Es gibt viele äußerst technische und ausgefeilte Hacks. Wie der Name schon vermuten lässt, ist ein Brute-Force-Angriff nicht wirklich alles. Das heißt nicht, dass Sie sie ignorieren sollten. So unkompliziert sie auch sind, sie können sehr effektiv sein. Bei ausreichender Zeit und Rechenleistung sollte ein Brute-Force-Angriff immer eine Erfolgsquote von 100 % haben.
Unterklassen
Es gibt zwei Hauptunterklassen: Online- und Offline-Angriffe. Bei einem Online-Brute-Force-Angriff muss nicht unbedingt das Internet involviert sein. Stattdessen handelt es sich um eine Angriffsklasse, die direkt auf das laufende System abzielt. Ein Offline-Angriff kann durchgeführt werden, ohne dass eine Interaktion mit dem angegriffenen System erforderlich ist.
Aber wie kann man ein System angreifen, ohne das System anzugreifen? Nun, Datenschutzverletzungen enthalten oft Listen mit durchgesickerten Benutzernamen und Passwörtern. Der Sicherheitshinweis empfiehlt jedoch, Passwörter in einem Hash-Format zu speichern. Diese Hashes können nur durch Erraten des richtigen Passworts geknackt werden. Da die Liste der Hashes nun öffentlich verfügbar ist, kann ein Angreifer leider einfach die Liste herunterladen und versuchen, sie auf seinem eigenen Computer zu knacken. Mit genügend Zeit und Rechenleistung können sie so mit 100-prozentiger Sicherheit eine Liste gültiger Benutzernamen und Passwörter kennen, bevor sie jemals eine Verbindung zur betroffenen Site herstellen.
Im Vergleich dazu würde ein Online-Angriff versuchen, sich direkt auf der Website anzumelden. Das ist nicht nur viel langsamer, sondern fällt auch so gut wie jedem Systembesitzer auf, der aufmerksam hinschaut. Daher bevorzugen Angreifer in der Regel Offline-Brute-Force-Angriffe. Manchmal sind sie jedoch möglicherweise nicht möglich.
Brute-Force-Anmeldeinformationen
Die am einfachsten zu verstehende Klasse und die häufigste Bedrohung ist der Brute-Force-Angriff auf Anmeldedaten. In diesem Szenario probiert ein Angreifer buchstäblich so viele Kombinationen aus Benutzernamen und Passwörtern wie möglich aus, um herauszufinden, was funktioniert. Wie oben beschrieben kann der Angreifer bei einem Online-Brute-Force-Angriff einfach versuchen, möglichst viele Kombinationen aus Benutzername und Passwort in das Anmeldeformular einzugeben. Diese Art von Angriff erzeugt viel Datenverkehr und Fehler bei fehlgeschlagenen Anmeldeversuchen, die möglicherweise von einem Systemadministrator bemerkt werden, der dann Maßnahmen ergreifen kann, um den Angreifer zu blockieren.
Bei einem Offline-Brute-Force-Angriff geht es darum, Passwort-Hashes zu knacken. Dieser Vorgang besteht im wahrsten Sinne des Wortes darin, jede mögliche Zeichenkombination zu erraten. Bei ausreichender Zeit und Rechenleistung könnte es jedes Passwort mit jedem Hashing-Schema erfolgreich knacken. Moderne Hashing-Schemata für das Passwort-Hashing sind jedoch darauf ausgelegt, „langsam“ zu sein und typischerweise auf mehrere zehn Millisekunden abgestimmt zu sein. Das bedeutet, dass es selbst bei enormer Rechenleistung viele Milliarden Jahre dauern wird, ein einigermaßen langes Passwort zu knacken.
Um die Chancen, die meisten Passwörter zu knacken, zu erhöhen, nutzen Hacker stattdessen häufig Wörterbuchangriffe. Dabei wird eine Liste häufig verwendeter oder zuvor geknackter Passwörter ausprobiert, um festzustellen, ob bereits Passwörter aus dem aktuellen Satz entdeckt wurden. Trotz der Sicherheitsempfehlungen, für alles eindeutige, lange und komplexe Passwörter zu verwenden, ist diese Strategie eines Wörterbuchangriffs in der Regel sehr erfolgreich und knackt etwa 75–95 % der Passwörter. Diese Strategie beansprucht immer noch viel Rechenleistung und ist immer noch eine Art Brute-Force-Angriff, sie ist nur etwas gezielter als ein normaler Brute-Force-Angriff.
Andere Arten von Brute-Force-Angriffen
Es gibt viele andere Möglichkeiten, Brute-Force einzusetzen. Bei einigen Angriffen wird versucht, sich physischen Zugriff auf ein Gerät oder System zu verschaffen. Normalerweise wird ein Angreifer versuchen, heimlich vorzugehen. Beispielsweise könnten sie versuchen, heimlich ein Telefon zu stehlen, sie könnten versuchen, ein Schloss zu knacken, oder sie könnten durch eine zugangskontrollierte Tür aufbrechen. Brute-Force-Alternativen dazu sind in der Regel sehr wörtlich und setzen tatsächliche physische Gewalt ein.
In manchen Fällen kann es sein, dass ein Geheimnis bekannt ist. Den Rest kann man mit einem Brute-Force-Angriff erraten. Beispielsweise sind auf Quittungen häufig einige Ziffern Ihrer Kreditkartennummer aufgedruckt. Ein Angreifer könnte alle möglichen Kombinationen anderer Zahlen ausprobieren, um Ihre vollständige Kartennummer herauszufinden. Aus diesem Grund sind die meisten Zahlen ausgeblendet. Die letzten vier Ziffern reichen beispielsweise aus, um Ihre Karte zu identifizieren, reichen aber nicht aus, damit ein Angreifer eine gute Chance hat, den Rest der Kartennummer zu erraten.
DDOS-Angriffe sind eine Art Brute-Force-Angriff. Sie zielen darauf ab, die Ressourcen des Zielsystems zu überfordern. Es spielt keine Rolle, welche Ressource. Dies kann an der CPU-Leistung, der Netzwerkbandbreite oder dem Erreichen einer Preisobergrenze für die Cloud-Verarbeitung liegen. Bei DDOS-Angriffen geht es buchstäblich nur darum, so viel Netzwerkverkehr zu senden, dass das Opfer überwältigt wird. Es „hackt“ eigentlich nichts.
Abschluss
Ein Brute-Force-Angriff ist eine Angriffsart, bei der man sich auf pures Glück, Zeit und Mühe verlässt. Es gibt viele verschiedene Arten von Brute-Force-Angriffen. Während einige von ihnen recht ausgefeilte Tools wie Software zum Knacken von Passwörtern erfordern können, ist der Angriff selbst nicht ausgefeilt. Dies bedeutet jedoch nicht, dass Brute-Force-Angriffe Papiertiger sind, da das Konzept sehr effektiv sein kann.