:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Tools und Prävention Vorsicht vor Brute-Force-Angriffen!
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Bei einem Brute-Force-Angriff beabsichtigen Hacker, die Anmeldedaten zu entschlüsseln. Üblicherweise sind solche Angriffe gegen Admin-Bereiche und Datenbanken gerichtet, um Zugang zu passwortgeschützten Daten zu erhalten. Welche Schutzmaßnahmen bieten sich an?
Im Vergleich zu anderen Techniken, die von Angreifern verwendet werden, benötigen Brute-Force-Angriffe keine Schwachstellen auf einer Website, um zu funktionieren. Stattdessen hängt der Erfolg dieser Angriffe davon ab, dass die User über keine sicheren Anmeldedaten verfügen. Die Leichtigkeit und Einfachheit dieser Taktik sind der Grund, warum sie bei Hackern nach wie vor sehr beliebt ist. Mit den jüngsten Verbesserungen im Bereich der Website-Sicherheit haben Brute-Force-Angriffe ihre vordersten Plätze als bevorzugte Angriffsmethode verloren.
Funktionsweise eines Brute-Force-Angriffs
Brute-Force-Angriffe setzen Trial-and-Error-Methoden ein, um alle möglichen Kombinationen aus Passwörtern, Verschlüsselungen oder beliebigen Anmeldedaten zu erhalten. Es wird „Brute Force“ genannt, weil der Hacker wiederholte und „brachiale“ Versuche unternimmt, um sich unbefugten Zutritt auf ein System oder Gerät zu verschaffen. Obwohl das überraschend simpel erscheint, sind Brute-Force-Angriffe auch heute noch leider recht erfolgreich.
Dafür verwenden Hacker meist Anwendungen und Programme als Tools. Mithilfe dieser Tools lassen sich Passwort-Kombinationen automatisieren, um Authentifizierungssysteme zu umgehen. Andere Vorgehensweisen zielen beispielsweise auf das Erraten von Sitzungs-IDs ab, um Zugriff auf Webanwendungen zu erhalten. Am häufigsten nutzen Hacker jedoch Bots. Cyber-Kriminelle verwenden in der Regel auch Listen gestohlener Zugangsdaten, die aktuell durch vorhergehende Hacks erlangt oder über das Dark Web erworben wurden. Diese Bots erledigen dann die ganze Arbeit und greifen Websites systematisch mit den gestohlenen Zugangsdaten an.
Varianten der Brute-Force-Angriffe
In der Folge sind die häufigsten Varianten von Brute-Force-Angriffen skizziert:
Einfacher Brute-Force-Angriff: Bei dieser Variante versuchen Hacker, ein Passwort ohne die Hilfe von Skripten oder Automatisierung zu entschlüsseln. Damit lassen sich schwache Passwörter und PINs innerhalb Sekunden knacken.
Wörterbuch-Angriff: Ein unbekanntes Passwort wird mithilfe einer Passwörterliste ermittelt. Hacker verwenden diese Variante, wenn man davon ausgehen kann, dass das Passwort aus einer sinnvollen Zeichenkombination besteht. Dies ist erfahrungsgemäß meistens der Fall.
Hybrider Angriff: Häufig verwenden User eine Kombination aus für sie wichtigen Zahlen und Wörtern (Geburtstage, Jahrestage, Namen etc.) für ihre Passwörter. Ein hybrider Angriff kombiniert einen einfachen Brute-Force-Angriff und einen Wörterbuch-Angriff, um die oben erwähnte gemischte Anmelde-Kombination zu entschlüsseln.
Credential Stuffing: Gestohlene Zugangsdaten werden verkauft und zwischen Cyberkriminellen im Darknet ausgetauscht. Credential Stuffing nutzt die Tatsache aus, dass User gerne auf verschiedenen Systemen denselben Benutzernamen und dieselben Passwörter verwenden. Hacker verwenden dann diese zuvor bekannten Kombinationen aus Benutzername und Passwort, um sich bei Benutzerkonten auf vielen Websites anzumelden, bis sie auf ein Konto treffen, das funktioniert.
Umgekehrter Brute-Force-Angriff: Diese Variante beginnt mit einem öffentlich bekannten oder geleakten Passwort. Anschließend verwendet der Hacker die Automatisierung, um nach einem passenden Benutzernamen, einer Kontonummer oder einem Schlüssel zu suchen.
Rainbow-Table-Angriff: Ein Rainbow-Table-Angriff ist ein Angriff, bei dem ein Hacker eine Rainbow-Hash-Tabelle verwendet, um die in einer Datenbank gespeicherten Passwörter zu knacken. Dabei handelt es sich um eine vorberechnete Nachschlagtabelle, zur Umkehrung von kryptografische Hash-Funktionen.
Password Spraying: Während herkömmliche Brute-Force-Angriffe nur darauf abzielen, Passwörter für einzelne Konten zu knacken, verfolgt das sogenannte Password Spraying einen umgekehrten Ansatz, indem eine einzige Passwort-Kombination auf mehrere Konten angewendet wird. Die Variante zielt besonders auf Opfer ab, die Single-Sign-On (SSO) und Cloud-basierte Anwendungen nutzen, die auf Verbund-Anmeldungen angewiesen sind. SSO ermöglicht einem einzelnen Authentifizierungsnachweis den Zugriff auf verschiedene Systeme innerhalb einer einzelnen Organisation.
Verhinderung von Brute-Force-Angriffen
Mithilfe folgender bewährter Methoden lassen sich Brute-Force-Angriffe vermeiden:
Sichere Passwörter: Die Einhaltung strenger Richtlinien für Passwörter ist der einfachste und effektivste Weg, Brute-Force-Angriffe zu vermeiden. Beim Erstellen eines Passworts ist folgendes zu beachten: Keine persönlichen Daten wie Geburtstag, Namen oder E-Mail-Adressen. Niemals Passwörter für Konten – ganz oder auch nur teilweise – recyceln! Es sollten immer einzigartige Passwort-Kombinationen für jedes Online-Konnto verwendet werden. Rund ein Drittel der recycelten oder geänderten Passwörter können oft schon mit etwa zehn Versuchen geknackt werden. Ein Passwort ist idealerweise mindestens 15 Zeichen lang und enthält einen Mix aus Zahlen, Symbole sowie Groß- und Kleinbuchstaben als zufällige Zeichenfolgen.
Anmeldeversuche begrenzen: In der Regel erlauben die meisten Websites, insbesondere wenn sie auf WordPress laufen, unbegrenzte Anmeldeversuche. Website-Administratoren können Plug-ins verwenden, um die möglichen Anmeldeversuche auf einer Website zu begrenzen, und damit Brute-Force-Angriffe zu blockieren. Mit solchen Plug-ins lässt sich die Anzahl der Logins vorgeben, die ein Besucher nutzen darf. Sobald sie die Anzahl der Versuche überschreiten, werden ihre IP-Adressen für eine beträchtliche Zeit von der Website gesperrt.
IP-Adressen überwachen: Anmeldeversuche können auch auf jeweilige Benutzer beschränkt werden, die von einer bestimmten IP-Adresse oder einem Bereich kommen. Dies ist besonders dann relevant, wenn eine hybride Arbeitsumgebung vorliegt bzw. die meisten der Mitarbeiter remote arbeiten. Zudem sind Warnungen einzurichten, wenn Anmeldeversuche von anomalen IP-Adressen erfolgen. Ferner ist es sicherzustellen, dass diese blockiert werden.
Zwei-Faktor-Authentifizierung (2FA): Mit dieser Maßnahme wird eine zusätzliche Sicherheitsebene hinzugefügt. Eine 2FA verlangt von einem User, dass er seine Identität validiert, wenn er sich bei einem Konto anmeldet, bevor ihm der Zugriff gewährt wird. Das heißt, bevor ein Zugriff auf ein Konto erteilt wird, muss der User einen Code eingeben, der an die Handynummer gesendet wird, um die Identität zu überprüfen.
CAPTCHAs: Ein CAPTCHA steht für „Completely Automated Public Turing test to tell Computers and Humans Apart“. Da CAPTCHAs für automatisierte Computerprogramme große Herausforderungen darstellen, die von ihnen nur schwer auszuführen sind, aber für Menschen sehr einfach sind, sind sie eine probate Methode, um Roboter abzuwehren.
Eindeutige Anmelde-URLs: Das Erstellen eindeutiger Anmelde-URLs für verschiedene Benutzergruppen ist ein weiterer herausfordernder und zeitaufwändiger Schritt für einen Hacker.
Web Application Firewalls (WAFs): Web Application Firewalls bieten einen angemessenen Schutz vor Brute-Force-Angriffen. Abgesehen von Brute-Force-Angriffen, können WAFs Denial-of-Service-Angriffe (DOS) verhindern, die Server-Ressourcen erschöpfen, und Schwachstellen-Scan-Tools blockieren, die ein Netzwerk auf Schwachstellen untersuchen.
(ID:49201081)
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")