ProtonBlog(new window)
Per RSS abonnieren
what is a brute force attack

Was ist eine Brute-Force-Attacke?

diese Seite teilen

Im Bereich der Cybersicherheit(new window) ist der Begriff Brute-Force-Attacke oft zu hören. Eine Brute-Force-Attacke ist jeder Angriff, der nicht auf Finesse setzt, sondern rohe Rechenkraft nutzt, um Sicherheitsmaßnahmen oder sogar die zugrundeliegende Verschlüsselung(new window) zu knacken.

In diesem Artikel erklären wir, was Brute-Force-Attacken sind, wie sie funktionieren und wie du sie verhindern kannst.

Was bedeutet Brute-Force-Attacke?

Das reale Äquivalent einer Brute-Force-Attacke ist, ein Schloss nicht mit einem Dietrich zu öffnen, sondern mit einem Brecheisen. Es ist laut, unordentlich und nicht sehr elegant, aber es erfüllt seinen Zweck.

Ein gutes Beispiel dafür, wie dieses Prinzip digital ausgeführt wird, ist das, was man als Wörterbuchangriff bezeichnet – verwendet beim bekannten Dropbox-Sicherheitsvorfall(new window) von 2012, bei dem die Zugangsdaten von 68 Millionen Nutzern kompromittiert wurden. In diesem Szenario versucht ein Angreifer, ein Passwort für ein Online-Konto zu erraten, indem er ein Programm tausende, wenn nicht gar Millionen, gängiger Wörter ausprobiert in der Hoffnung, Glück zu haben und eines zu finden, das funktioniert.

Die Vermutungen basieren auf bekannten Passwörtern und deren Ableitungen, nicht nur auf Wörterbuchwörtern, und jeder Versuch wird in der Regel einzeln durchgeführt. Es braucht lediglich ein System, das leistungsfähig genug ist, um die Mathematik immer wieder durchzugehen, bis das Programm auf die richtige Kombination von Symbolen stößt, die das Passwort für dieses Konto ausmachen.

Es sollte erwähnt werden, dass die Verwendung eines digitalen Brecheisens auf diese Weise nicht nur ressourcenintensiv ist, sondern auch viel Zeit in Anspruch nimmt. Obwohl mögliche Passwörter schnell eingegeben werden können, in nur Millisekunden, bedeutet das enorme Volumen, dass diese Millisekunden sich summieren. Infolgedessen können die Besitzer einer Website oft einen Angriff abwehren, bevor er wirklichen Schaden anrichtet – aber nicht immer.

Beispiele für Brute-Force-Attacken

Wörterbuchangriffe sind nur eine Art von Brute-Force-Attacke, so wie Brecheisen nur eine Möglichkeit sind, ein Schloss aufzubrechen. Nachfolgend sind einige der gängigeren aufgeführt.

Credential Stuffing

Credential-Stuffing-Angriffe(new window) sind ein weiterer sehr grundlegender Typ. Statt die Anmeldedaten der Opfer zu erraten, nehmen sie bekannte Zugangsdaten – in der Regel öffentlich gemacht bei einem Datenleck – und versuchen sie dann auf verschiedenen Websites in großer Zahl einzusetzen (daher der Begriff ‘Stuffing’).

Da viele Menschen ihren Benutzernamen und ihr Passwort wiederverwenden – ein Ergebnis der Passwortmüdigkeit(new window) wie auch immer – macht dies Credential Stuffing zu einem erfolgreichen Angriffsvektor für jeden Cyberkriminellen, der schnell Geld verdienen will.

Password-Spraying-Angriffe

Password-Spraying-Angriffe, auch bekannt als umgekehrte Brute-Force-Angriffe, gehen ähnlich vor. In diesem Fall haben Angreifer eine Liste von Benutzernamen und probieren dann einfache Passwörter aus, in der Hoffnung, Glück zu haben.

Diese Art ist besonders wirksam gegen Organisationen mit nachlässiger Sicherheit. Die meisten Unternehmen haben eine festgelegte Methode zur Generierung von Benutzernamen(new window) (zum Beispiel durch Kombination von Vor- und Nachnamen), und Administratoren lassen Benutzer nicht immer das Standardpasswort ändern (das oft so etwas wie password123 ist). Wenn auch nur ein Benutzer sein Passwort nicht geändert hat, erhalten die Angreifer leicht Zugang.

Verhinderung von Brute-Force-Angriffen

Wenn du aufmerksam bist, hast du bemerkt, dass alle oben genannten Arten von Brute-Force-Angriffen eines gemeinsam haben: Sie zielen alle auf leicht zu erratende Passwörter ab. Wenn du also dein Passwort sicherst, bist du größtenteils vor diesen Arten von Brute-Force-Taktiken geschützt.

Zum Beispiel können Wörterbuchangriffe abgewehrt werden, indem man lange, zufällige Passwörter(new window) verwendet. Diese werden jedes Passwortgenerierungsprogramm verwirren, da sie nicht vorhersagen können, welches das nächste Symbol sein wird. Je länger du sie machst, desto länger dauert es, sie zu knacken, was mit einem 16-stelligen Passwort auf Milliarden von Jahren hinauslaufen kann.

Credential-Stuffing-Angriffe können verhindert werden, indem man immer zufällige Passwörter verwendet und niemals dasselbe Passwort zweimal benutzt. Selbst wenn ein Datenleck eines deiner Passwörter preisgibt, weißt du, dass alle deine anderen Konten sicher sind.

Diese beiden Taktiken verhindern auch Password-Spraying-Angriffe, da diese auf die Wiederverwendung schwacher Passwörter durch Organisationen angewiesen sind. Indem du immer starke Passwörter(new window) in Kombination mit Zwei-Faktor-Authentifizierung(new window) (2FA) verwendest, die dich dazu bringt, ein zweites Gerät zur Bestätigung deiner Identität zu benutzen, machst du jeden Password-Spraying-Versuch nutzlos.

Wie man Brute-Force-Angriffe mit Proton verhindert

Alle oben genannten Tipps sind Teil einer vernünftigen Passwortrichtlinie(new window), egal ob du ein Unternehmen oder eine Einzelperson bist. Um sie jedoch umzusetzen, brauchst du einen Passwortmanager(new window), ein Programm, das Passwörter für dich generieren und speichern kann und sie sogar automatisch ausfüllt, während du im Internet surfst. Sie sind ein Weg, nicht nur deine Online-Sicherheit zu verbessern, sondern auch deine Lebensqualität.

Ein Passwortmanager kann noch viel mehr sein, weshalb wir Proton Pass entwickelt haben. Unser Passwortmanager verfügt über alle grundlegenden Funktionen, die du zum Schutz vor Brute-Force-Angriffen benötigst – einschließlich integrierter 2FA-Unterstützung, die dieses wichtige Feature viel weniger mühsam macht –, bietet aber auch einige einzigartige Extras, die dir helfen, eine digitale Identität(new window) aufzubauen, die dich vor Angriffen schützt.

Zum Beispiel kannst du beim Erstellen von Konten hide-my-email-Aliase verwenden, die auf deine echte E-Mail-Adresse verweisen, ohne sie preiszugeben. Diese machen es den meisten Brute-Force-Angriffen sehr schwer, dich ins Visier zu nehmen, da sie keinen Benutzernamen haben, der auf anderen Konten verwendet wurde. Du kannst auch optieren, auf Webseiten, die diese hochmoderne Authentifizierungsmethode unterstützen, Passkeys(new window) zu verwenden. Mit diesen gibt es kein Passwort zu erraten, was Brute-Force-Angriffe sinnlos macht.

Neben diesen haben wir auch einige Funktionen, die deine Sicherheit auf allgemeinere Weise verbessern. Das beste Beispiel ist die Ende-zu-Ende-Verschlüsselung(new window), die sicherstellt, dass nur du deine Passwörter kennst. Niemand, nicht einmal wir, weiß, was du bei uns speicherst. Das ist nicht nur für die Sicherheit großartig, sondern fördert auch mehr Privatsphäre.

Diese Kombination aus Sicherheit und Privatsphäre macht Proton zum Marktführer in diesem Bereich. Da wir ausschließlich durch Abonnements finanziert werden – kein Risikokapital, keine Werbetreibenden –, sind wir auf dich angewiesen, um unser Business am Laufen zu halten. Deshalb werden wir immer dich, unsere Community, an die erste Stelle setzen. Wenn dir das zusagt und du Teil davon sein möchtest, tritt heute Proton Pass bei.

Schütze deine Privatsphäre mit Proton
Kostenloses Konto erstellen

Verwandte Artikel

Sichere, nahtlose Kommunikation ist das Fundament jedes Unternehmens. Da immer mehr Organisationen ihre Daten mit Proton sichern, haben wir unser Ökosystem mit neuen Produkten und Dienstleistungen erheblich erweitert, vom Passwortmanager bis zum Dark
Abschnitt 702 des Foreign Intelligence Surveillance Act hat sich als berüchtigte rechtliche Rechtfertigung etabliert, die es Bundesbehörden wie der NSA, CIA und FBI erlaubt, Überwachungen ohne richterlichen Beschluss durchzuführen, wodurch die Daten
Als Reaktion auf die zunehmende Anzahl von Datenpannen bietet Proton Mail zahlenden Abonnenten eine Funktion namens Dark Web Monitoring an. Unser System überprüft, ob deine Anmeldeinformationen oder andere Daten auf illegalen Marktplätzen geleakt wur
Deine E-Mail-Adresse ist deine Online-Identität, und du teilst sie jedes Mal, wenn du einen neuen Account für einen Online-Dienst erstellst. Das bietet zwar Bequemlichkeit, aber es legt auch deine Identität offen, falls Hacker die Dienste, die du nut
proton pass f-droid
Unsere Mission bei Proton ist es, ein Internet zu fördern, das deine Privatsphäre standardmäßig schützt, deine Daten sichert und dir Wahlfreiheit bietet. Heute machen wir mit der Einführung unseres Open-Source-Passwortmanagers Proton Pass im App-Ver
chrome password manager
Du weißt wahrscheinlich, dass du deine Passwörter sicher speichern und verwalten solltest. Allerdings kann selbst bei der Verwendung eines Passwortmanagers das Risiko bestehen, dass der verwendete nicht so sicher ist, wie er sein könnte. In diesem Ar