academy
Sicherheit
Sicherheit
Alle Artikel zum Thema Sicherheit anzeigen
Privatsphäre
Privatsphäre
Alle Artikel zum Thema Privatsphäre anzeigen
Leistung
Leistung
Alle Artikel zum Thema Leistung anzeigen
Sprache auswählen
Sprache auswählen
Avast Academy Sicherheit Andere Bedrohungen Was ist ein Brute-Force-Angriff?

Was ist ein Brute-Force-Angriff?

Die besten Passwörter sind lang, komplex und vermeiden es einfache Namen oder bekannte Ausdrücke zu verwenden. Das ist der Fall, da kurze oder zu eindeutige Passwörter nicht lange gegen Brute-Force-Angriffe standhalten können. Aber was genau ist ein Brute-Force-Angriff? Erfahren Sie, wie Brute-Force-Angriffe ablaufen, wie Sie diese vermeiden und wie ein robustes Cybersicherheitstool Sie schützen kann.

PC-editors-choice-icon
2021
Editors' choice
tech-radar-icon
2021
Editor's choice
PCW-icon
2022
Testsieger
How-to-set-parental-controls-on-a-Mac-Hero

Was genau ist ein Brute-Force-Angriff?

Als Brute-Force-Angriff wird bezeichnet, wenn ein Hacker versucht das Passwort über intensives computergestütztes Ausprobieren zu knacken. Der Umfang und die Definition von Brute-Force hat sich, je weiter die Computertechnologie fortgeschritten ist, erweitert.

Hamburguer menu icon

Dieser Artikel enthält:

    In den 1970er Jahren war ein Hacker theoretisch nur in der Lage Tausende an Passwortkombinationen pro Sekunde auszuprobieren. Heute erlaubt die moderne Computertechnik Hunderte Milliarden an Anmeldeversuchen pro Sekunde.

    Obwohl sich die Bedeutung von Brute-Force erweitert hat, hat sich die Methode nicht geändert: so viele Passwortkombinationen wie möglich auszuprobieren und zu hoffen, dass eine davon funktioniert. Der Erfolg oder Misserfolg eines Hackers hängt oftmals nur davon ab, wie viel Zeit und Ressourcen investiert werden. Aber was für Methoden nutzt der moderne Hacker?

    Arten der Brute-Force-Angriffe

    Es gibt fünf typische Arten von Brute-Force-Angriffen: einfache Angriffe, Wörterbuchangriffe, hybride Angriffe, umgekehrte Angriffe und Credential-Stuffing. Jeder mit Interesse und ein wenig Wissen kann sich ein Brute-Force-Entschlüsselungstool besorgen, d. h. eine Software, die automatisiert Brute-Force-Angriffe ausführt.

    Meistens werden Brute-Force-Tools verwendet, um Passwörter zu knacken oder gestohlene Passwort-Datenbanken zu entschlüsseln. Die Effektivität der Brute-Force-Tools hängt davon ab, welche Ressourcen und Rechenleistung von den Erstellern verwendet wurden.

    Der typische Hacker als Einzelgänger aus dem Keller mag nicht in der finanziellen Lage sein, einen erstklassigen, leistungsstarken Computer zum Cracken von Passwörtern zu nutzen. Aber die Definition eines Hackers hat sich mit der Zeit geändert. Heute gehören viele Cyberkriminelle gut finanzierten und durchorganisierten Gruppierungen an, denen die besten Tools für das Knacken von Passwörtern zur Verfügung stehen.

    Einfache Brute-Force-Angriffe

    Einfache Brute-Force-Angriffe brauchen nur wenig Rechenleistung und Geschick. Hier gehen die Hacker systematisch durch Kombinationen aus Wörtern, Buchstaben und Zeichen, bis sie im System sind. Lange und komplexe Passwörter sind davon nicht betroffen, da sich diese Technik auf Variationen der häufigsten oder wahrscheinlichsten Passwörter beschränkt.

    Ein einfacher Brute-Force-Angriff ist so simpel, dass er manuell durchgeführt werden kann, selbst wenn dies natürlich viel zeitintensiver ist.

    Ein Bot kann sehr einfach ein Passwort per Brute-Force-Angriff erraten. Deshalb sind die schlechtesten Passwörter Zahlenreihen, wie 123456, der Geburtstag der Person oder das nicht totzukriegende (und komischerweise immer noch beliebte) „Passwort“.

    Einfache Brute-Force-Angriffe gehen Wörter- und Zahlenkombinationen durch, um schwache Passwörter zu erraten.Einfache Brute-Force-Angriffe können leicht einfache Passwörter knacken.

    Einfache Brute-Force-Angriffe sind immer noch wirkungsvoll, da viele, weniger erfahrene Internet-Nutzer sich nicht über die Gefahren von einfachen Passwörtern bewusst sind. Andere setzen eher mit einfachen Passwort ihre Sicherheit aufs Spiel, als sich längere, komplexere Passwörter merken zu müssen. Falls Sie Schwierigkeiten haben, sich Ihre Passwörter zu merken, sollten Sie anfangen, einen guten Passwort-Manager zu verwenden.

    Wörterbuchangriffe

    Wörterbuchangriffe haben weniger durchsichtige Passwörter als Ziel und nutzen ein digitales Wörterbuch oder eine Liste an Wörtern als Hilfe. Ein weniger durchsichtiges Passwort zu wählen kann Sie vor einfachen Brute-Force-Angriffen schützen, da viele Hacker einfach aufgeben, wenn es zu lange dauert. Aber wenn Sie weniger durchsichtige oder komplexe Wörter nutzen, schützt Sie das nicht vor Wörterbuchangriffen.

    Über Wörterbuchangriffe versuchen Hacker Ihr Passwort, über das Durchlaufenlassen jedes Wortes, häufige Wörterkombinationen dieser Wörter mit anderen Wörtern, verschiedene Schreibweisen und Wörter in verschiedenen Sprachen, zu erraten. Wenn Sie ein einzelnes Wort als Passwort verwenden ist ein Brute-Force-Wörterbuchangriff In wenigen Sekunden erfolgreich.

    Hybride Brute-Force-Angriffe

    Hybride Brute-Force-Angriffe kombiniert Hacking-Techniken einfacher Brute-Force-Angriffe mit denen der Wörterbuchangriffe. Häufige Passwörter werden mit Wörterbucheinträgen und zufälligen Zeichen kombiniert, um eine größere Datenbank für Passwortkombinationen zu erstellen. Ein Passwort wie „p@$$w0rt“ kann gegen Wörterbuchangriffe schützen, nicht aber gegen hybride Angriffe.

    Hacker, die hybride Angriffe ausführen passen Ihre Angriffsstrategie an, als dass diese einfach Kombinationen Wort für Wort ausprobieren. Eindringlinge wissen, dank Wörterlisten (möglicherweise im Darknet gekauft), der Bevölkerungsgruppe des Opfers und generellen Beobachtungen menschlichen Verhaltens, welche Wortkombinationen häufiger vorkommen. Dann priorisieren sie diese Kombinationen in ihren Angriffen.

    Umgekehrte Brute-Force-Angriffe

    Umgekehrte Brute-Force-Angriffe haben die Handlungsreihenfolge umgekehrt: Diese starten mit einem häufigen oder bekannten Passwort und versuchen dann über Brute-Force-Methoden den Nutzernamen herauszufinden. Kompromittierte Passwörter werden manchmal durch Datenlecks im Internet offengelegt. Wenn das passiert, werden sie oftmals für umgekehrte Brute-Force-Angriffe verwendet.

    Viele Nutzer achten bei ihren Anmeldedaten nicht auf Sicherheit, was das Hacken von Benutzernamen lukrativer macht, als es scheinen mag.

    Credential-Stuffing

    Als Credential-Stuffing wird bezeichnet, wenn ein Hacker erfolgreich Ihren Usernamen und Passwort erhalten hat und dann versucht, sich an anderer Stelle mit den gleichen Daten anzumelden. Anstelle ein Passwort mit Brute-Force-Methoden zu erraten, wird hier die Webseite oder App ins Visier genommen, wo das Passwort oder der Username genutzt wird. Das ist einer der Gründe, warum Sie niemals Passwörter in Ihrem Browser speichern sollten.

    Wenn Sie dasselbe Passwort oder denselben Benutzernamen auf mehreren Seiten verwenden, wie so viele von uns, ist keiner Ihrer Accounts mehr sicher, sobald einer von ihnen kompromittiert wurde. Zusätzlich zu einzigartigen Passwörtern für alle Ihre Accounts sollten Sie darüber nachdenken, Ihre Sicherheit mit einem Antivirus-Tool zu verbessern.

    Avast One schützt Sie vor vielen Sicherheitsrisiken, von kompromittierten Passwörtern und unsicheren Einstellungen bis hin zu verdächtigen Plug-ins, Malware und anderen Gefahren. Unsere integrierte Smart-Scan-Funktion durchkämmt Ihr System, sodass Sie alle Schwachstellen sehen und kinderleicht beheben können, bevor diese zum Problem werden.

    Tools für Brute-Force-Angriffe

    Manuelle Brute-Force-Angriffe sind sehr zeitaufwendig, außer wenn sie auf äußerst schwache Passwörter abzielen. Doch Hacker haben eine Reihe automatisierter Tools entwickelt, mit denen sich Passwörter leichter knacken lassen. Nicht alle davon beruhen auf dem Prinzip, dass sie alle denkbaren Zeichenkombinationen durchlaufen.

    Hier sind einige der wichtigsten Tools, die Hacker für Brute-Force-Angriffe einsetzen:

    • Tools für schwache Passwörter

      Durch die Verwendung von Tools, die zunächst die einfachsten, offensichtlichsten Passwörter ausprobieren, müssen Hacker oft gar nicht mehr ihre schwereren Geschütze auffahren.

    • WLAN-Cracker

      Tools zum Knacken von WLANs analysieren die Sicherheit des WLAN-Netzwerks und sammeln Daten, mit denen sie die anvisierten Netzwerke effektiver angreifen können.

    • Hash-Funktionen

      Algorithmus-basierte Verschlüsselungsverfahren, die als Hash-Funktionen bezeichnet werden, generieren lange, zufällige Passwörter, die von Cracking-Tools verwendet werden können, um Ergebnisse zu erraten.

    • Wörterbuch-Bots

      Mit Wörterbuchangriffen können Brute-Force-Tools alle Passwörter, die nur aus einem Wort bestehen, im Handumdrehen aushebeln.

    Alle diese Softwaretools verarbeiten in kürzester Zeit riesige Datenmengen, was eine immense Rechenleistung erfordert. Bei Hardware, die speziell für Brute-Force-Angriffe dient, wird die CPU in der Regel mit der GPU kombiniert, um das Knacken der Passwörter erheblich zu beschleunigen.

    Warum nutzen Cyberkriminelle Brute-Force-Angriffe?

    Hinter Brute-Force-Angriffen stecken viele Motive. Viele Hacker oder Cyberkriminelle nutzen Brute-Force-Angriffe gegenüber Webseiten um zusätzliche Werbung einzuschleusen oder sensible Daten über Phishing-Angriffe zu stehlen. Ein rachelustiger Angreifer kann über einen Brute-Force-Angriff den Ruf einer Webseite zerstören.

    Ein Brute-Force-Passwort-Cracker. Eine Software, die kontinuierlich Passwörter ausprobiert, bis das richtige gefunden ist, kann frei im Netz gefunden werden. Das heißt, jeder auf Rachefeldzug oder mit zu viel Freizeit kann es ausprobieren. Letztendlich können Motive und Intensität der Angriffe variieren. Aber schwerwiegende Brute-Force-Angriffe können ein ganzes System unter Kontrolle bringen.

    Nachdem wir die häufigsten Arten von Brute-Force-Angriffen erörtert haben, kommen wir nun zu den Gründen, aus denen Hacker diese Methoden nutzen.

    Die Gelegenheit, versteckte Webseiten zu entdecken

    Brute-Force-Angriffe können viel mehr zu Tage bringen als nur Passwörter oder Nutzernamen. Webseiten per Brute-Force zu knacken, erlaubt Angreifern Zugriff auf Webseiten oder Verzeichnisse, die normalerweise vor dem öffentlichen Auge versteckt sind.

    Diese Webseiten sind entweder aus technischen oder persönlichen Gründen versteckt eingerichtet, oder sie wurden erstellt und schlichtweg vergessen. In beiden Fällen haben diese Webseiten eine schwächere Sicherheit als die, die für die Öffentlichkeit bestimmt sind. Mit hoher Wahrscheinlichkeit sind sie gefährdeter für bösartige Computer-Schwachstellen, gefährliche Malware wie Trojaner, SQL-Einschleusungen und andere illegale Gefahren.

    Für den Fall, dass ein Hacker eine versteckte Webseite gefunden hat, könnte er sich eine zuverlässige Hintertür zur Hauptwebseite sichern.

    Profit aus Werbung

    Über illegal beschaffte Zugänge auf Webseiten können Hacker Besucher mit Werbung bombardieren, die pro Klick Profit für den Hacker generieren. Hacker können auch den Besucherverkehr auf Webseiten voll von Werbung umleiten oder zu Pharming-Webseiten, die sich als die echte ausgeben.

    Wenn werbefinanzierte Geschäftsmodelle ausgenutzt und Benutzer gezwungen werden, eine Vielzahl von Werbeanzeigen anzusehen und zu ertragen, verdienen Hacker an jeder Spam-Werbung.

    Malware verbreiten

    Brute-Force-Angriffe werden oft genutzt, um Viren und andere Malware in einem System weiterzuverbreiten. Abhängig von der Art der Malware, die ein Hacker verwendet, kann er auf sensible Daten zugreifen, wie Ihre Kontaktliste und Ihren Standort.

    Über die Installation von Adware auf Ihrem Gerät kann der Hacker Sie mit Werbung überhäufen und so Geld verdienen. Hacker können über Brute-Force Malware auf einer Webseite installieren, die jeden infiziert, der diese Webseite besucht.

    Avast One kann Sie vor ungeahnten Gefahren schützen. Unser Web-Schutz verhindert, dass bekannte Malware auf Ihren PC heruntergeladen wird, während Sie im Internet surfen. Unser Datei-Schutz wiederum scannt unbekannte Dateien, bevor sie bei Ihnen ankommen, und versetzt sie umgehend in Quarantäne, falls sie bösartig sind.

    Dies bedeutet, dass Avast One gefährliche Angriffe auf Ihren Computer abhält – selbst wenn diese Angriffe von vertrauenswürdigen Domänen stammen, die ungeahnt über einen Brute-Force-Angriff kompromittiert wurden.

    Außerdem findet unsere integrierte Smart-Scan-Funktion die Lücken Ihrer Online-Sicherheit, indem alle Ihre Einstellungen und Add-Ons auf Schwachstellen überwacht werden.

    Benötigen Sie noch mehr Extra-Schutz gegenüber Brute-Force-Angriffen? Entdecken Sie Avast Premium Security, welches automatisch mit dem integrierten Schutz gegen Fernzugriff alle Brute-Force-Angriffe unterbindet.

    Daten stehlen

    Wenn Hacker Kontrolle über eine Webseite erlangt haben, können diese Ihre Browserdaten erfassen and Dritte verkaufen. Ihre Daten sind wertvoll für Werbetreibende, die Ihnen Produkte verkaufen möchten, für Analytikfirmen, die ihre Geschäftsmodelle optimieren möchten, als auch für Datenhändler die Ihre persönlichen oder gebündelten Daten an interessierte Käufer verscherbeln möchten.

    Brute-Force-Passwort-Cracker herunterzuladen ist spielend leicht, sodass ein Hacker einfach sein Glück damit versuchen kann. Big Data bedeuten heutzutage auch große Gewinne.

    Natürlich können die gestohlenen Daten auch direkt von dem Angreifer verwendet werden. Zum Beispiel kann ein Hacker über Brute-Force-Angriffe Spyware einschleusen, um persönliche Daten zu sammeln, die dann wiederum für Doxxingoder Identitätsdiebstahlgenutzt werden.

    Systeme übernehmen

    Nachdem Hacker über einen Brute-Force-Angriff Zugang auf Ihr System erlangt haben, können diese Ihr Gerät mit Ransomware infizieren, dieIhre Daten für Lösegeldforderungen blockiert oder Sie sogar komplett aus Ihrem System aussperrt. Nach der Kontrollübernahme können diese Sie dann erpressen, ihnen, unter Androhung Ihre Daten zu zerstören oder sensible Daten zu veröffentlichen, Geld zu senden.

    Ransomware, wie etwa Petya und WannaCry, können Ihre Dateien verschlüsseln, bis Sie zahlen – und selbst dann ist nicht sichergestellt, dass Sie Ihre Daten zurückerhalten.

    Wie können Sie sich vor Brute-Force-Angriffen schützen?

    Ein sicheres Passwort ist die erste Verteidigungslinie gegen Brute-Force-Angriffe. Wählen Sie einzigartige Passwörter für alle Ihre Konten und speichern Sie diese sicher über einen leistungsstarken Passwort-Manager.

    Google und andere Dienste versuchen Brute-Force-Angriffe über eine Limitierung von Login-Versuchen zu verhindern oder mithilfe sogenannter CAPTCHA oder andere Systeme, die erkennen wollen, ob ein Nutzer menschlich ist. Beachten Sie aber, dass diese Sicherheitsmaßnahmen Angriffe der neuesten Brute-Force-Software nicht aufhalten können.

    Falls ein Hacker die Hash-Funktion des Passworts besitzt, kann er versuchen, sich offline von einem anderen Gerät einzuloggen, so oft er möchte. Da viele Menschen dazu neigen, denselben Benutzernamen und dasselbe Passwort auf mehreren Seiten zu verwenden, können Hacker auch versuchen, sich in Tausende von Webseiten einzuloggen, bis ein Treffer gefunden wurde, und dann zum eigentlichen Ziel zurückkehren.

    Es gibt allerdings viele Maßnahmen, die Sie selber zum Schutz vor Brute-Force-Angriffen ergreifen können, wie ein besserer Umgang mit Passwörtern, Multi-Faktor-Authentifizierung und die Nutzung einer Online-Sicherheitssoftware.

    Nutzen Sie lange, komplexe und einzigartige Passwörter

    Je länger das Passwort, je besser. Viele von uns nutzen das gleiche Passwort auf mehreren Webseiten und wir nutzen oft kurze, da der Passwort-Wiederherstellungsprozess nervig ist. Sie können dieses Problem leicht vermeiden und schwer zu knackende Passwörter mit einem sicheren Passwort-Manager erstellen, der automatisch Passwörter erstellt und speichert.

    Komplexe Passwörter sind sicherer als einfache. Vielleicht konnten Sie feststellen, dass Webseiten Sie gebeten haben, ein sicheres Passwort zu generieren. Diese langen und komplexen Passwörter sind zufällige Zeichenfolgen, bestehend aus Buchstaben, Zahlen und Symbolen. Die Länge des Passworts zu erhöhen und einzigartige Wörter oder Buchstabenkombinationen zu verwenden, erhöht die Passwortsicherheit exponentiell.

    Vermeiden Sie gebräuchliche Identifikatoren, wie die Lieblingsmannschaft, den Namen der Heimatstadt oder andere Informationen, die leicht anhand Ihrer Standortdaten oder den demographischen Daten herausgefunden werden können. Und erstellen Sie für jedes Ihrer Online-Konten immer ein neues Passwort.

    Ein Passwort mit sieben Zeichen hat ungefähr acht Milliarden mögliche Kombinationen, ist also immer noch in Reichweite von Brute-Force-Angriffen. Eine Verdopplung auf 14 Zeichen lässt die möglichen Kombinationen auf 64 Trillionen anwachsen, was mehr als die Anzahl an Sandkörnern auf der Erde ist. Wenn man auf 21 Zeichen erhöhen würde, gäbe es mehr mögliche Kombinationen als Sterne im uns bekannten Universum.

    Implementieren Sie Multi-Faktor-Authentifizierung

    Multi-Faktor-Authentifizierung (MFA) und Zwei-Faktor-Authentifizierung (2FA) zwingen Sie dazu, sich mit mindestens zwei Arten von Anmeldedaten anzumelden. Diese Faktoren können wissensbasiert sein, wie etwa eine Sicherheitsfrage. Vermeiden Sie die Auswahl von Fragen, deren Antwort leicht in Ihren Social-Media-Accounts zu finden ist.

    Auf Google oder Facebook ist die Einrichtung von 2FA kinderleicht. Wählen Sie die Option in den Sicherheitseinstellungen und bestätigen Sie Ihre Identität über SMS oder eine Authentifizierungs-App.

    Die Faktoren können auch einmalig nutzbare Elemente sein, über die Sie zum Zeitpunkt des Logins verfügen müssen. Ein Beispiel sind Einmalpasswörter (One-Time-Password, OTP), die Sie per E-Mail, in einer Push-Benachrichtigung oder über eine spezielle Authentifizierungs-App erhalten.

    Ein dritter Authentifizierungs-Faktor könnte ein biometrischer Identifikator sein, wie zum Beispiel ein Fingerabdruck-Scan oder eine Gesichtserkennungs-Software. Engagierte Hacker können immer noch Daten imitieren oder stehlen. Dies ist aber sehr mühsam und nicht der Mühe wert, außer es handelt sich um ein Opfer mit hohem Wert.

    Unsere Verschlüsselung bietet zusätzlichen Schutz (wie ein PIN oder biometrische Identifikatoren), über Ihr Passwort hinaus.Multi-Faktor-Authentifizierung bietet einen zusätzlichen Schutz, über Ihr Passwort hinaus.

    Stärken Sie Ihre Schutzmaßnahmen

    Manchmal ist die beste Strategie gegen bösartige Programme einfach eine gute Software. Ihr Netzwerk oder Ihre Webseite hinter einer Firewall zu verstecken oder ein VPN-Gateway einzurichten, kann zusätzlichen Schutz gegenüber Brute-Force-Programmen bieten.

    Antivirus-Software stellt sicher, dass alle Winkel und Ecken Ihres Systems geschützt sind. Abwehrprogramme müssen auf dem neuesten Stand sein. Die besten Antivirus-Programme aktualisieren ihre Software kontinuierlich mit den neuesten Tools, um Viren abzuwehren und Hackerangriffe zu stoppen.

    Wehren Sie sich gegen Brute-Force-Angriffe mit Avast One

    Unternehmen müssen innovativ sein, um mit furchtlosen Hackern mithalten zu können. Avast One hat eine integrierte Funktion, die das Darknet auf Spuren Ihrer E-Mail-Adresse und personenbezogenen Daten durchsucht. Die Software überwacht außerdem Ihr Passwort, um sicherzugehen, dass es nicht kompromittiert wurde, und warnt Sie, wenn Sie es ändern sollten.

    Glücklicherweise werden die meisten von uns nicht gezielt mit Brute-Force angegriffen. Hacker wenden Brute-Force-Angriffe eher auf Webseiten an und nutzen diesen Zugriff dann zur Weiterverbreitung von Malware auf die Geräte der Besucher.

    Avast One sorgt für das automatische Blockieren und Entfernen von Malware von kompromittierten Webseiten – auch von solchen, die normalerweise sicher sind. So können keine Viren oder andere Malware Ihren Computer befallen. Wir schützen Sie auch vor bösartigen Downloads, infizierten Links und unsicheren E-Mail-Anhängen.

    Angesichts der vielen Gefahren, die überall lauern, ist es unverzichtbar, zusätzliche Abwehrmechanismen zum Schutz Ihrer Daten und anderer persönlicher Informationen einzurichten. Laden Sie Avast One noch heute herunter, um Hackern einen Schritt voraus zu sein.

    Schützen Sie mit Avast One Ihr Android vor Hackern

    KOSTENLOSE INSTALLATION

    Schützen Sie mit Avast One Ihr iPhone vor Hackern

    KOSTENLOSE INSTALLATION