Definition Brute Force

Was ist ein Brute-Force-Angriff?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ein Brute-Force-Angriff versucht durch wahlloses Ausprobieren von Zeichenkombinationen Passwörter oder Schlüssel herauszufinden.
Ein Brute-Force-Angriff versucht durch wahlloses Ausprobieren von Zeichenkombinationen Passwörter oder Schlüssel herauszufinden. (Bild: Pixabay / CC0)

Bei einem Brute-Force-Angriff handelt es sich um eine Methode, die versucht Passwörter oder Schlüssel durch automatisiertes, wahlloses Ausprobieren herauszufinden. Lange Schlüssel und komplexe Passwörter bieten Schutz gegen die Brute-Force-Methode.

Die Brute-Force-Methode ist eine beliebte Angriffsmethode, um Passwörter herauszufinden oder Daten zu entschlüsseln. Sie nutzt "rohe Gewalt" (brute force), indem sie wahllos verschiedene Buchstabenfolgen oder Zeichenketten automatisiert ausprobiert. Je mehr Kombinationen getestet werden, desto höher ist die Erfolgsaussicht. Prinzipiell lässt sich jedes Geheimnis durch Ausprobieren lösen. Allerdings steigt die hierfür benötigte Zeit mit der Komplexität des Geheimnisses. Moderne, leistungsfähige Rechnersysteme sind in der Lage, binnen kurzer Zeit viele mögliche Kombinationen durchzurechnen. Mit Hilfe komplexer Passwörter, langer Schlüssel und der Begrenzung von möglichen Fehlversuchen bei Logins lassen sich die Erfolgsaussichten von Brute-Force-Angriffen senken.

Die Brute-Force-Methode kann zu legalen oder zu illegalen Zwecken eingesetzt werden. Legale Anwendungsbereiche sind Prüfungen der Sicherheit von IT-Systemen oder Netzwerken. Hacker verwenden Brute-Force-Angriffe illegal, um Passwörter zu entwenden, Systeme zu übernehmen oder Zugriff auf vertrauliche Daten zu erhalten. In einigen Fällen nutzt die Brute-Force-Methode als Ergänzung auch Wörterbücher, die typische Passwörter wie "Administrator" oder "12345678" enthalten. Dies wird als Dictionary Attack bezeichnet und steigert die Erfolgsaussichten des Angriffs und vermindert den durch das Probieren von komplett zufälligen Zeichenfolgen verursachten Zeitaufwand.

Kennwortverwaltung für Unternehmen

Enterprise Password Management

Kennwortverwaltung für Unternehmen

28.10.16 - Das Kennwort-Management im Unternehmen ist zu wichtig, um es über ein Excel-Dokument zu erledigen. In diesem Beitrag stellen wir sechs Passwort-Management-Lösungen für Teams, Firmen und externe Mitarbeiter vor, mit der Zugangsdaten sicher gespeichert und verschlüsselt getauscht werden können. Wahlweise aus der Cloud oder für die lokale Installation im Unternehmen. lesen

Brute-Force-Angriff auf Passwörter und mögliche Schutzmaßnahmen

Ein Anwendungsbeispiel für Brute-Force-Angriffe ist das Knacken von Passwörtern. Passwörter sind auf den Systemen in der Regel nicht in Klartext, sondern als Hashwerte gespeichert. Da sich das Passwort aus dem Hashwert nicht rückwärts berechnen lässt, ermittelt die Brute-Force-Methode so lange die zu den zufällig ausgewählten Passwörtern gehörigen Hashwerte, bis ein Hashwert mit dem hinterlegten Hashwert übereinstimmt. In diesem Fall ist das Passwort gefunden.

Oft kommen auch Listen mit Hashwerten von häufig verwendeten Passwörtern zum Einsatz. Diese nennen sich Rainbow Tables. Eine mögliche Schutzmaßnahme ist das Auswählen von langen Passwörtern mit Zahlen, Sonderzeichen und Groß-/Kleinschreibung ohne einen Bezug zu existierenden Wörtern. Mit steigender Komplexität des Passworts steigt die Anzahl an benötigten Rechenoperationen für den Brute-Force-Angriff. Brute-Force-Angriffe auf Login-Masken werden durch die Begrenzung von erfolglosen Passworteingaben erschwert.

Passwörter knacken mit THC Hydra und John the Ripper

Windows-Kennwörter und Netzwerk-Accounts hacken

Passwörter knacken mit THC Hydra und John the Ripper

28.04.17 - Das Knacken von Zugangsdaten sieht im TV immer recht einfach aus – die Realität ist glücklicherweise eine andere. An guten Kennwörter beißen sich Passwort-Cracker die Zähne aus, IT-Verantwortliche sollten sich aber mit den Tools zu Online- und Offline-Attacken auskennen. lesen

Brute-Force-Angriff auf verschlüsselte Daten und mögliche Schutzmaßnahmen

Mit der Brute-Force-Methode ist der Angriff auf verschlüsselte Daten möglich. Auch hier werden so lange zufällig gewählte Schlüssel probiert, bis eine Übereinstimmung zu finden ist. Entscheidend für die Erfolgsaussichten des Angriffs ist die Länge des verwendeten Schlüssels. Moderne Verschlüsselungsalgorithmen verwenden Schlüssellängen von beispielsweise 128 oder 256 Bit, bei denen der Rechenaufwand zum Finden des Schlüssels in puncto Zeit und Kosten zu groß wird.

Der Rechenaufwand steigt exponentiell mit der Schlüssellänge. Bei der Nutzung von heute verfügbarer Rechenleistung sind bei besonders langen Schlüsseln Zeiten von mehreren tausend Jahren notwendig, um die richtige Kombination zu finden. Da durch den technologischen Fortschritt die Rechenleistung der Systeme immer weiter steigt, ist es jedoch nicht auszuschließen, dass heute für sicher gehaltene Verschlüsselungen zukünftig durch die Brute-Force-Methode entschlüsselt werden können.

Beliebte Passwort-Manager im Überblick

Kennwortverwaltung

Beliebte Passwort-Manager im Überblick

01.02.17 - Programme zur Kennwortverwaltung sind praktisch und nehmen dem Anwender das Merken langer Zeichenkombinationen ab. Passwort-Manager gehören inzwischen ins Arsenal von IT-Profis. In diesem Artikel stellen wir mehrere Lösungen vor. Neben Cloud-basierten Applikationen und lokal installierten Managern zeigen wir drei Lösungen, die Kennwörter nicht speichern sondern bei Bedarf berechnen. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

So verbannen Sie unsichere Passwörter aus Ihrem Netzwerk

[Gesponsert]

Sichere Durchsetzung der Passwortrichtlinie

So verbannen Sie unsichere Passwörter aus Ihrem Netzwerk

Passwörter sind weiterhin das mit Abstand am meisten verwendete Authentisierungsmittel, obwohl sie in vielen Fällen kein ausreichendes Sicherheitsniveau bieten. Klassische Passwortrichtlinien reichen nicht, um die Passwortsicherheit zu steigern. Spezielle Sicherheitstools für Passwörter sind gefragt, die kompromittierte Kennwörter erkennen und blockieren. lesen

Neue Angriffsformen und altbewährte Taktiken

Sicherheitsprognosen 2020

Neue Angriffsformen und altbewährte Taktiken

IT-Sicherheitsteams müssen zum Jahresstart ihre bisherigen Abwehrmaßnahmen auswerten und frühere Angriffe analysieren, um künftige Angriffstrends prognostizieren zu können. Eine schwierige, aber lohnende Aufgabe für die Sicherheitsmanager, die versuchen müssen, den künftigen Kurs der Gegner abzuschätzen und ihnen nach Möglichkeit mehrere Schritte voraus zu sein lesen

Handbuch für DS-GVO konforme Passwortsicherheit

[Gesponsert]

Schutz vor Datendiebstahl

Handbuch für DS-GVO konforme Passwortsicherheit

Nach wie vor stellt die Kombination aus Benutzername und Password die am häufigsten verwendete Methode da, um sich an Computersystemen anzumelden. Anwendern fällt es in der Regel schwer, gute und damit starke Passwörter zu wählen. Deshalb sind Organisationen in der Pflicht, durch geeignete technische und organisatorische Maßnahmen (TOM) dafür zu sorgen, dass schwache Passwörter nicht verwendet werden können. lesen

Was ist SAE?

Definition Simultaneous Authentication of Equals

Was ist SAE?

Simultaneous Authentication of Equals (SAE) basiert auf dem Dragonfly-Handshake-Protokoll und ermöglicht den sicheren Austausch von Schlüsseln Passwort-basierter Authentifizie­rungs­methoden. SAE ersetzt in WPA3 die bisherige Methoden zur Aushandlung der Sitzungsschlüssel mittels Pre-Shared Key und kommt auch in WLAN-Mesh-Implemen­tierungen zum Einsatz. lesen

Was ist ein Pass-the-Hash-Angriff?

Definition Pass-the-Hash (PtH)

Was ist ein Pass-the-Hash-Angriff?

Pass-the-Hash ist eine Angriffsmethode, die den Hashwert eines Passworts zur Authentifizierung gegenüber einem System verwendet. Durch Schwachstellen im System oder in den Authentifizierungsprotokollen lässt sich der Hashwert mit Tools auslesen und zur Authentifizierung einsetzen. Nutzbar ist die Angriffsmethode in verschiedenen Betriebs­system­umgebungen wie Windows oder Linux. lesen

Wie Zero Trust für mehr Sicherheit sorgen kann

Netzwerksicherheit neu denken

Wie Zero Trust für mehr Sicherheit sorgen kann

Wie viel Vertrauen sollte man in seine Mitarbeiter sowie die eingesetzte Soft- und Hardware in Bezug auf IT-Sicherheit haben? Der Forrester-Analyst John Kindervag würde wahrscheinlich antworten: Am besten gar keins. Er entwickelte 2010 den Zero Trust-Ansatz, der angesichts zahlreicher Datenschutzverstöße immer mehr Anhänger findet. lesen

Passwort-Manager als Grundpfeiler des IAM

Mit sicheren Identitäten gegen den Datenklau

Passwort-Manager als Grundpfeiler des IAM

Die IT-Sicherheit steht heute ganz oben auf der Agenda in Unternehmen. Doch während es an Antiviren-Tools, Firewalls und Backup-Routinen in der Regel nicht mangelt, wird das schwächste Glied oft vernachlässigt – der eigene Mitarbeiter. So fehlt es Organisationen nicht selten an einer klaren Strategie für das Identity- und Access-Management (IAM) – und die beginnt mit den Passwörtern. lesen

Was ist SHA (Secure Hash Algorithm)?

Definition SHA (Secure Hash Algorithm)

Was ist SHA (Secure Hash Algorithm)?

Der Secure Hash Algorithm existiert in verschiedenen Versionen und stellt Hashfunktionen zur Ermittlung unverwechselbarer Prüfwerte digitaler Daten zur Verfügung. Mit einem Prüfwert lässt sich die Integrität der Daten sicherstellen. SHA kommt beispielsweise für Signaturverfahren zum Einsatz. Eine wichtige Eigenschaft eines Hahsverfahrens ist die Kollisionssicherheit. lesen

IoT-Geräte bleiben eine Bedrohung

Botnetze durch IoT

IoT-Geräte bleiben eine Bedrohung

Im Internet und im Darknet kursieren zahlreiche Listen, die Millionen Logindaten für IoT- und Smart-Home-Geräte enthalten. Damit können Cyberkriminelle diese in im Handumdrehen kompromittieren – oft sogar ohne, dass Nutzer davon etwas mitbekommen. So wird es Angreifern möglich, riesige Botnetze aufzusetzen, die ihre enorme Rechenleistung für kriminelle Aktivitäten missbrauchen können. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45090929 / Definitionen)