Brute-Force: Passwörter knacken mit roher Gewalt

Eigentlich sollten Intrusion-Detection-Systeme (IDS) Brute-Force-Angriffe aufspüren. Doch auch die Angreifer wissen, dass man ihrem Treiben auf der Spur ist: „Sie versuchen möglichst subtil und unerkannt in die System einzubrechen, damit die Netzwerksniffer nicht Alarm schlagen“, erklärt Garry Siddaway, Head of Product Marketing EMEA bei Cybertrust. Es ist eine schwierige Balance: Ein IDS-System, das sofort Alarm schlägt, wenn ein Benutzer sein Passwort vergessen hat und ein paar Möglichkeiten durchprobiert, ist genauso schlecht wie eines, das 100.000 Log-In-Versuche übersieht. „Ein intelligentes IDS muss zwischen sporadisch vorkommenden und permanenten Fehlversuchen differenzieren“, fordert Hermann Klein, Country-Manager DACH beim Sicherheitsspezialisten Stonesoft. Nur wenn ein ernster Hintergrund erkennbar ist, sollte das System Alarm schlagen oder sogar automatisch reagieren. Ärgerlich ist allerdings, wenn dann ein Außendienstmitarbeiter aus dem System ausgeschlossen wird. „Die Technologie ist schon sehr weit, aber man muss trotzdem die Logfiles genau beobachten, um Attacken zu identifizieren“, meint Siddaway, und dafür hätten viele Administratoren keine Zeit oder nicht die richtige Ausbildung.

WLAN – kaum gesichert

WLANs sind notorische Angriffsziele von Brute-Force-Attacken. WEP gilt schon seit Jahren als unsicher und das Lightweight Extensible Authentication Protocol (LEAP) von Cisco fiel 2003 einer Sicherheitslücke zum Opfer. Ein Tool von Sicherheitsexperte Joshua Wright fing den Anmeldedatenaustausch ab und führte dann einen Off-Line-Brute-Force-Angriff aus. Binnen Minuten waren alle für LEAP genutzten Passwörter geknackt. Komplexe Passwörter bleiben von dem Angriff unberührt, wie Cisco einwendet, trotzdem sollten mit WPA2-verschlüsselte Daten mittels PEAP oder TLS-Authentisierung getunnelt werden.

Themenseiten: Hacker, Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Brute-Force: Passwörter knacken mit roher Gewalt

Kommentar hinzufügen
  • Am 20. Oktober 2006 um 23:03 von double

    BWas sind das für Maßnahmen
    In der Regel sperrt man einen Account nach 3-5 versuchen.
    Dann ist er erst entweder nach einer Benachrichtigung des Besitzers wieder verwendbar oder nach einer gewissen vorgegebenen Zeit.
    Also verstehe ich nicht ganz was das für massnahmen sein sollen?

  • Am 25. Oktober 2006 um 10:16 von Jan R.

    Ab nächstem Jahr verboten
    Hi.
    Wäre es nicht so, dass ab dem nächsten Jahr, wenn die Verschärfung der "Computergesetze" der Bundesregierung durchgesetzt werden, dieser Artikel verboten wäre!? Immerhin werden ja konkrete Programme genannt, die Passwörter knacken könnten und somit schaden könnten.

    • Am 30. Juni 2010 um 17:27 von Julisnake

      AW: Ab nächstem Jahr verboten
      Ich habe mal eine frage danke im vorraus und bitte privat zurück schrieben
      ich verstehe das nicht das ist doch alles illegal so dumm hier gehen welche drauf dan wissen die das man damit pw knacken kann und auch bei browsergamse wie bei mir bei die stämme hat jetzt auch einer mein pw gehackt das ist nicht okey sowas ich habe mich richtig geärgert solange dafür gespielt bis ich mal 933.000 punkte hatte und nun naja ist er futsch der typ hat mich sogar angeschrieben!nene.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *