Auch wenn es Apple niemals offiziell bestätigt hat, kann man davon ausgehen, dass dem Groß­kon­zern 2014 eine simple Si­cher­heits­lü­cke in seinem Online-Spei­cher­dienst iCloud zum Ver­häng­nis wurde. Grund zur Annahme, dass ein fehlender Brute-Force-Schutz den Diebstahl von Pri­vat­fo­tos diverser Stars er­mög­lich­te, hatte man nach der Im­ple­men­tie­rung eines solchen nur kurze Zeit nach den Attacken je­den­falls genug. Der Schutz­me­cha­nis­mus sorgt seitdem dafür, dass Nutzer maximal zehn Versuche bei der Pass­wort­ein­ga­be haben, an­schlie­ßend wird der Log-in gesperrt und der Kon­to­in­ha­ber be­nach­rich­tigt. Bis zu dem Hacker-Skandal konnte hingegen auch nach x-be­lie­bi­gen Falsch­ein­ga­ben munter wei­ter­pro­biert werden, weshalb ein gut geplanter Brute-Force-Angriff nur eine Frage der Zeit war.

Was ist Brute Force ei­gent­lich überhaupt?

Brute Force bedeutet übersetzt „rohe Gewalt“ und be­schreibt in den Bereichen In­for­ma­tik, Kryp­to­lo­gie und Spiel­theo­rie eine Methode zur Pro­blem­lö­sung. Die Brute-Force-Methode verdankt ihren Namen der Tatsache, dass sie auf dem Aus­pro­bie­ren aller möglichen bzw. vieler möglichen Lösungen basiert, weshalb auch von er­schöp­fen­der Suche ge­spro­chen wird. Sie kommt immer dann zur Anwendung, wenn keine besseren Al­go­rith­men zur Verfügung stehen. Besonders gerne bedienen sich Hacker dieser Technik, um Pass­wör­ter zu knacken und sich dadurch Zugriff auf fremde Daten zu ver­schaf­fen. Dazu verwenden sie Software mit einem einfachen Al­go­rith­mus, der in schneller Abfolge ver­schie­dens­te Zei­chen­kom­bi­na­tio­nen bestehend aus Ziffern, Leer­zei­chen und Buch­sta­ben bis zu einer maximal de­fi­nier­ten Länge aus­pro­biert.

Je kürzer die Pass­wör­ter sind, desto schneller werden sie durch die Brute-Force-Methode ermittelt, weshalb generell möglichst lange Pass­wör­ter aus un­ter­schied­li­chen Zeichen empfohlen werden und die meisten Ver­schlüs­se­lungs­sys­te­me sehr lange Schlüssel einsetzen. Da die zur Durch­füh­rung solcher Brute-Force-Angriffe not­wen­di­ge Re­chen­leis­tung immer leichter verfügbar wird, können immer mehr Über­prü­fun­gen pro Zeit­ein­heit aus­ge­führt werden – ein um­fas­sen­der Schutz vor Brute-Force-Attacken wird daher immer wichtiger.

Warum Sie Brute Force nicht auf die leichte Schulter nehmen sollten

An­ge­sichts der Pri­mi­ti­vi­tät der Methode sollte man erwarten, dass geeignete Schutz­maß­nah­men selbst­ver­ständ­lich an­ge­wen­det werden – doch dem ist nicht unbedingt so. Po­ten­zi­ell ist jedes mit dem Internet ver­bun­de­ne Com­pu­ter­sys­tem gefährdet. Hat sich ein Hacker erst einmal unbemerkt in ein System ein­ge­klinkt – was schneller geht, als man es für möglich hält –, ist der Weg zu Ihren Pass­wör­tern nicht weit. Die meisten Be­triebs­sys­te­me führen Dateien bzw. Da­ten­ban­ken, in denen die Kennungen und Pass­wör­ter der Benutzer ge­spei­chert werden. Bei Windows-Systemen sind die Be­nut­zer­pass­wör­ter z. B. in der .sam-Datei, bei unixoiden Systemen für ge­wöhn­lich in der .passwd- bzw. .shadow-Datei zu finden.

Zwar liegen die Pass­wör­ter in diesen Dateien nicht im Klartext vor, da sie zuvor mithilfe kryp­to­gra­phi­scher Al­go­rith­men ver­schlüs­selt werden, al­ler­dings kann ein Angreifer in den Besitz der Dateien gelangen, wenn sie nicht aus­rei­chend gegen un­be­fug­ten Zugriff geschützt sind. Er kann eine Kopie der Datei anlegen und im Anschluss um­fang­rei­che Brute-Force-Angriffe auf selbige ausführen, ohne dass er die Ver­bin­dung zum System auf­recht­erhal­ten muss. Im Prinzip gibt es jetzt nur noch drei Variablen, die die Dauer bis zum Erfolg der Attacke bedingen:

  • die Dauer eines einzelnen Über­prü­fungs­schritts
  • die Länge des Passworts
  • die Kom­ple­xi­tät des Passworts

Die Dauer eines einzelnen Über­prü­fungs­schrit­tes, also das Aus­pro­bie­ren eines möglichen Passworts, re­sul­tiert aus der Re­chen­leis­tung, die dem Angreifer zur Verfügung steht. Je mehr Leistung vorhanden ist, desto schneller ist ein Versuch un­ter­nom­men und der nächste gestartet. Länge und Kom­ple­xi­tät erhöhen lo­gi­scher­wei­se die Zahl möglicher Kom­bi­na­tio­nen, aus denen sich ein Passwort zu­sam­men­set­zen kann, und damit auch die Zahl an Mög­lich­kei­ten, die bei dem Brute-Force-Angriff durch­pro­biert werden müssen. So wirken sich Länge und Kom­ple­xi­tät der Pass­wör­ter auf die Dauer aus:

Zei­chen­vor­rat 26 Zeichen 72 Zeichen
Zei­chen­ty­pen Klein­buch­sta­ben Klein- und Groß­buch­sta­ben, Son­der­zei­chen, Zahlen
Maximale Pass­wort­län­ge 8 Zeichen 8 Zeichen
Mögliche Kom­bi­na­tio­nen ca. 209 Mil­li­ar­den ca. 722 Billionen
Re­chen­leis­tung ca. 100 Millionen Hashwerte pro Sekunde ca. 100 Millionen Hashwerte pro Sekunde
Dauer der Brute-Force-Über­prü­fung ca. 35 Minuten ca. 83 Tage

Die Tabelle zeigt, dass ein moderner PC bei einem einfachen Passwort, das lediglich auf einen Zei­chen­vor­rat von 26 Zeichen zu­rück­greift, nach nur 35 Minuten alle möglichen Kom­bi­na­tio­nen geprüft hätte. Erweitert man jedoch den Satz auf 72 Zeichen, würde die Brute-Force-Über­prü­fung mit der gleichen Re­chen­leis­tung etwa 83 Tage in Anspruch nehmen.

Doch auch das ist kein Ru­he­kis­sen: Durch das Aus­pro­bie­ren anhand von Listen mit Zei­chen­kom­bi­na­tio­nen (Wör­ter­buch­an­griff) oder die Ver­wen­dung von Rainbow Tables (zu­sam­men­hän­gen­de Pass­wort­se­quen­zen) können Angreifer die Dauer eines Brute-Force-Angriffs be­schleu­ni­gen.

Schutz vor Brute Force – so sichern Sie sich ab

Egal, ob ein Brute-Force-Angriff auf die zentrale Pass­wort­da­tei im System abzielt oder – wie im Fall der iCloud – vor­aus­setz­te, dass der Angreifer die Apple-ID der Be­trof­fe­nen besaß, beweisen die Ge­scheh­nis­se der Ver­gan­gen­heit eindeutig, wie wichtig es ist, sich vor der pe­ne­tran­ten Ent­schlüs­se­lungs­me­tho­de zu schützen. Bei Ihren privaten Sys­tem­pass­wör­tern haben Sie dabei in der Regel das Heft selbst in der Hand. Setzen Sie auf Kom­bi­na­tio­nen, die aus vielen ver­schie­de­nen Zei­chen­ty­pen bestehen. Im besten Fall verwenden Sie sowohl Klein- und Groß­buch­sta­ben und Son­der­zei­chen als auch Zahlen in Ihren Kenn­wör­tern. Und natürlich gilt immer: Aus je mehr Zeichen sich das Passwort zu­sam­men­setzt, desto schwerer ist es zu knacken.

Schwie­ri­ger gestaltet sich die Situation bei der Er­stel­lung von Pass­wör­tern für On­line­diens­te und Co. Hier sind Sie an die Vorgaben gebunden, die der jeweilige Anbieter macht. Typisch sind eine Ma­xi­mal­län­ge von nur acht Zeichen und häufig die Be­schrän­kung auf Buch­sta­ben und Zahlen – was ohne zu­sätz­li­che Si­cher­heits­maß­nah­men wenig zu­frie­den­stel­lend ist. Sie sollten in einem solchen Fall unbedingt in Erfahrung bringen, welche Vor­keh­run­gen der Betreiber des Web­pro­jekts zum Schutz vor Brute Force trifft. Sind Sie selbst Betreiber eines Web­ser­vices mit einem Log-in-Me­cha­nis­mus, fällt dies in Ihren Ver­ant­wor­tungs­be­reich. Zwei Ansätze sind möglich:

  • der Kenn­wort­me­cha­nis­mus wird ab­ge­si­chert
  • eine Mehr-Wege-Au­then­ti­fi­zie­rung wird ein­ge­rich­tet

Die Ab­si­che­rung des Kenn­wort­me­cha­nis­mus sollte ei­gent­lich eine Stan­dard­kom­po­nen­te jeglicher Log-in-Masken sein, doch wie der eingangs erwähnte iCloud-Skandal bestens unter Beweis stellt, ist dies nicht immer der Fall. Bei dem Schutz­me­cha­nis­mus geht es darum, der Brute-Force-Software die Arbeit zu er­schwe­ren. Dazu wird die Eingabe eines Kennworts für ein be­stimm­tes Zeit­in­ter­vall gesperrt, nachdem ein falsches Passwort ein­ge­ge­ben wurde. Ferner ist es möglich, dieses Intervall mit jeder weiteren falschen Eingabe weiter zu erhöhen. Man kann auch einen Schritt weiter gehen – so wie es Apple schließ­lich getan hat – und das komplette Nut­zer­kon­to nach einer gewissen Anzahl an Log-in-Versuchen sperren.

Die Mög­lich­keit einer Mehr-Wege-Au­then­ti­fi­zie­rung wird von vielen Anbietern häufig optional angeboten. Sie ver­kom­pli­ziert den An­mel­de­vor­gang etwas, da neben dem Passwort noch eine weitere Kom­po­nen­te benötigt wird. Dabei kann es sich um die Be­ant­wor­tung einer Ge­heim­fra­ge, die Eingabe einer PIN oder ein so­ge­nann­tes Captcha handeln. Letztere sind kleine Test­for­mu­la­re, mit denen fest­ge­stellt werden soll, ob es sich bei der an­mel­den­den Instanz um einen mensch­li­chen Benutzer oder – wie es bei einer Brute-Force-Software der Fall wäre – um einen Roboter handelt.

Mit vereinten Kräften gegen „rohe Gewalt“

Zu­sätz­lich zu den vor­ge­stell­ten Maßnahmen gibt es ein paar Tricks zur Brute-Force-Prä­ven­ti­on. Hacker-Software arbeitet für ge­wöhn­lich mit ver­schie­de­nen Er­ken­nungs­mus­tern, und so ist es z. B. ein er­schwe­ren­des Hindernis, wenn die stan­dard­mä­ßi­gen Feh­ler­mel­dun­gen nicht direkt an den Browser zu­rück­ge­sen­det, sondern zunächst auf ein externes System, etwa eine andere Webseite, um­ge­lei­tet werden. Auch Al­ter­na­ti­ven für die Namen der Ein­ga­be­fel­der und den Text, der nach einem An­mel­de­ver­such zu­rück­ge­ge­ben wird, können zumindest einige Hacker-Tools vor Probleme stellen. In jedem Fall werden Sie die Si­cher­heit Ihres Web­pro­jekts bzw. Ihrer Pass­wör­ter erhöhen, wenn Sie eine oder mehrere der vor­ge­stell­ten Brute-Force-Schutz­maß­nah­men nutzen. Für einige Platt­for­men bzw. An­wen­dun­gen gibt es im Übrigen auch spe­zi­fi­sche Er­wei­te­run­gen bzw. Tools gegen Brute-Force-Angriffe. Das Add-on Jetpack, das in erster Linie die Ver­wal­tung von WordPress-Seiten er­leich­tern soll, hat z. B. ein Modul in­te­griert, das die ge­fähr­li­chen Attacken auf Basis einer IP-Sperr­lis­te ver­hin­dern soll. Bei den IP-Adressen, die in dieser Liste gesammelt sind, handelt es sich um solche, die in Ver­bin­dung zu allen bekannten Brute-Force-Attacken auf WordPress-Seiten stehen.

Zum Hauptmenü