ProtonBlog
Per RSS abonnieren
what is a brute force attack

Was ist eine Brute-Force-Attacke?

diese Seite teilen

Im Bereich der Cybersicherheit ist der Begriff Brute-Force-Attacke oft zu hören. Eine Brute-Force-Attacke ist jeder Angriff, der nicht auf Finesse setzt, sondern rohe Rechenkraft nutzt, um Sicherheitsmaßnahmen oder sogar die zugrundeliegende Verschlüsselung zu knacken.

In diesem Artikel erklären wir, was Brute-Force-Attacken sind, wie sie funktionieren und wie du sie verhindern kannst.

Was bedeutet Brute-Force-Attacke?

Das reale Äquivalent einer Brute-Force-Attacke ist, ein Schloss nicht mit einem Dietrich zu öffnen, sondern mit einem Brecheisen. Es ist laut, unordentlich und nicht sehr elegant, aber es erfüllt seinen Zweck.

Ein gutes Beispiel dafür, wie dieses Prinzip digital ausgeführt wird, ist das, was man als Wörterbuchangriff bezeichnet – verwendet beim bekannten Dropbox-Sicherheitsvorfall von 2012, bei dem die Zugangsdaten von 68 Millionen Nutzern kompromittiert wurden. In diesem Szenario versucht ein Angreifer, ein Passwort für ein Online-Konto zu erraten, indem er ein Programm tausende, wenn nicht gar Millionen, gängiger Wörter ausprobiert in der Hoffnung, Glück zu haben und eines zu finden, das funktioniert.

Die Vermutungen basieren auf bekannten Passwörtern und deren Ableitungen, nicht nur auf Wörterbuchwörtern, und jeder Versuch wird in der Regel einzeln durchgeführt. Es braucht lediglich ein System, das leistungsfähig genug ist, um die Mathematik immer wieder durchzugehen, bis das Programm auf die richtige Kombination von Symbolen stößt, die das Passwort für dieses Konto ausmachen.

Es sollte erwähnt werden, dass die Verwendung eines digitalen Brecheisens auf diese Weise nicht nur ressourcenintensiv ist, sondern auch viel Zeit in Anspruch nimmt. Obwohl mögliche Passwörter schnell eingegeben werden können, in nur Millisekunden, bedeutet das enorme Volumen, dass diese Millisekunden sich summieren. Infolgedessen können die Besitzer einer Website oft einen Angriff abwehren, bevor er wirklichen Schaden anrichtet – aber nicht immer.

Beispiele für Brute-Force-Attacken

Wörterbuchangriffe sind nur eine Art von Brute-Force-Attacke, so wie Brecheisen nur eine Möglichkeit sind, ein Schloss aufzubrechen. Nachfolgend sind einige der gängigeren aufgeführt.

Credential Stuffing

Credential-Stuffing-Angriffe sind ein weiterer sehr grundlegender Typ. Statt die Anmeldedaten der Opfer zu erraten, nehmen sie bekannte Zugangsdaten – in der Regel öffentlich gemacht bei einem Datenleck – und versuchen sie dann auf verschiedenen Websites in großer Zahl einzusetzen (daher der Begriff ‘Stuffing’).

Da viele Menschen ihren Benutzernamen und ihr Passwort wiederverwenden – ein Ergebnis der Passwortmüdigkeit wie auch immer – macht dies Credential Stuffing zu einem erfolgreichen Angriffsvektor für jeden Cyberkriminellen, der schnell Geld verdienen will.

Password-Spraying-Angriffe

Password-Spraying-Angriffe, auch bekannt als umgekehrte Brute-Force-Angriffe, gehen ähnlich vor. In diesem Fall haben Angreifer eine Liste von Benutzernamen und probieren dann einfache Passwörter aus, in der Hoffnung, Glück zu haben.

Diese Art ist besonders wirksam gegen Organisationen mit nachlässiger Sicherheit. Die meisten Unternehmen haben eine festgelegte Methode zur Generierung von Benutzernamen (zum Beispiel durch Kombination von Vor- und Nachnamen), und Administratoren lassen Benutzer nicht immer das Standardpasswort ändern (das oft so etwas wie password123 ist). Wenn auch nur ein Benutzer sein Passwort nicht geändert hat, erhalten die Angreifer leicht Zugang.

Verhinderung von Brute-Force-Angriffen

Wenn du aufmerksam bist, hast du bemerkt, dass alle oben genannten Arten von Brute-Force-Angriffen eines gemeinsam haben: Sie zielen alle auf leicht zu erratende Passwörter ab. Wenn du also dein Passwort sicherst, bist du größtenteils vor diesen Arten von Brute-Force-Taktiken geschützt.

Zum Beispiel können Wörterbuchangriffe abgewehrt werden, indem man lange, zufällige Passwörter verwendet. Diese werden jedes Passwortgenerierungsprogramm verwirren, da sie nicht vorhersagen können, welches das nächste Symbol sein wird. Je länger du sie machst, desto länger dauert es, sie zu knacken, was mit einem 16-stelligen Passwort auf Milliarden von Jahren hinauslaufen kann.

Credential-Stuffing-Angriffe können verhindert werden, indem man immer zufällige Passwörter verwendet und niemals dasselbe Passwort zweimal benutzt. Selbst wenn ein Datenleck eines deiner Passwörter preisgibt, weißt du, dass alle deine anderen Konten sicher sind.

Diese beiden Taktiken verhindern auch Password-Spraying-Angriffe, da diese auf die Wiederverwendung schwacher Passwörter durch Organisationen angewiesen sind. Indem du immer starke Passwörter in Kombination mit Zwei-Faktor-Authentifizierung (2FA) verwendest, die dich dazu bringt, ein zweites Gerät zur Bestätigung deiner Identität zu benutzen, machst du jeden Password-Spraying-Versuch nutzlos.

Wie man Brute-Force-Angriffe mit Proton verhindert

Alle oben genannten Tipps sind Teil einer vernünftigen Passwortrichtlinie, egal ob du ein Unternehmen oder eine Einzelperson bist. Um sie jedoch umzusetzen, brauchst du einen Passwortmanager, ein Programm, das Passwörter für dich generieren und speichern kann und sie sogar automatisch ausfüllt, während du im Internet surfst. Sie sind ein Weg, nicht nur deine Online-Sicherheit zu verbessern, sondern auch deine Lebensqualität.

Ein Passwortmanager kann noch viel mehr sein, weshalb wir Proton Pass entwickelt haben. Unser Passwortmanager verfügt über alle grundlegenden Funktionen, die du zum Schutz vor Brute-Force-Angriffen benötigst – einschließlich integrierter 2FA-Unterstützung, die dieses wichtige Feature viel weniger mühsam macht –, bietet aber auch einige einzigartige Extras, die dir helfen, eine digitale Identität aufzubauen, die dich vor Angriffen schützt.

Zum Beispiel kannst du beim Erstellen von Konten hide-my-email-Aliase verwenden, die auf deine echte E-Mail-Adresse verweisen, ohne sie preiszugeben. Diese machen es den meisten Brute-Force-Angriffen sehr schwer, dich ins Visier zu nehmen, da sie keinen Benutzernamen haben, der auf anderen Konten verwendet wurde. Du kannst auch optieren, auf Webseiten, die diese hochmoderne Authentifizierungsmethode unterstützen, Passkeys zu verwenden. Mit diesen gibt es kein Passwort zu erraten, was Brute-Force-Angriffe sinnlos macht.

Neben diesen haben wir auch einige Funktionen, die deine Sicherheit auf allgemeinere Weise verbessern. Das beste Beispiel ist die Ende-zu-Ende-Verschlüsselung, die sicherstellt, dass nur du deine Passwörter kennst. Niemand, nicht einmal wir, weiß, was du bei uns speicherst. Das ist nicht nur für die Sicherheit großartig, sondern fördert auch mehr Privatsphäre.

Diese Kombination aus Sicherheit und Privatsphäre macht Proton zum Marktführer in diesem Bereich. Da wir ausschließlich durch Abonnements finanziert werden – kein Risikokapital, keine Werbetreibenden –, sind wir auf dich angewiesen, um unser Business am Laufen zu halten. Deshalb werden wir immer dich, unsere Community, an die erste Stelle setzen. Wenn dir das zusagt und du Teil davon sein möchtest, tritt heute Proton Pass bei.

Schütze deine Privatsphäre mit Proton
Kostenloses Konto erstellen

Verwandte Artikel

What to do if someone steals your Social Security number
en
If you’re a United States citizen or permanent resident, you have a Social Security number (SSN). This number is the linchpin of much of your existence, linked to everything from your tax records to your credit cards. Theft is a massive problem, whic
compromised passwords
en
  • Grundlagen der Privatsphäre
How do passwords become compromised?
Compromised passwords are a common issue and probably one of the biggest cybersecurity threats for regular people. How do passwords get compromised, and is there anything you can do to prevent it? * What does compromised password mean? * How do pa
Is WeTransfer safe?
en
  • Grundlagen der Privatsphäre
Is WeTransfer safe?
WeTransfer is a popular service used by millions worldwide to send large files. You may have wondered if it’s safe or whether you should use it to share sensitive files. We answer these questions below and present a WeTransfer alternative that may su
what is a dictionary attack
en
  • Grundlagen der Privatsphäre
What is a dictionary attack?
Dictionary attacks are a common method hackers use to try to crack passwords and break into online accounts.  While these attacks may be effective against people with poor account security, it’s extremely easy to protect yourself against them by usi
Datenpannen sind zunehmend alltäglich. Immer wenn du dich für einen Online-Dienst anmeldest, gibst du persönliche Informationen preis, die für Hacker wertvoll sind, wie E-Mail-Adressen, Passwörter, Telefonnummern und mehr. Leider sichern viele Online
Sichere, nahtlose Kommunikation ist das Fundament jedes Unternehmens. Da immer mehr Organisationen ihre Daten mit Proton sichern, haben wir unser Ökosystem mit neuen Produkten und Dienstleistungen erheblich erweitert, vom Passwortmanager bis zum Dark