Was ist ein Brute-Force-Angriff?

Es gibt viele extrem technische und ausgefeilte Hacks da draußen. Wie Sie vielleicht anhand des Namens erraten können, ist ein Brute-Force-Angriff nicht wirklich alles. Das heißt nicht, dass Sie sie ignorieren sollten. So einfach sie auch sind, sie können sehr effektiv sein. Bei genügend Zeit und Rechenleistung sollte ein Brute-Force-Angriff immer eine Erfolgsquote von 100 % haben.

Unterklassen

Es gibt zwei Hauptunterklassen: Online- und Offline-Angriffe. Ein Online-Brute-Force-Angriff muss nicht unbedingt das Internet betreffen. Stattdessen handelt es sich um eine Angriffsklasse, die direkt auf das laufende System abzielt. Ein Offline-Angriff kann durchgeführt werden, ohne mit dem angegriffenen System interagieren zu müssen.

Aber wie kann man ein System angreifen, ohne das System anzugreifen? Nun, Datenschutzverletzungen enthalten oft Listen mit durchgesickerten Benutzernamen und Passwörtern. Sicherheitshinweise empfehlen jedoch, Passwörter in einem Hash-Format zu speichern. Diese Hashes können nur durch Erraten des richtigen Passworts geknackt werden. Da die Liste der Hashes nun öffentlich zugänglich ist, kann ein Angreifer leider die Liste einfach herunterladen und versuchen, sie auf seinem eigenen Computer zu knacken. Mit genügend Zeit und Rechenleistung können sie so mit 100-prozentiger Sicherheit eine Liste gültiger Benutzernamen und Passwörter kennen, bevor sie sich jemals mit der betroffenen Website verbinden.

Im Vergleich dazu würde ein Online-Angriff versuchen, sich direkt auf der Website einzuloggen. Dies ist nicht nur viel langsamer, sondern fällt auch so ziemlich jedem Systembesitzer auf, der sich darum kümmert. Daher werden Offline-Brute-Force-Angriffe in der Regel von Angreifern bevorzugt. Manchmal sind sie jedoch möglicherweise nicht möglich.

Brute-Forcing-Anmeldeinformationen

Die am einfachsten zu verstehende Klasse und die häufigste Bedrohung ist das Brute-Force-Erzwingen von Anmeldedaten. In diesem Szenario versucht ein Angreifer buchstäblich so viele Kombinationen von Benutzernamen und Passwörtern wie möglich, um zu sehen, was funktioniert. Wie oben beschrieben, kann der Angreifer bei einem Online-Brute-Force-Angriff einfach versuchen, so viele Kombinationen aus Benutzername und Passwort in das Anmeldeformular einzugeben. Diese Art von Angriff erzeugt viel Verkehr und Fehler bei fehlgeschlagenen Anmeldeversuchen, die von einem Systemadministrator bemerkt werden können, der dann Maßnahmen ergreifen kann, um den Angreifer zu blockieren.

Ein Offline-Brute-Force-Angriff dreht sich um das Knacken von Passwort-Hashes. Dieser Prozess nimmt buchstäblich die Form an, jede mögliche Kombination von Zeichen zu erraten. Mit genügend Zeit und Rechenleistung würde es jedes Passwort mit jedem Hash-Schema erfolgreich knacken. Moderne Hashing-Schemata, die für das Hashing von Passwörtern entwickelt wurden, wurden jedoch so konzipiert, dass sie „langsam“ sind und normalerweise so eingestellt sind, dass sie mehrere zehn Millisekunden dauern. Das bedeutet, dass es selbst mit einer enormen Menge an Rechenleistung viele Milliarden Jahre dauern wird, um ein anständig langes Passwort zu knacken.

Um die Wahrscheinlichkeit zu erhöhen, dass die meisten Passwörter geknackt werden, verwenden Hacker stattdessen Wörterbuchangriffe. Dies beinhaltet das Durchprobieren einer Liste häufig verwendeter oder zuvor geknackter Passwörter, um festzustellen, ob in der aktuellen Menge bereits Passwörter gesehen wurden. Trotz der Sicherheitsempfehlung, für alles eindeutige, lange und komplexe Passwörter zu verwenden, ist diese Strategie eines Wörterbuchangriffs typischerweise sehr erfolgreich und knackt ungefähr 75-95 % der Passwörter. Diese Strategie benötigt immer noch viel Rechenleistung und ist immer noch eine Art Brute-Force-Angriff, sie ist nur etwas gezielter als ein Standard-Brute-Force-Angriff.

Andere Arten von Brute-Force-Angriffen

Es gibt viele andere Möglichkeiten, Brute-Force einzusetzen. Bei einigen Angriffen wird versucht, physischen Zugriff auf ein Gerät oder System zu erlangen. Typischerweise versucht ein Angreifer, sich heimlich zu verhalten. Beispielsweise können sie versuchen, heimlich ein Telefon zu stehlen, sie können versuchen, ein Schloss zu knacken, oder sie können durch eine zugangskontrollierte Tür schleichen. Brute-Force-Alternativen dazu neigen dazu, sehr wörtlich zu sein und tatsächliche physische Gewalt anzuwenden.

In manchen Fällen kann etwas von einem Geheimnis bekannt sein. Ein Brute-Force-Angriff kann verwendet werden, um den Rest zu erraten. Beispielsweise werden häufig einige Ziffern Ihrer Kreditkartennummer auf Quittungen gedruckt. Ein Angreifer könnte alle möglichen Kombinationen anderer Zahlen ausprobieren, um Ihre vollständige Kartennummer herauszufinden. Aus diesem Grund sind die meisten Zahlen ausgeblendet. Die letzten vier Ziffern reichen beispielsweise aus, um Ihre Karte zu identifizieren, aber nicht genug, damit ein Angreifer eine gute Chance hat, den Rest der Kartennummer zu erraten.

DDOS-Angriffe sind eine Art Brute-Force-Angriff. Sie zielen darauf ab, die Ressourcen des Zielsystems zu überfordern. Es spielt keine Rolle, welche Ressource. es könnte CPU-Leistung, Netzwerkbandbreite oder das Erreichen einer Preisobergrenze für die Cloud-Verarbeitung sein. Bei DDOS-Angriffen wird buchstäblich nur genügend Netzwerkverkehr gesendet, um das Opfer zu überwältigen. Es „hackt“ eigentlich nichts.

Abschluss

Ein Brute-Force-Angriff ist eine Art von Angriff, bei der man sich auf reines Glück, Zeit und Mühe verlässt. Es gibt viele verschiedene Arten von Brute-Force-Angriffen. Während einige von ihnen etwas ausgefeilte Tools wie Software zum Knacken von Passwörtern beinhalten können, ist der Angriff selbst nicht ausgeklügelt. Dies bedeutet jedoch nicht, dass Brute-Force-Angriffe Papiertiger sind, da das Konzept sehr effektiv sein kann.