Das wichtigste zu Brute-Force-Attacken in Kürze
- Brute-Force-Angriffe versuchen, Passwörter mittels vielfacher Versuche zu ermitteln. Dabei werden sekündlich eine Vielzahl (bis zu 2 Billionen) an möglichen Passwörtern eingegeben, bis das richtige gefunden wird.
- Der beste Schutz vor Brute-Force-Attacken liegt in der Wahl sicherer Passwörter.
- Jeder Login sollte mit einem separaten Passwort versehen werden. Idealerweise besteht dieses aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, sodass insgesamt 95 mögliche Zeichen genutzt werden (26 Kleinbuchstaben, 26 Großbuchstaben, 10 Ziffern, 33 Sonderzeichen).
- Um den Datenschutz bei Blogs zu erhöhen, empfiehlt es sich, die Login-Seite gesondert zu schützen. So können Websitebetreiber ein zusätzliches Passwort vorschalten, Login-Versuche begrenzen oder bestimmte IP-Adressen komplett sperren.
Wie funktioniert Brute Force? Definition und Methodik
Inhaltsverzeichnis
Der Name lässt es vermuten: Brute-Force-Attacken zeichnen sich nicht durch Subtilität oder Eleganz aus. Vielmehr setzt das Prinzip auf pure Gewalt (Brute Force bedeutet wörtliche übersetzt „rohe Gewalt“).
Bei dieser Methode schaltet eine Brute-Force-Software innerhalb kürzester Zeit ein schier riesiges Volumen an Passwörtern als Anfrage. Dabei besteht nicht nur das Risiko der Entdeckung des Passworts, die betroffene Website kann unter der Last der Fehlversuche ebenfalls deutlich langsamer werden.
So schnell lässt sich ein Passwort knacken: Übersicht zur Brute-Force-Methode
Folgende Tabelle zeigt, wie schnell ein Passwort entsprechend seiner Länge und Zeichendiversität von einer Brute-Force-Attacke ermittelt werden kann. Basis hierfür ist eine mögliche Erstellung von 170.424.973 Keys (mögliche Passwörter) pro Sekunde:
| Passwortlänge in Zeichen | Genutzte Zeichen | Dauer |
|---|---|---|
| 5 | Kleinbuchstaben (26 mögliche Zeichen) | 0,069 Sekunden |
| Klein- & Großbuchstaben & Ziffern (62 mögliche Zeichen) | 5,4 Sekunden | |
| Klein- & Großbuchstaben, Ziffern & Sonderzeichen (95 mögliche Zeichen) | 45,4 Sekunden | |
| 6 | Kleinbuchstaben (26 mögliche Zeichen) | 1,8 Sekunden |
| Klein- & Großbuchstaben & Ziffern (62 mögliche Zeichen) | 5 Minuten 30 Sekunden | |
| Klein- & Großbuchstaben, Ziffern & Sonderzeichen (95 mögliche Zeichen) | 1 Stunde 48 Minuten | |
| 7 | Kleinbuchstaben (26 mögliche Zeichen) | 47,1 Sekunden |
| Klein- & Großbuchstaben & Ziffern (62 mögliche Zeichen) | 5 Stunden 42 Minuten | |
| Klein- & Großbuchstaben, Ziffern & Sonderzeichen (95 mögliche Zeichen) | 4 Tage 17 Stunden | |
| 8 | Kleinbuchstaben (26 mögliche Zeichen) | 20 Minuten 24 Sekunden |
| Klein- & Großbuchstaben & Ziffern (62 mögliche Zeichen) | 14 Tage 19 Stunden | |
| Klein- & Großbuchstaben, Ziffern & Sonderzeichen (95 mögliche Zeichen) | 1 Jahr 2 Monate 12 Tage |
Die schnellsten modernen Rechner können über 2 Billionen Schlüssel pro Sekunde erstellen. Umgekehrt sind die Raten bei älteren Computern geringer als die anvisierten 170 Millionen.
Brute-Force-Attacken verhindern: Das Passwort bombensicher gestalten
Aufgrund der Funktionsweise der Brute-Force-Methode wird schnell klar, weshalb eine gute Passwortpflege das A und O eines guten Schutzes ist.
Namen, Geburtsdaten oder gar einfache Wörter sind ungeeignet und werden meist binnen Sekunden durch ein Brute-Force-Programm aufgedeckt.
Ein gutes Passwort enthält Groß- und Kleinschreibung, Ziffern und Sonderzeichen. Weiterhin sollte es mindestens acht Zeichen lang sein.
In der Praxis hat sich die Methode etabliert, Passwörter aus Sätzen zu generieren, sodass sie leichter zu merken sind. Beispiel: Aus dem Satz „Ich wohne in der Musterstraße 7 in 12345 Musterstadt im 2. Stockwerk“ wird das Passwort „IwidM7i12345Mi2.S“.
Alptraum Brute-Force-Angriff: Schutz durch Zugriffsbeschränkungen
Nicht nur durch ein sicheres Passwort können Sie sich vor einem Angriff nach der Brute-Force-Methode schützen. Blog- und Websitebetreiber haben die Möglichkeit, temporäre oder permanente Blockaden für IP-Adressen zu errichten, welche bei einer bestimmten Anzahl an Fehlversuchen greifen.
Folgende Maßnahmen sind in diesem Zusammenhang sinnvoll:
- Login-Seite nur für bestimmte IP-Adressen freischalten (sofern der Websitebetreiber eine feste IP-Adresse besitzt)
- Zugriff auf die Login-Seite für ausländische IPs und die IP-Adressen von anderen Anbietern als jenen des Betreibers sperren
- Login-Seite mit einem zusätzlichen Passwort sichern
- Login-Seite durch Umbenennung verbergen (Achtung! Führen Sie diesen Schritt keinesfalls ohne professionelle Hilfe aus!)
- Keinen Benutzer mit dem Namen „Admin“ erstellen
Diese Schritte helfen Ihnen dabei, Datensicherheit und Datenschutz Ihrer Website zu erhöhen.
Ist meine Website von einer Brute-Force-Attacke betroffen?
Ihr Blog lädt langsamer als gewöhnlich? Nebst vielen anderen Ursachen kann dies an einem Brute-Force-Angriff liegen. Ob dies der Fall ist, ermitteln Sie über die Server-Logfiles.
Darin wird jede Anfrage festgehalten. Überprüfen Sie, wer die Login-Seite in letzter Zeit abgerufen hat. Stellen Sie fest, dass fremde IP-Adressen massiv versuchen, auf die Datei zuzugreifen, können Sie von einem Brute-Force-Angriff ausgehen.
(66 Bewertungen, Durchschnitt: 3,88 von 5)
Loading...Über den Autor
Hallo wir nutzen ihre Seite gerade im Unterricht bei Herr W. Es ist gerade Freitag und ich will einfach nur nach Hause gehen.. Dank der Seite bin ich schneller mit den Aufgaben fertig!
Boris grundsätzlich stimme ich dir voll zu, allerdings gibt es andere Schwachstellen, die ausgenutzt werden können, um das Problem zu umgehen.
Es könnte z.B. sein, dass der Ziel Rechner eine Fehl Konfiguration besitzt, diese den Angreifer dann eine SQL-Injection erlaubt. Jetzt könnte er im günstigsten Fall mithilfe des Passworts die Datenbank abfragen, welcher Nutzer das vorhandene Passwort besitzt und den Namen anzeigen lassen. Alternativ kann der Angreifer auch mithilfe von Strings versuchen, ganz ohne Name sich anzumelden oder im schlimmsten Fall auch ganz ohne Passwort, sich als jeden beliebigen Nutzer anzumelden oder sich selber einen Zugang einzutragen.
Phishing ist auch eine beliebte Methode, die dann auch die Bute-Force Hürde erspart. Eine Haustür kann noch so sicher sein, aber nutzlos sein, wenn die Wände Löcher haben.
Nutzt alle am besten Passwort Manager mit eingebautem Zufalls Generator. Am besten sogar noch Open Source wie z.B. KeePass.
Nutzt, auch wenn vorhanden einen 2. Faktor und/oder einen Public Key für euren Zugang.
Und eine kleine bitte an alle Selfmade Server Betreiber unter euch, die nicht so ein großes Sicherheits Wissen haben. Baut für euch und eure Community zu liebe die 2FA Möglichkeit ein und Informiert euch über gängige Angriffsmethoden und Lücken (Vor allem WordPress Betreiber).
Cyber Angriffe, werden von Jahr zu Jahr immer häufiger und gravierender für den Datenschutz. Es wird für alle Bürger immer wichtiger, sich mindestens einmal im Jahr mit dem Thema Cyber Sicherheit auseinanderzusetzen, Passwörter zu ändern und zusätzlich gelegentlich überprüfen, ob man von einen Data Breach betroffen ist.
Ein Server darf nur ein Password alle 5 Secunden prüfen dürfen. Das ist aber normal so. Von daher würde ein gutes Password erst in zig Jahren geknackt sein. Ein Angriff merkt aber sehr schnell jeder gute Admin.
Etwas sehr wichtiges fehlt im Ratschlag, wie leider in fast allen Ratschlägen zur Login-Sicherheit, die ich in den letzten Monaten gelesen habe:
Wenn das Skript, dass die Brute-Force-Attacke auf meinem Blog ausführt, mein Passwort ermittelt hat, hat es erst einmal noch gar nichts erreicht. Das ist nur die halbe Miete. Es kennt nämlich den zugehörigen Usernamen nicht, der zum Login notwendig ist. Bei nahezu allen Login-Combos handelt es sich eben um Combos aus Usernamen und Passwort.
Wenn der allerdings ‚Peter-Schmidtbauer‘ lautet, dauert es nur Sekunden länger, bis das Skript Zugang hat, wenn das Passwort bekannt ist.
Dem Usernamen muss dieselbe Sorgfalt gewidmet werden, er muss genauso sicher sein wie das Passwort. Nur dann ist ein Login wirklich geschützt.
Hallo Boris,
ich glaube, da ist ein Denkfehler drinnen. Ein Bruteforce Angriff richtet sich an die LOGIN Seite (wo beide Infos eingegeben werden müssen). Zuerst muss der Angreifer also einen existierenden Benutzernamen finden (nicht durch BF, sondern aus anderen Quellen wie etwa Databreaches oder sonstige Forensik). Wenn er diesen Benutzernamen hat, kann er mit dem BF Angriff beginnen (vorher nicht). Denn nur „in Kombination“ der beiden kann ein BF Angriff die Antwort „ist gültig“ liefern.