Was ist ein Brute-Force-Angriff?
Ein Brute-Force-Angriff ist eine Art Cyberangriff, bei dem Zugangsdaten über eine Software „erraten“ werden. Durch Versuch und Irrtum geben Brute-Force-Angreifer Wörterbuchwörter, Wortgruppen, beliebte Passwörter oder bestimmte Buchstaben- und Zahlenkombinationen ein, bis sie eine Übereinstimmung finden. Brute-Force-Angriffe sind überraschend effektiv, da 56 % der Menschen für mehrere Konten die gleichen Passwörter verwenden. Die Wiederverwendung von Passwörtern ist gefährlich. Ein Hacker muss nur ein Passwort hacken und schon kann er auf mehrere Konten oder ein ganzes System zugreifen.
Arten von Brute-Force-Angriffen
Einfache Brute-Force-Angriffe
Bei einfachen Brute-Force-Angriffen werden verschiedene Kombinationen an Zugangsdaten per Versuch und Irrtum ausprobiert, um die richtigen Zugangsdaten zu erraten. Angreifer verwenden einen leistungsstarken Computer, um alle möglichen Buchstaben-, Zahlen- und Symbolkombinationen zu testen. Obwohl dies ineffizient erscheinen mag, können einige Computer Billionen von Kombinationen gleichzeitig verarbeiten.
Brute-Force-Angriffe mit Wörterbüchern
Wörterbuch-Angriffe nutzen einfache Wörter oder Phrasen aus dem Wörterbuch, um Zugangsdaten zu knacken. Daher sollten für Passwörter keine Wörter oder Sätze verwendet werden, die in einem Wörterbuch zu finden sind, da sie über einen Brute-Force-Angriff mit Wörterbüchern gehackt werden können.
Hybride Brute-Force-Angriffe
Mithilfe externer Logik ermittelt ein Angreifer, welche Passwörter den größten Erfolg haben könnten, und wendet dann über eine Software jede Kombination mit „roher Gewalt“ (engl.: brute force) an.
Umgekehrte Brute-Force-Angriffe
Diese Methode basiert auf bekannten Passwörtern. Listen dieser Passwörter sind online leicht zugänglich. Hier ist eine Liste von 10.000 beliebten Passwörtern. Bei einem Reverse-Brute-Force-Angriff wird eine Liste wie diese verwendet, um die Passwörter in mehrere Zugangsmasken einzugeben und auf eine Übereinstimmung zu hoffen.
Credential Stuffing
Credential-Stuffing ist eine der effektivsten Brute-Force-Methoden. Listen mit bereits gehackten Passwörtern sind im Darknet käuflich erhältlich. Cyberkriminelle nutzen sie, um Zugangsdaten in Dutzende von Websites zu „stopfen“, um eine Übereinstimmung zu finden.
Oftmals ändern Benutzer nicht die Passwörter all ihrer Konten, selbst wenn sie zuvor gehackt wurden.
So verhindern Sie Brute-Force-Angriffe
Starke, einzigartige Passwörter verwenden
Indem Sie für all Ihre Konten sichere, einzigartige Passwörter verwenden, erschweren Sie es einem Cyberkriminellen, Ihre Passwörter zu erraten. Sie sollten immer komplexe Passwörter verwenden, die Buchstaben, Zahlen und Symbole enthalten und mindestens 16 Zeichen lang sind. Je länger und komplexer ein Passwort ist, desto besser.
Sie können einen Passwortgenerator verwenden, um starke, einzigartige Passwörter für all Ihre Konten zu finden.
Inaktive Konten löschen
Wenn ein Mitarbeiter ein Unternehmen verlässt, muss sein Konto vollständig entfernt werden, um unbefugte Anmeldungen zu verhindern. Selbst wenn das Konto eines Mitarbeiters deaktiviert wird, stellt es immer noch ein potenzielles Einfallstor für Cyberkriminelle dar. Inaktive Konten sollten so schnell wie möglich gekündigt und Zugangsdaten aus dem System gelöscht werden.
Anmeldeversuche einschränken
Brute-Force-Angriffe erfordern mehrere Anmeldeversuche. Brute-Force-Hacking ist viel weniger effektiv, wenn nur eine begrenzte Anzahl von Versuchen durchgeführt werden kann. Drei Anmeldeversuche sind ein gutes Maß. Das lässt genug Spielraum für jemanden, der seine Zugangsdaten wirklich verwechselt hat, und ist sicher genug, um potenzielle Bedrohungsakteure auszusperren, bevor sie das Passwort erraten. Lassen Sie das Konto nach drei Fehlversuchen vollständig sperren, von einem Systemadministrator überprüfen und bei Bedarf wieder freischalten.
MFA auf Konten aktivieren
Multi-Faktor-Authentifizierung (MFA) kann bei Brute-Force-Angriffen die Rettung sein. Wenn ein Passwort von einem fremden oder nicht erkannten Gerät verwendet wird, wird ein zusätzlicher Authentifizierungsschritt ausgelöst. Dies kann ein SMS- oder E-Mail-Verifizierungslink, eine biometrische Abfrage oder eine andere Methode sein. Dies bietet Ihren Konten eine zusätzliche Schutzebene.
Anmeldungen verlangsamen
Sie können auch Anmeldeversuche verlangsamen, indem Sie einen Countdown zwischen fehlgeschlagenen Anmeldeversuchen erforderlich machen. In Kombination mit einem Maximum bei den Anmeldeversuchen kann diese Methode einen Brute-Force-Angriff nach drei Versuchen stoppen und die Geschwindigkeit der Dateneingabe durch den Cyberkriminellen einschränken. Dies hilft auch, dem Administrator verdächtige Aktivitäten zu anzuzeigen.
Automatisierte Tools verwenden
Sie können Brute-Force-Angriffe mit ausgefeilten automatisierten Tools verhindern. Viele Unternehmen verwenden diese Tools bereits zur Abwehr von Brute-Force-Angriffen und anderen Malware-Bedrohungen. Zunehmend wird auch KI-Technologie eingesetzt, um Bedrohungen zu erkennen, zu verhindern und zu beseitigen, bevor sie überhaupt Schaden anrichten können.
Ein Bot-Schutz kann dabei helfen, den Webverkehr auf verdächtige Aktivitäten zu überwachen und Benutzer bei Verdacht auszusperren. Bots können auch verdächtige Aktivitäten (z. B. mehrere Anmeldeversuche) melden, und das Opfer warnen, bevor ein Angriff abgeschlossen ist.
Brute-Force-Angriffe sind zwar simpel vom Prinzip, aber oft effektiv für Hacker, insbesondere wenn die betroffene Person oder das betroffene Unternehmen nicht über die richtigen Sicherheitsmaßnahmen verfügen.
Brute-Force-Angriffe mit einem Passwortmanager verhindern
Passwortmanager wie Keeper® können dazu beitragen, Brute-Force-Angriffe zu verhindern, indem sie Benutzern dabei helfen, sichere Passwörter zu generieren und diese sicher zu speichern. Benutzer müssen sich ihre Passwörter nicht mehr selbst ausdenken und für Online-Konten werden keine schwachen oder alten Passwörter mehr verwendet.
Passwortmanager helfen sowohl Privatpersonen als auch Unternehmen beim Schutz ihrer Online-Konten. Überzeugen Sie sich selbst, indem Sie eine kostenlose Testversion starten.