Hacker versuchen mittels eines Brute-Force-Angriffs (Brute Force Attack auf Englisch) Passwörter oder andere Zugangsdaten zu erraten, um auf Endgeräte und/oder Nutzerkonten zugreifen zu können. Die Angreifer probieren dazu beliebige Kombinationen (Trial-and-Error) von Passwörtern aus, um an die richtigen Informationen zu einem bestimmten Nutzer Account zu gelangen. Das Hacken eines Passwortes kann dabei je nach Länge und Komplexität einige Sekunden oder bis zu Jahre dauern. Je nach technologischem Aufbau und somit Sicherheitsniveau der jeweiligen Zugangstechnologie des Portals, der Applikation oder des Gerätes sowie der Stärke und Komplexität der genutzten Passwörter können Passwortzugänge auch praktisch nie zu knacken sein. Denn es liegt in der Hand des Plattformbetreibers wie viele Kombinationen ein Angreifer überhaupt pro Nutzer in einer gewissen Zeiteinheit testen kann (Stichwort: Lock-out Funktionalität).
Daneben spielen die verfügbaren infrastrukturellen Ressourcen des Angreifers eine zweite entscheidende Rolle, wie gut ein Angriff gelingt, da die Rechenleistung die Menge der Operationen (bzw. Zugriffsversuche) pro Zeiteinheit bestimmt. Der technologische Fortschritt steht hierbei auf Seiten der Angreifer. Ein Angreifer der heute noch 4 Stunden für das Hacken eines 8 Zeichen Passwortes inklusive Zahlen und Sonderzeichen benötigt, wird in den kommenden vier Jahren voraussichtlich nur noch 15 min benötigen.
Wie führt ein Hacker eine Brute-Force Attacke durch?
Zuerst sucht der Angreifer sich sein Angriffsziel aus. Dabei gibt es grundsätzlich zwei Arten von Angreifern. Einerseits gibt es den Auftragsangreifer, der gezielt versucht, eine Schwachstelle bei einer speziellen Webseite, Applikation und Datenbank - auch mit viel Aufwand und Kosten - zu finden. Brute-Force-Attacken sind dabei eine der favorisierten Methoden von Hackern.
Andererseits gibt es den opportunistischen Hacker, dem es eigentlich egal ist, zu welchem System er sich Zugang verschafft. Dies ermöglicht es ihm, sich unterschiedliche Angriffsziele anzuschauen und abzuwägen, ob sich der Aufwand eines Angriffes lohnt. Dabei wird er regelmäßig schlecht geschützte Datenbanken oder Applikationen bevorzugen. Mit einfachen Tests kann er sich einen schnellen ersten Eindruck vom Sicherheitsstandard einer Applikation verschaffen wie z.B. verwendete Verfahrensprozesse, genutzter extern ersichtlicher Code, die Funktionsweise und Response einer Webseite, das Vorhandensein von gewissen Sicherheitsstandards (z.B. Lock-Out Funktionalität, Passwortstärkenmesser, Nur-Zulassung von nicht gehackten Passwörtern, Antworttexte bei Zugriffen, etc.)
Nach der Wahl seines Angriffszieles startet der Angreifer mit grundsätzlich linear generierten Zugangsdaten systematisch Zugriffsversuche. Hierfür verwendet er einen Benutzernamen (in der Regel E-Mails), auf welchen er explizit zugreifen will und die geneierten Passwörter, die er nacheinander testet und hofft, funktionierende Zugangs-Kombinationen zu finden.
Je nachdem welche Informationen zu Schwachstellen der Hacker durch seine Vorabtests erhalten hat, nutzt er diese Datenpunkte, um seine späteren Attacken bestmöglich vorzubereiten. Hierbei ist es für ihn beispielsweise sehr hilfreich zu wissen, welche Anforderungen das System an die Passwörter stellt oder inwiefern das System dem Hacker das systematische Testen von verschiedenen Passwörtern ermöglicht.
Neben der Brute-Force-Attacke gibt es weitere sehr beliebte Angriffsmethoden für Hacker, wie z.B. Wörterbuchangriffe, Passwort-Spraying, Phishing, Man-in-the-Middle Attacken, Keylogger oder Credential Stuffing, die wir in weiteren Blogartikeln tiefer beleuchten.
Erfolgswahrscheinlichkeit einer Brute-Force-Attacke
Brute-Force Angriffe sind eine relativ alte Angriffsmethode, die unter Hackern immer noch sehr beliebt ist, da sie die höchste Erfolgswahrscheinlichkeit unter allen Angriffsmethoden darstellt, jedoch sehr lange bis unendlich dauern kann. In der Reinform werden bei einer Brute-Force Attacke beliebige Kombinationen von Zeichen und Zahlen bei Passwörtern nacheinander durchprobiert. Existieren providerseitig keine Zugriffsbeschränkungen wie z.B. eine Lock-Out-Funktionalität ist es technisch gesehen nur eine Frage der Zeit, bis ein Angriff erfolgreich ist. Um eine realistische Chance zum Auffinden einer kritischen Masse von Nutzernamen/Passwortkombinationen zu haben, testet der Hacker Millionen bzw. Milliarden mögliche Passwörter ab. Hierfür verwendet er regelmäßig Tools oder eigene Skripte, die ihm helfen, automatisiert eine größtmögliche Anzahl von Operationen pro Zeiteinheit abzuwickeln. Je nach Komplexität und Länge des Passwortes kann es aber Tage, Wochen, Monate oder sogar Jahre dauern, bis der Angreifer am Ziel ist.
Aus diesem Grund macht es aus Hackersicht häufig Sinn, dieses systematische Ausprobieren durch erfolgssteigernde Maßnahmen zu beschleunigen bzw. die Brute-Force-Attacke mit anderen Methoden zu kombinieren. Dafür bieten sich grundsätzlich zwei einfache Methoden an. Bei der ersten Methode werden im Darknet verfügbare Benutzernamen und Passwörterlisten genommen und im Rahmen des systematischen Kombinierens angewendet. Dieses Verfahren hilft in der Regel, den Trial-and-Error Prozess bei der Suche bei einem Großteil von angegriffenen Konten stark zu beschleunigen. Die zweite Methode, die alleine oder komplementär mit den Listen aus dem Darknet verwendet wird, ist die sogenannte Wörterbuchmethode. Zudem können weitere automatisierte Regeln wie z.B. Hinzufügen von Zahlen, Sonderzeichen und Ziffern komplementär genutzt und ausgetestet werden.
Während die Brute-Force Methode zumindest theoretisch irgendwann zum Erfolg führt, kann das Durchtesten von bereits im Darknet verfügbaren kompromittierten Passwörtern als auch von im Wörterbuch befindlichen Wörtern nur erfolgreich sein, wenn Nutzer Passwörter verwenden die NICHT den aktuellen Sicherheitsstandards entsprechen.