Skip to content

Datenschutzblog

Passwortangriffe mit roher Gewalt

closeup photo of eyeglasses

Brute Force Angriff

In vorherigen Beiträgen haben wir uns bereits damit befasst, wie Kriminelle mittels Phishing oder dem Auslesen von gespeicherten Passwörtern an Ihre Zugangsdaten gelangen könnten.  Konnte der Zugang auf diesem Wege nicht erlangt werden, so besteht die Möglichkeit einen Brute Force Angriff zu starten, also zu Deutsch mit roher Gewalt anzugreifen.

Hierbei gibt es i.d.R. zwei Methoden die angewandt und gerne kombiniert werden. Diese basieren immer auf dem automatisiertem Ausprobieren verschiedener Passwörter.

Wörterbuchangriff

Bei der Wörterbuch Methode wird eine sehr lange Liste an gängigen Passwörtern ausprobiert, sowie Kombinationen dieser Wörter mit anderen Wörtern, aber auch bestimmten Ziffern und Sonderzeichen bzw. Folgen dieser. Wie z.B. Schaeferhund123!, Kaffeetasse187 oder Hamburg22457. Gezielte Algorithmen können hierbei sogar öffentliche Informationen über Sie nutzen, um mögliche Kombinationen zu finden.

Zufälliges oder strukturiertes Ausprobieren

Ist der Wörterbuchangriff nicht erfolgreich, so werden beliebige Passwörter in sehr hoher Geschwindigkeit nacheinander ausprobiert. Diese könnten zufällig erzeugt werden oder auch nach einem definiertem Schema arbeiten. Ein leistungsstarker Rechner ist in der Lage etwa 2 Millionen Kombinationen pro Sekunde auszuprobieren, ein entsprechendes Rechenzentrum entsprechend mehr. Diese Zahl ist mit den möglichen Kombinationen ins Verhältnis zu setzen:

Mögliche Kombinationen = mögliche Zeichen Passwortlänge

Hierbei geht die Passwortlänge zur Potenz ein, so dass diese einen besonders starken Einfluss auf die Länge aller möglichen Kombinationen hat. Ein Passwort mit lediglich 5 Zeichen könnte somit in wenigen Sekunden geknackt werden, wobei ein Passwort mit einer Länge von 16 Stellen und allen Möglichen Kombinationen bereits im Bereich von mehreren Millionen Jahren liegt.  Hierbei ist allerdings zu Berücksichtigen das nach dieser Zeit alle Passwörter ausprobiert wurden. Ihr Passwort könnte aber bereits eines der ersten Kombinationen gewesen sein. 

Sinnvolle Schutzmaßnahmen

Aus den Angriffsmethoden wird klar, ein langes Passwort mit zufälliger Zusammensetzung ist sehr sinnvoll um sich vor einem Angriff zu schützen. Weiteren Schutz bieten zeitgebundene Logingrenzen. So dass nach einer bestimmten Anzahl an Versuchen der Zugang für eine bestimmte Zeit gesperrt wird. 

Darüber hinaus kann eine zwei Faktor Authentifizierung sinnvoll sein, dies behandeln wir in einem der nächsten Beiträge.

An den Anfang scrollen