Was ist ein Brute-Force-Angriff und wie kann er verhindert werden?

What is a brute-force attack?

Wir alle müssen ab und zu CAPTCHAs lösen, aber haben Sie jemals darüber nachgedacht, was der Zweck dieser manchmal nervigen Tests ist? Und was bedeutet CAPTCHA überhaupt? Es steht für C ompletely A utomated P eschallungssysteme T ährend Test C omputers und H Umans Ein Teil zu erzählen, und eines ihrer Hauptziele ist erfolgreich Brute-Force - Angriffe zu verhindern. Zeit für weitere Fragen.

Was ist ein Brute-Force-Angriff?

Denken Sie an ein Zahlenschloss. Sie kennen den vierstelligen Code, der die Sperre aufhebt, nicht und versuchen, ihn zu erraten. Sie beginnen mit "0000", und wenn es nicht funktioniert, versuchen Sie "0001", "0002", "0003" usw., bis Sie die Kombination erreichen, die das Schloss öffnet. Dies ist in einfachen Worten ein Brute-Force-Angriff, und das gleiche Prinzip kann auf Kennwörter angewendet werden.

Natürlich ist es nicht so einfach, wie es sich anhört. Passwörter bestehen in der Regel aus mehr als vier Zeichen und enthalten normalerweise Buchstaben, was, wie wir in einer Minute feststellen werden, bedeutet, dass die Anzahl der möglichen Kombinationen viel höher ist. Alles in allem ist ein Brute-Force-Angriff in seiner traditionellen Form kein brillanter Weg, ein Passwort zu brechen. Aus diesem Grund ist eine Weiterentwicklung des Brute-Force-Angriffs, der als Wörterbuchangriff bezeichnet wird, heutzutage weitaus üblicher.

Was ist ein Wörterbuchangriff?

Bei einem Wörterbuchangriff versuchen Hacker immer noch, das Kennwort zu erraten. Der Unterschied besteht darin, dass sie bei einem Brute-Force-Versuch im Dunkeln schießen, während sie hier fundierte Vermutungen anstellen. Dieser Angriff wird durch die Tatsache ermöglicht, dass Benutzer einfach nicht sehr gut mit Passwörtern umgehen können .

Das Speichern mehrerer komplexer Passwörter ist schwierig, weshalb viele Benutzer ihre Konten mit einfachen Worten wie "Passwort" oder Tastaturmustern wie "QWERTY" schützen. Durch das Zusammenstellen langer Listen häufig verwendeter Kennwörter ist die Wahrscheinlichkeit, dass Hacker das Kennwort mit weitaus weniger Versuchen erraten, sehr viel höher.

Offline- und Online-Angriffe

Sowohl der traditionelle Brute-Force-Angriff als auch das Wörterbuch können online oder offline ausgeführt werden. Bei einem Online-Angriff versuchen die Hacker, das Passwort auf der Anmeldeseite zu erraten. Wenn sie offline sind, haben sie gegen den Dienstanbieter verstoßen und die Datenbank heruntergeladen, die Ihr gehashtes Kennwort enthält. Nachdem der Hashing-Mechanismus lokal neu erstellt wurde, wird versucht, das Kennwort zu erraten, ohne eine Verbindung zur Anmeldeseite herzustellen.

Woher kommt CAPTCHA in all dem?

Dies ist ein Mechanismus, um Online-Brute-Force- und Wörterbuchangriffe zu stoppen. Wie Sie vielleicht schon vermutet haben, sitzen die Angreifer erst dann vor einer Tastatur und probieren andere Passwörter aus, wenn "Zugriff gewährt" auf dem Bildschirm angezeigt wird. Sie verwenden automatisierte Tools und Software, und so ausgefeilt diese Tools auch sind, sie sind nicht in der Lage, einen guten CAPTCHA-Test zu lösen. Es gibt normalerweise andere Vorsichtsmaßnahmen, wie z. B. eine Begrenzung der Anzahl fehlgeschlagener Anmeldeversuche und das Blockieren von IP-Adressen, die verdächtigen Datenverkehr erzeugen. Ein CAPTCHA-Test ist jedoch die einfachste (wenn auch nicht vollständig narrensichere) Lösung.

Bei einem Offline-Angriff ist ein CAPTCHA-Test jedoch völlig irrelevant. Hier müssen Sie einsteigen.

Schützen Sie sich vor Brute-Force-Angriffen

Die einzige Möglichkeit, um sicherzustellen, dass Ihr Kennwort nicht für Wörterbuchangriffe anfällig ist, besteht darin, sicherzustellen, dass es nicht in den Wörterbüchern der Hacker enthalten ist. Tastaturmuster sollten nicht in Frage kommen, auch wenn Sie der Meinung sind, dass sie nicht leicht zu erraten sind. Wenn das Passwort ein aussagekräftiges Wort ist, können Sie ebenfalls verwundbar sein. Vergessen Sie nicht, dass sich die Hacker bei einem Offline-Angriff keine Gedanken machen müssen, ob sie erwischt werden oder keine Anmeldeversuche mehr haben. Sie können also theoretisch das gesamte Vokabular einer Sprache laden und auf das richtige Wort warten. Eine zufällige Zeichenfolge, die keinen Sinn ergibt, schützt Sie nicht nur vor Wörterbuchangriffen, sondern erschwert auch Brute-Force-Versuche erheblich.

Abhängig von der Länge und Art der verwendeten Zeichen gibt es für jedes einzelne Kennwort eine endliche Anzahl möglicher Kombinationen. Für einen vierstelligen numerischen Code haben Sie beispielsweise insgesamt zehntausend mögliche Kombinationen. Wenn Sie der Gleichung jedoch Kleinbuchstaben hinzufügen, erhöhen Sie die Zahl sofort auf fast 1,7 Millionen. Wenn Sie Großbuchstaben hinzufügen, sehen Sie fast 14,8 Millionen Kombinationen.

Es mag viel klingen, aber moderne Tools zum Knacken von Passwörtern durchlaufen all diese Kombinationen in Sekundenschnelle. Daher empfehlen Experten nicht nur die Verwendung einer möglichst großen Anzahl von Zeichen, sondern auch, dass mindestens ein gutes Passwort erforderlich ist 8 Zeichen lang.

Einige von Ihnen lesen dieses Denken vielleicht "leichter gesagt als getan". Nun, wir glauben, dass es nie einfacher war, Brute-Force-Versuche zu vereiteln. Mit Cyclonis Password Manager ist das Erstellen und Speichern mehrerer sicherer Kennwörter ein Kinderspiel. Der automatische Kennwortgenerator erstellt zufällige Kennwörter, die aus Zahlen, Buchstaben und Sonderzeichen bestehen, und Sie können selbst entscheiden, wie lange diese dauern sollen. Sie müssen sich auch nicht darum kümmern, sich an sie zu erinnern. Cyclonis Password Manager legt alle Ihre Passwörter in einem verschlüsselten Tresor ab, auf den Sie über Ihr Master-Passwort zugreifen können.

October 9, 2019

Antworten