Suchen

Definition Brute Force Was ist ein Brute-Force-Angriff?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Bei einem Brute-Force-Angriff handelt es sich um eine Methode, die versucht Passwörter oder Schlüssel durch automatisiertes, wahlloses Ausprobieren herauszufinden. Lange Schlüssel und komplexe Passwörter bieten Schutz gegen die Brute-Force-Methode.

Firma zum Thema

Ein Brute-Force-Angriff versucht durch wahlloses Ausprobieren von Zeichenkombinationen Passwörter oder Schlüssel herauszufinden.
Ein Brute-Force-Angriff versucht durch wahlloses Ausprobieren von Zeichenkombinationen Passwörter oder Schlüssel herauszufinden.
(Bild: Pixabay / CC0 )

Die Brute-Force-Methode ist eine beliebte Angriffsmethode, um Passwörter herauszufinden oder Daten zu entschlüsseln. Sie nutzt "rohe Gewalt" (brute force), indem sie wahllos verschiedene Buchstabenfolgen oder Zeichenketten automatisiert ausprobiert. Je mehr Kombinationen getestet werden, desto höher ist die Erfolgsaussicht. Prinzipiell lässt sich jedes Geheimnis durch Ausprobieren lösen. Allerdings steigt die hierfür benötigte Zeit mit der Komplexität des Geheimnisses. Moderne, leistungsfähige Rechnersysteme sind in der Lage, binnen kurzer Zeit viele mögliche Kombinationen durchzurechnen. Mit Hilfe komplexer Passwörter, langer Schlüssel und der Begrenzung von möglichen Fehlversuchen bei Logins lassen sich die Erfolgsaussichten von Brute-Force-Angriffen senken.

Die Brute-Force-Methode kann zu legalen oder zu illegalen Zwecken eingesetzt werden. Legale Anwendungsbereiche sind Prüfungen der Sicherheit von IT-Systemen oder Netzwerken. Hacker verwenden Brute-Force-Angriffe illegal, um Passwörter zu entwenden, Systeme zu übernehmen oder Zugriff auf vertrauliche Daten zu erhalten. In einigen Fällen nutzt die Brute-Force-Methode als Ergänzung auch Wörterbücher, die typische Passwörter wie "Administrator" oder "12345678" enthalten. Dies wird als Dictionary Attack bezeichnet und steigert die Erfolgsaussichten des Angriffs und vermindert den durch das Probieren von komplett zufälligen Zeichenfolgen verursachten Zeitaufwand.

Brute-Force-Angriff auf Passwörter und mögliche Schutzmaßnahmen

Ein Anwendungsbeispiel für Brute-Force-Angriffe ist das Knacken von Passwörtern. Passwörter sind auf den Systemen in der Regel nicht in Klartext, sondern als Hashwerte gespeichert. Da sich das Passwort aus dem Hashwert nicht rückwärts berechnen lässt, ermittelt die Brute-Force-Methode so lange die zu den zufällig ausgewählten Passwörtern gehörigen Hashwerte, bis ein Hashwert mit dem hinterlegten Hashwert übereinstimmt. In diesem Fall ist das Passwort gefunden.

Oft kommen auch Listen mit Hashwerten von häufig verwendeten Passwörtern zum Einsatz. Diese nennen sich Rainbow Tables. Eine mögliche Schutzmaßnahme ist das Auswählen von langen Passwörtern mit Zahlen, Sonderzeichen und Groß-/Kleinschreibung ohne einen Bezug zu existierenden Wörtern. Mit steigender Komplexität des Passworts steigt die Anzahl an benötigten Rechenoperationen für den Brute-Force-Angriff. Brute-Force-Angriffe auf Login-Masken werden durch die Begrenzung von erfolglosen Passworteingaben erschwert.

Brute-Force-Angriff auf verschlüsselte Daten und mögliche Schutzmaßnahmen

Mit der Brute-Force-Methode ist der Angriff auf verschlüsselte Daten möglich. Auch hier werden so lange zufällig gewählte Schlüssel probiert, bis eine Übereinstimmung zu finden ist. Entscheidend für die Erfolgsaussichten des Angriffs ist die Länge des verwendeten Schlüssels. Moderne Verschlüsselungsalgorithmen verwenden Schlüssellängen von beispielsweise 128 oder 256 Bit, bei denen der Rechenaufwand zum Finden des Schlüssels in puncto Zeit und Kosten zu groß wird.

Der Rechenaufwand steigt exponentiell mit der Schlüssellänge. Bei der Nutzung von heute verfügbarer Rechenleistung sind bei besonders langen Schlüsseln Zeiten von mehreren tausend Jahren notwendig, um die richtige Kombination zu finden. Da durch den technologischen Fortschritt die Rechenleistung der Systeme immer weiter steigt, ist es jedoch nicht auszuschließen, dass heute für sicher gehaltene Verschlüsselungen zukünftig durch die Brute-Force-Methode entschlüsselt werden können.

(ID:45090929)

Über den Autor