auch bei Cyberkriminellen gleichermaßen etabliert:

                Aircrack-ng

                Hinter dem Namen Aircrack-ng verbirgt sich eine ganze Tool-Sammlung zum Aufspüren von Schwachstellen in Drahtlosnetzwerken. Die Software kann unter Windows, Linux, iOS und Android verwendet werden. Das Programm nutzt ein Wörterbuch mit weit verbreiteten Passwörtern, um WLAN-Netzwerke zu knacken.

                John the Ripper

                John the Ripper (kurz JtR) ist ein Programm zum Testen von Authentifizierungseinrichtungen, das als Open-Source-Tool für eine Vielzahl von Betriebssystemen verfügbar ist. Die Software testet alle möglichen Login-Kombinationen unter Verwendung eines Wörterbuchs mit gängigen Passwörtern.

                L0phtCrack

                L0phtCrack ist ein Tool zur Prüfung und Wiederherstellung von Passwörtern, das auch dazu verwendet wird, um die Stärke von Passwörtern zu testen und um verlorene Microsoft-Windows-Passwörter mit Hilfe von reinem Brute Force und auch Rainbow-Table- sowie Dictionary-Angriffen wiederherzustellen.

                Hashcat

                Hashcat ist primär ein Werkzeug zur Passwort-Wiederherstellung, das ursprünglich proprietär, seit 2015 jedoch als Open Source entwickelt wird und für die Betriebssysteme Linux, macOS und Windows verfügbar ist. Die Software knackt Passwörter basierend auf den jeweiligen Hash-Werten.

                DaveGrohl

                Bei der Software handelt es sich um ein freies Brute-Force-Werkzeug für Apples macOS. Ursprünglich war das Tool als Hash-Extractor für Passwörter konzipiert, mittlerweile hat sich DaveGrohl jedoch zu einem Standalone-Tool für Passwort-Cracking entwickelt.

                Ncrack

                Ncrack ist ein Pentesting-Tool zum schnellen Aufschlüsseln von Netzwerkauthentifizierungen. Es wurde für den Einsatz in Unternehmen konzipiert, um die Passwortsicherheit sicherzustellen.

                Brutus

                Das Freeware-Tool Brutus ist ein Passwort-Cracker, der ursprünglich zur Zugangsprüfung von Routern und anderen Netzwerkgeräten vorgesehen war. Die Software unterstützt HTTP (Basic Authentication), HTTP (HTML Form/CGI), POP3, FTP, SMB und Telnet.

                Hydra

                Bei Hydra handelt es sich um einen professionellen Passwort-Cracker, der parallel mehrere Verbindungen und Protokolle unterstützt. Pentester können so mehrere Passwörter auf unterschiedlichen Systemen gleichzeitig unter die Lupe nehmen.

                05

                Welche Gefahren gehen von Brute-Force-Attacken aus?

                Generell ermöglichen Brute-Force-Methoden Angreifern die Kompromittierung von Zugängen und Systemen in Unternehmen. Je nach Zugriffsmöglichkeit und eingesetzter Hardware lassen sich auch komplexe Systemverschlüsselungen von Mobilgeraten wie Smartphones oder Notebooks via Brute Force knacken. Kommen sensible Datensätze in die falschen Hände, können dadurch höhe Schäden entstehen. Waren die Daten nicht hinreichend gesichert, drohen zudem Strafzahlungen wegen mangelnder IT-Sicherheit und Datenschutzvergehen.

                Im Internet haben sich unterdessen Credential Stuffing und Credential Cracking zu lukrativen Einnahmequellen von Cyberkriminellen entwickelt. Die durch diese Methoden gekaperten Online-Zugänge werden im Darknet zu hohen Preisen gehandelt und dienen meist als Ausgangspunkt für weiterführende Cyberattacken. Für Unternehmen haben diese Angriffe schwerwiegende Folgen. Können Angreifer etwa die Konten von Kunden im großen Stil übernehmen, sind neben operativen Einbußen auch langanhaltende Imageschäden für die betroffene Firma zu befürchten.

                06

                Wie können sich Unternehmen vor Brute-Force-Attacken schützen?

                Um Datenlecks infolge von Brute-Force-Attacken zu vermeiden, bieten sich zunächst strikte Kennwort-Richtlinien an. Starke Passwörter nutzen Sonderzeichen und müssen über eine bestimmte Länge verfügen. Außerdem darf jedes Passwort nur für einen einzigen Zugang verwendet werden. Für die Umsetzung bieten sich Kennwort-Verwalter an, die entweder lokal auf dem System, gehosted im internen Firmennetzwerk oder per Cloud-Service zur Verfügung gestellt werden können.

                Zusätzliche Sicherheit für Online-Zugänge bieten Bot-Management-Systeme. Diese Tools erkennen automatisch verdächtige Login-Versuche durch Bots und helfen damit, Angriffe per Credential Stuffing oder Credential Cracking abzuwehren.

                07

                Brute-Force-Attacken: Das müssen Sie wissen

                Mittels Brute-Force-Attacken sind abgesicherte Zugänge zu Systemen auch ohne die erforderlichen Login-Informationen passierbar. Hierzu berechnen die Angreifer die fehlenden Kennwörter mit automatisierten Tools und leistungsstarken Systemen. Mit steigender Komplexität der Login-Daten erhöht sich auch der Aufwand für Brute-Force-Angriffe signifikant. Sind im Gegensatz dazu schon Bestandteile von Login-Namen und Passwort bekannt, erleichtert dies den Vorgang um ein Vielfaches. Brute-Force-Angriffe nutzen sowohl Sicherheitsforscher und Pentester als auch Cyberkriminelle. Untermethoden wie das Credential Stuffing haben sich zu den beliebtesten Angriffsarten von Internetbetrügern entwickelt.

                Schutz vor Brute-Force-Angriffen bieten vor allem starke Passwörter sowie Bot Management-Systeme im Online-Bereich. Letztere helfen dabei, schädliche Anfragen von Bots zu identifizieren und zu blockieren. Auch die Myra Application Security umfasst mit dem Deep Bot Management eine solche Lösung, um zuverlässig gefährlichen Traffic von Ihren Webseiten abzuleiten.

                Weitere Infos zu Myra Deep Bot Management erhalten Sie hier

                Häufige Fragen zum Brute-Force-Angriff

                © Myra Security GmbH 2023, alle Rechte vorbehalten

                Responsible DisclosureGlossarImpressumDatenschutzAGB