Brute-Force: Passwörter knacken mit roher Gewalt

Brute-Force-Attacken gelten als eher "klassischer Angriff", einige halten ihn für "weder intelligent noch effektiv". Und doch ist das Raten von Passwörtern noch längst nicht aus der Mode - im Gegenteil. "Hängen Sie mal einen FTP-Server ins Internet", erzählt Toralv Dirro, Sicherheitsexperte bei McAfee, "sie werden zwei bis drei Attacken pro Woche sehen." Brute-Force-Angriffe haben es vor allem auf Passwörter von Nutzerkonten bei FTP oder SSH-Ports, aber auch auf Windows-Systeme abgesehen. Jede Software und jeder Host mit Remote-Zugang ist ein potenzielles Ziel. Die hohe Zahl der Angriffe liegt daran, dass Attacken vollkommen automatisiert durchgeführt werden können. Software-Tools suchen offene FTP- oder SSH-Ports im Internet, testen sie auf bekannte Sicherheitslücken und melden dem Initiator, wenn ein verwundbares System entdeckt wurde.

Passwort-Mathematik

Mit direktem Zugang zum System muss der Hacker nur selten mehr als ein paar Minuten investieren, um ein Passwort zu knacken.

Viele Systeme verwenden daher Schlüssel mit 40, 256 oder 2048 Bit Länge, also 40 oder mehr Stellen, und sind gegen reine Brute-Force-Attacken recht sicher. Doch immer noch werden für Remote-Zugänge Passwörter mit vier bis acht Stellen verwendet. Die einfachste Sicherung gegen einen Brute-Force-Angriff wäre es, die Anmeldeversuche auf eine bestimmte Zahl zu begrenzen. Ein Nutzer mag vielleicht drei Versuche brauchen, um sich an sein Passwort zu erinnern - oder um einzusehen, dass er es vergessen hat, aber sicher keine 50 Anläufe. Doch bei vielen Systemen ist eine solche Begrenzung für den Login-Vorgang nicht vorgesehen. Genau diesen Umstand machen sich Hacker zunutze. So waren bis vor kurzem eine ganze Reihe von Versionen des beliebten Fernwartungs-Tools VNC ohne Schutz vor Brute-Force Attacken ausgestattet.