Wenn es um Cybersicherheit geht, ist ein oft genannter Begriff der Brute-Force-Angriff. Ein Brute-Force-Angriff ist jeder Angriff, der nicht auf Geschicklichkeit basiert, sondern rohe Rechenleistung nutzt, um Sicherheit oder sogar die zugrunde liegende Verschlüsselung zu knacken.
In diesem Artikel gehen wir durch, was Brute-Force-Angriffe sind, wie sie funktionieren und wie du sie verhindern kannst.
- Was bedeutet Brute-Force-Angriff?
- Beispiele für Brute-Force-Angriffe
- Verhinderung von Brute-Force-Angriffen
Was bedeutet Brute-Force-Angriff?
Das reale Äquivalent eines Brute-Force-Angriffs ist das Überwinden eines Schlosses nicht mit einem Dietrich, sondern mit einem Brecheisen. Es ist laut, unordentlich und nicht sehr elegant, aber es erfüllt seinen Zweck.
Ein gutes Beispiel dafür, wie sich dieses Prinzip digital äußert, ist der sogenannte Wörterbuchangriff – verwendet im berühmten Sicherheitsvorfall 2012 bei Dropbox, bei dem die Anmeldeinformationen von 68 Millionen Nutzern kompromittiert wurden. In diesem Szenario wird ein Angreifer versuchen, ein Passwort für ein Online-Konto zu erraten, indem er ein Programm dazu bringt, Tausende, wenn nicht Millionen, gängiger Wörter auszuprobieren, in der Hoffnung, Glück zu haben und eines zu finden, das funktioniert.
Die Vermutungen basieren auf bekannten Passwörtern und deren Ableitungen, nicht nur auf Wörterbuchwörtern, und jede Vermutung wird normalerweise einzeln durchgeführt. Es braucht nur ein System, das leistungsstark genug ist, um wiederholt alle mathematischen Möglichkeiten abzuarbeiten, bis das Programm die richtige Kombination von Symbolen findet, die das Passwort für dieses Konto bilden.
Es sollte erwähnt werden, dass die Verwendung eines digitalen Brecheisens auf diese Weise nicht nur ressourcenintensiv ist, sondern auch viel Zeit in Anspruch nimmt. Obwohl das Eingeben möglicher Passwörter schnell, in nur Millisekunden, erfolgen kann, summiert sich das enorme Volumen dieser Millisekunden schnell. Daher können die Betreiber einer Website oft einen Angriff stoppen, bevor er ernsthaften Schaden anrichtet – aber nicht immer.
Beispiele für Brute-Force-Angriffe
Wörterbuchangriffe sind nur eine Art von Brute-Force-Angriffen, genau wie Brecheisen nur eine Möglichkeit sind, ein Schloss zu öffnen. Im Folgenden sind einige der häufigeren aufgelistet.
Credential Stuffing
Credential Stuffing-Angriffe sind eine weitere sehr einfache Art. Anstatt zu versuchen, die Anmeldeinformationen der Opfer zu erraten, verwenden sie stattdessen bekannte Anmeldeinformationen – die normalerweise in einem Datenleck veröffentlicht wurden – und probieren sie in großer Zahl auf verschiedenen Websites aus (stuffing).
Da viele Menschen ihren Benutzernamen und ihr Passwort wiederverwenden – was eine Folge von Passwortmüdigkeit ist – macht dies Credential Stuffing zu einem erfolgreichen Angriffsvektor für jeden Cyberkriminellen, der schnell Geld verdienen will.
Passwort-Spraying-Angriffe
Passwort-Spraying-Angriffe, auch bekannt als umgekehrte Brute-Force-Angriffe, gehen ähnlich vor. In diesem Fall haben Angreifer eine Liste von Benutzernamen und gehen dann mit einfachen Passwörtern diese Liste durch, in der Hoffnung, Glück zu haben.
Diese Art ist besonders effektiv gegen Organisationen mit laxen Sicherheitsmaßnahmen. Die meisten Unternehmen haben eine festgelegte Methode zur Generierung von Benutzernamen (zum Beispiel durch Kombination von Vor- und Nachnamen), und die Admins lassen Benutzer nicht immer das Standardpasswort ändern (das oft etwas wie password123 ist). Wenn auch nur ein Benutzer ihr Passwort nicht geändert hat, erhalten die Angreifer einfachen Zugang.
Verhinderung von Brute-Force-Angriffen
Wenn du genau hingesehen hast, hast du bemerkt, dass alle oben genannten Arten von Brute-Force-Angriffen eines gemeinsam haben: Sie zielen alle auf leicht erratbare Passwörter ab. Daher bist du, wenn du dein Passwort sicherst, größtenteils vor diesen Arten von Brute-Force-Taktiken geschützt.
Beispielsweise können Wörterbuchangriffe durch die Verwendung von langen, zufälligen Passwörtern abgewehrt werden. Diese werden jedes Passwort-Programmierprogramm stoppen, da sie nicht vorhersagen können, welches Symbol als Nächstes kommt. Je länger du sie machst, desto länger benötigt es, sie zu knacken, was mit einem 16-Zeichen-Passwort auf Milliarden von Jahren hinausläuft.
Credential Stuffing-Angriffe können verhindert werden, indem man immer zufällige Passwörter verwendet und nie dasselbe Passwort zweimal benutzt. Selbst wenn ein Datenleck eines deiner Passwörter offengelegt, weißt du, dass alle deine anderen Konten sicher sind.
Die Verwendung dieser beiden Taktiken verhindert auch Passwort-Spraying-Angriffe, da diese auf die Wiederverwendung schwacher Passwörter angewiesen sind. Indem du immer starke Passwörter in Kombination mit Zwei-Faktor-Authentifizierung (2FA) verwendest, bei der du ein zweites Gerät nutzen musst, um deine Identität nachzuweisen, machst du jeden Versuch von Passwort-Spraying nutzlos.
Wie man Brute-Force-Angriffe mit Proton verhindert
Alle oben genannten Tipps sind Teil einer anständigen Passwort-Richtlinie, egal ob du ein Unternehmen oder eine Einzelperson bist. Um sie jedoch umzusetzen, benötigst du einen Passwort-Manager, ein Programm, das Passwörter für dich generieren und speichern kann, und sogar automatisches Ausfüllen beim Surfen bietet. Sie sind nicht nur eine Möglichkeit, deine Online-Sicherheit zu verbessern, sondern auch deine Lebensqualität.
Ein Passwort-Manager kann noch viel mehr sein, weshalb wir Proton Pass entwickelt haben. Unser Passwort-Manager hat alle grundlegenden Funktionen, die du benötigst, um dich vor Brute-Force-Angriffen zu schützen – einschließlich integrierter 2FA-Unterstützung, die diese wichtige Funktion erheblich erleichtert – bietet jedoch auch einige zusätzliche Funktionen, die dir helfen werden, deine digitale Identität die dich vor Angriffen schützen wird.
Wenn du beispielsweise Konten erstellst, kannst du hide-my-email-Aliase verwenden, die auf deine echte E-Mail-Adresse verweisen, ohne sie preiszugeben. Diese machen es den meisten Brute-Force-Angriffen sehr schwer, dich zu zielen, da sie keinen Benutzernamen haben, der auf anderen Konten verwendet wurde. Du kannst auch Passkeys auf Websites verwenden, die diese moderne Authentifizierungsmethode unterstützen. Mit diesen gibt es kein Passwort, das erraten werden kann, wodurch Brute-Force-Angriffe sinnlos werden.
Neben diesen verfügen wir auch über einige Funktionen, die deine Sicherheit auf allgemeinere Weise verbessern. Das beste Beispiel ist die Ende-zu-Ende-Verschlüsselung, die sicherstellt, dass deine Passwörter nur dir bekannt sind. Niemand, nicht einmal wir, weiß, was du bei uns speicherst. Dies ist großartig für die Sicherheit, fördert aber auch eine größere Privatsphäre.
Diese Kombination aus Sicherheit und Privatsphäre ist es, was Proton zu einem führenden Anbieter in diesem Bereich macht. Da wir ausschließlich durch Abonnements finanziert sind – kein Risiko-Kapital, keine Werbetreibenden – sind wir auf dich angewiesen, um unser Geschäft am Laufen zu halten. Daher stellen wir immer dich, unsere Gemeinschaft, an erste Stelle. Wenn das nach etwas klingt, an dem du teilhaben möchtest, tritt heute Proton Pass bei.