Brute-Force: Passwörter knacken mit roher Gewalt

Eine der ältesten Methoden, um Passwörter zu knacken, ist die Brute-Force-Attacke. Hier probieren Angreifer nacheinander alle möglichen Schlüssel durch, bis sie den passenden gefunden haben. ZDNet zeigt, wie man sich schützt.

Brute-Force-Attacken gelten als eher „klassischer Angriff“, einige halten ihn für „weder intelligent noch effektiv“. Und doch ist das Raten von Passwörtern noch längst nicht aus der Mode – im Gegenteil. „Hängen Sie mal einen FTP-Server ins Internet“, erzählt Toralv Dirro, Sicherheitsexperte bei McAfee, „sie werden zwei bis drei Attacken pro Woche sehen.“ Brute-Force-Angriffe haben es vor allem auf Passwörter von Nutzerkonten bei FTP oder SSH-Ports, aber auch auf Windows-Systeme abgesehen. Jede Software und jeder Host mit Remote-Zugang ist ein potenzielles Ziel. Die hohe Zahl der Angriffe liegt daran, dass Attacken vollkommen automatisiert durchgeführt werden können. Software-Tools suchen offene FTP- oder SSH-Ports im Internet, testen sie auf bekannte Sicherheitslücken und melden dem Initiator, wenn ein verwundbares System entdeckt wurde.

Passwort-Mathematik

Mit direktem Zugang zum System muss der Hacker nur selten mehr als ein paar Minuten investieren, um ein Passwort zu knacken.

Oft sind Computer und Server nur allzu leichte Beute. Bei einem fünfstelligen Passwort für einen Remote-Zugang wird der unbedarfte Nutzer häufig nur Buchstaben verwenden. Mit den 26 Zeichen im deutschen Alphabet – ohne Umlaute oder ß – könnte er eine beliebige Kombination zwischen „aaaaa“ und „zzzzz“ wählen. Das ergibt 26 hoch 5 Möglichkeiten, fast 12 Millionen. Ein Computer mit einem AMD Athlon-Chip und Linux als Betriebssystem kann zurzeit etwa zwölf Millionen Schlüssel pro Sekunde erzeugen und damit, theoretisch, binnen einer Sekunde den richtigen Schlüssel finden. Wenn er direkten Zugang zum System hat und die Schlüssel gleich ausprobieren kann, wird er mit etwa einer halben Millionen Versuche pro Sekunde in sechs Sekunden das Passwort geknackt haben. Experten wissen, dass es in der Praxis und mit handelsüblicher Hardware oft länger dauert – aber mehr als ein paar Minuten muss der Hacker selten investieren. Mit einem längeren Passwort macht man ihm das Leben schwerer. Bei einer Stelle mehr muss das System schon 309 Millionen Schlüssel probieren, noch eine Stelle mehr erhöht die Variationen auf 8 Milliarden Möglichkeiten und würde damit die Zeit zum Ausprobieren auf etwa 44 Stunden steigern. Werden Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen verwendet, steigt die benötigte Zeit für die Suche exponentiell an.

Viele Systeme verwenden daher Schlüssel mit 40, 256 oder 2048 Bit Länge, also 40 oder mehr Stellen, und sind gegen reine Brute-Force-Attacken recht sicher. Doch immer noch werden für Remote-Zugänge Passwörter mit vier bis acht Stellen verwendet. Die einfachste Sicherung gegen einen Brute-Force-Angriff wäre es, die Anmeldeversuche auf eine bestimmte Zahl zu begrenzen. Ein Nutzer mag vielleicht drei Versuche brauchen, um sich an sein Passwort zu erinnern – oder um einzusehen, dass er es vergessen hat, aber sicher keine 50 Anläufe. Doch bei vielen Systemen ist eine solche Begrenzung für den Login-Vorgang nicht vorgesehen. Genau diesen Umstand machen sich Hacker zunutze. So waren bis vor kurzem eine ganze Reihe von Versionen des beliebten Fernwartungs-Tools VNC ohne Schutz vor Brute-Force Attacken ausgestattet.

Themenseiten: Hacker, Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Brute-Force: Passwörter knacken mit roher Gewalt

Kommentar hinzufügen
  • Am 20. Oktober 2006 um 23:03 von double

    BWas sind das für Maßnahmen
    In der Regel sperrt man einen Account nach 3-5 versuchen.
    Dann ist er erst entweder nach einer Benachrichtigung des Besitzers wieder verwendbar oder nach einer gewissen vorgegebenen Zeit.
    Also verstehe ich nicht ganz was das für massnahmen sein sollen?

  • Am 25. Oktober 2006 um 10:16 von Jan R.

    Ab nächstem Jahr verboten
    Hi.
    Wäre es nicht so, dass ab dem nächsten Jahr, wenn die Verschärfung der "Computergesetze" der Bundesregierung durchgesetzt werden, dieser Artikel verboten wäre!? Immerhin werden ja konkrete Programme genannt, die Passwörter knacken könnten und somit schaden könnten.

    • Am 30. Juni 2010 um 17:27 von Julisnake

      AW: Ab nächstem Jahr verboten
      Ich habe mal eine frage danke im vorraus und bitte privat zurück schrieben
      ich verstehe das nicht das ist doch alles illegal so dumm hier gehen welche drauf dan wissen die das man damit pw knacken kann und auch bei browsergamse wie bei mir bei die stämme hat jetzt auch einer mein pw gehackt das ist nicht okey sowas ich habe mich richtig geärgert solange dafür gespielt bis ich mal 933.000 punkte hatte und nun naja ist er futsch der typ hat mich sogar angeschrieben!nene.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *