Brute Force: Wenn Passwörter auf dem Silbertablett serviert werden

Auch wenn es Apple niemals offiziell bestätigt hat, kann man davon ausgehen, dass dem Großkonzern 2014 eine simple Sicherheitslücke in seinem Online-Speicherdienst iCloud zum Verhängnis wurde. Grund zur Annahme, dass ein fehlender Brute-Force-Schutz den Diebstahl von Privatfotos diverser Stars ermöglichte, hatte man nach der Implementierung eines solchen nur kurze Zeit nach den Attacken jedenfalls genug. Der Schutzmechanismus sorgt seitdem dafür, dass Nutzer maximal zehn Versuche bei der Passworteingabe haben, anschließend wird der Log-in gesperrt und der Kontoinhaber benachrichtigt. Bis zu dem Hacker-Skandal konnte hingegen auch nach x-beliebigen Falscheingaben munter weiterprobiert werden, weshalb ein gut geplanter Brute-Force-Angriff nur eine Frage der Zeit war.

Brute Force bedeutet übersetzt „rohe Gewalt“ und beschreibt in den Bereichen Informatik, Kryptologie und Spieltheorie eine Methode zur Problemlösung. Die Brute-Force-Methode verdankt ihren Namen der Tatsache, dass sie auf dem Ausprobieren aller möglichen bzw. vieler möglichen Lösungen basiert, weshalb auch von erschöpfender Suche gesprochen wird. Sie kommt immer dann zur Anwendung, wenn keine besseren Algorithmen zur Verfügung stehen. Besonders gerne bedienen sich Hacker dieser Technik, um Passwörter zu knacken und sich dadurch Zugriff auf fremde Daten zu verschaffen. Dazu verwenden sie Software mit einem einfachen Algorithmus, der in schneller Abfolge verschiedenste Zeichenkombinationen bestehend aus Ziffern, Leerzeichen und Buchstaben bis zu einer maximal definierten Länge ausprobiert.

Je kürzer die Passwörter sind, desto schneller werden sie durch die Brute-Force-Methode ermittelt, weshalb generell möglichst lange Passwörter aus unterschiedlichen Zeichen empfohlen werden und die meisten Verschlüsselungssysteme sehr lange Schlüssel einsetzen. Da die zur Durchführung solcher Brute-Force-Angriffe notwendige Rechenleistung immer leichter verfügbar wird, können immer mehr Überprüfungen pro Zeiteinheit ausgeführt werden – ein umfassender Schutz vor Brute-Force-Attacken wird daher immer wichtiger.

Angesichts der Primitivität der Methode sollte man erwarten, dass geeignete Schutzmaßnahmen selbstverständlich angewendet werden – doch dem ist nicht unbedingt so. Potenziell ist jedes mit dem Internet verbundene Computersystem gefährdet. Hat sich ein Hacker erst einmal unbemerkt in ein System eingeklinkt – was schneller geht, als man es für möglich hält –, ist der Weg zu Ihren Passwörtern nicht weit. Die meisten Betriebssysteme führen Dateien bzw. Datenbanken, in denen die Kennungen und Passwörter der Benutzer gespeichert werden. Bei Windows-Systemen sind die Benutzerpasswörter z. B. in der .sam-Datei, bei unixoiden Systemen für gewöhnlich in der .passwd- bzw. .shadow-Datei zu finden.

Zwar liegen die Passwörter in diesen Dateien nicht im Klartext vor, da sie zuvor mithilfe kryptographischer Algorithmen verschlüsselt werden, allerdings kann ein Angreifer in den Besitz der Dateien gelangen, wenn sie nicht ausreichend gegen unbefugten Zugriff geschützt sind. Er kann eine Kopie der Datei anlegen und im Anschluss umfangreiche Brute-Force-Angriffe auf selbige ausführen, ohne dass er die Verbindung zum System aufrechterhalten muss. Im Prinzip gibt es jetzt nur noch drei Variablen, die die Dauer bis zum Erfolg der Attacke bedingen:

• die Dauer eines einzelnen Überprüfungsschritts

• die Länge des Passworts

• die Komplexität des Passworts

Die Dauer eines einzelnen Überprüfungsschrittes, also das Ausprobieren eines möglichen Passworts, resultiert aus der Rechenleistung, die dem Angreifer zur Verfügung steht. Je mehr Leistung vorhanden ist, desto schneller ist ein Versuch unternommen und der nächste gestartet. Länge und Komplexität erhöhen logischerweise die Zahl möglicher Kombinationen, aus denen sich ein Passwort zusammensetzen kann, und damit auch die Zahl an Möglichkeiten, die bei dem Brute-Force-Angriff durchprobiert werden müssen. So wirken sich Länge und Komplexität der Passwörter auf die Dauer aus:

Die Tabelle zeigt, dass ein moderner PC bei einem einfachen Passwort, das lediglich auf einen Zeichenvorrat von 26 Zeichen zurückgreift, nach nur 35 Minuten alle möglichen Kombinationen geprüft hätte. Erweitert man jedoch den Satz auf 72 Zeichen, würde die Brute-Force-Überprüfung mit der gleichen Rechenleistung etwa 83 Tage in Anspruch nehmen.

Doch auch das ist kein Ruhekissen: Durch das Ausprobieren anhand von Listen mit Zeichenkombinationen (Wörterbuchangriff) oder die Verwendung von Rainbow Tables (zusammenhängende Passwortsequenzen) können Angreifer die Dauer eines Brute-Force-Angriffs beschleunigen.

Egal, ob ein Brute-Force-Angriff auf die zentrale Passwortdatei im System abzielt oder – wie im Fall der iCloud – voraussetzte, dass der Angreifer die Apple-ID der Betroffenen besaß, beweisen die Geschehnisse der Vergangenheit eindeutig, wie wichtig es ist, sich vor der penetranten Entschlüsselungsmethode zu schützen. Bei Ihren privaten Systempasswörtern haben Sie dabei in der Regel das Heft selbst in der Hand. Setzen Sie auf Kombinationen, die aus vielen verschiedenen Zeichentypen bestehen. Im besten Fall verwenden Sie sowohl Klein- und Großbuchstaben und Sonderzeichen als auch Zahlen in Ihren Kennwörtern. Und natürlich gilt immer: Aus je mehr Zeichen sich das Passwort zusammensetzt, desto schwerer ist es zu knacken.

Schwieriger gestaltet sich die Situation bei der Erstellung von Passwörtern für Onlinedienste und Co. Hier sind Sie an die Vorgaben gebunden, die der jeweilige Anbieter macht. Typisch sind eine Maximallänge von nur acht Zeichen und häufig die Beschränkung auf Buchstaben und Zahlen – was ohne zusätzliche Sicherheitsmaßnahmen wenig zufriedenstellend ist. Sie sollten in einem solchen Fall unbedingt in Erfahrung bringen, welche Vorkehrungen der Betreiber des Webprojekts zum Schutz vor Brute Force trifft. Sind Sie selbst Betreiber eines Webservices mit einem Log-in-Mechanismus, fällt dies in Ihren Verantwortungsbereich. Zwei Ansätze sind möglich:

• der Kennwortmechanismus wird abgesichert

• eine Mehr-Wege-Authentifizierung wird eingerichtet

Die Absicherung des Kennwortmechanismus sollte eigentlich eine Standardkomponente jeglicher Log-in-Masken sein, doch wie der eingangs erwähnte iCloud-Skandal bestens unter Beweis stellt, ist dies nicht immer der Fall. Bei dem Schutzmechanismus geht es darum, der Brute-Force-Software die Arbeit zu erschweren. Dazu wird die Eingabe eines Kennworts für ein bestimmtes Zeitintervall gesperrt, nachdem ein falsches Passwort eingegeben wurde. Ferner ist es möglich, dieses Intervall mit jeder weiteren falschen Eingabe weiter zu erhöhen. Man kann auch einen Schritt weiter gehen – so wie es Apple schließlich getan hat – und das komplette Nutzerkonto nach einer gewissen Anzahl an Log-in-Versuchen sperren.

Die Möglichkeit einer Mehr-Wege-Authentifizierung wird von vielen Anbietern häufig optional angeboten. Sie verkompliziert den Anmeldevorgang etwas, da neben dem Passwort noch eine weitere Komponente benötigt wird. Dabei kann es sich um die Beantwortung einer Geheimfrage, die Eingabe einer PIN oder ein sogenanntes Captcha handeln. Letztere sind kleine Testformulare, mit denen festgestellt werden soll, ob es sich bei der anmeldenden Instanz um einen menschlichen Benutzer oder – wie es bei einer Brute-Force-Software der Fall wäre – um einen Roboter handelt.

Zusätzlich zu den vorgestellten Maßnahmen gibt es ein paar Tricks zur Brute-Force-Prävention. Hacker-Software arbeitet für gewöhnlich mit verschiedenen Erkennungsmustern, und so ist es z. B. ein erschwerendes Hindernis, wenn die standardmäßigen Fehlermeldungen nicht direkt an den Browser zurückgesendet, sondern zunächst auf ein externes System, etwa eine andere Webseite, umgeleitet werden. Auch Alternativen für die Namen der Eingabefelder und den Text, der nach einem Anmeldeversuch zurückgegeben wird, können zumindest einige Hacker-Tools vor Probleme stellen. In jedem Fall werden Sie die Sicherheit Ihres Webprojekts bzw. Ihrer Passwörter erhöhen, wenn Sie eine oder mehrere der vorgestellten Brute-Force-Schutzmaßnahmen nutzen.

Für einige Plattformen bzw. Anwendungen gibt es im Übrigen auch spezifische Erweiterungen bzw. Tools gegen Brute-Force-Angriffe. Das Add-on Jetpack, das in erster Linie die Verwaltung von WordPress-Seiten erleichtern soll, hat z. B. ein Modul integriert, das die gefährlichen Attacken auf Basis einer IP-Sperrliste verhindern soll. Bei den IP-Adressen, die in dieser Liste gesammelt sind, handelt es sich um solche, die in Verbindung zu allen bekannten Brute-Force-Attacken auf WordPress-Seiten stehen.