So funktionieren Brute-Force-Angriffe

Brute-Force-Angriffe werden von Hackern durchgeführt, die versuchen, ein Passwort zu knacken, indem eine Software schlicht in schneller Abfolge verschiedene Zeichenkombinationen ausprobiert. Der Algorithmus ist sehr einfach und beschränkt sich auf das Ausprobieren möglichst vieler Zeichenkombinationen, weshalb auch von "erschöpfender Suche" gesprochen wird. Dabei verwendet der Angreifer normalerweise einen Hochleistungsrechner, der sehr viele Berechnungen pro Sekunde durchführt und entsprechend eine hohe Anzahl an Kombinationen in kürzester Zeit austesten kann.

Die Methode wird in der Praxis häufig erfolgreich eingesetzt, da viele Benutzer kurze Passwörter verwenden, die darüber hinaus oft nur aus Zeichen des Alphabets bestehen, womit die Anzahl der möglichen Kombinationen drastisch reduziert und das Erraten erleichtert wird.

Entschlüsselung von Passwörtern

Das Projekt RC5 der Organisation Distributed.net zeigt, wie schnell Passwörter entschlüsselt werden können. Ziel des Projektes ist die Entschlüsselung einer Nachricht, welche mit einem 72-Bit-Schlüssel verschlüsselt wurde. Dazu werden alle möglichen Schlüssel ausprobiert, bis der passende Schlüssel gefunden wird. Da bei diesem Projekt mehrere Anwender ihre Rechnerkapazitäten zur Verfügung stellen, können momentan (Stand 08.05.2012) über 800 Milliarden Schlüssel pro Sekunde generiert werden. In älteren Projekten dieser Organisation wurde innerhalb von 250 Tagen ein 56-Bit-Schlüssel und innerhalb von 1.757 Tagen ein 64-Bit-Schlüssel geknackt.

Kombination und Länge des Passworts

Durch einige Rechenbeispiele soll das Zusammenwirken von Länge und verwendeter Zeichen für die Sicherheit eines Passworts veranschaulicht werden. In den Rechenbeispielen wird mit einer Generierung von 2 Milliarden Schlüsseln pro Sekunde gerechnet, da dies ungefähr der Geschwindigkeit eines sehr starken Einzelrechners entspricht.

Beim Erstellen eines Passworts stehen Ihnen in der Regel folgende Zeichen zur Verfügung:

  • Zahlen (10 verschiedene: 0-9)
  • Buchstaben (52 verschiedene: A-Z und a-z)
  • Sonderzeichen (32 verschiedene).

Die Anzahl möglicher Kombinationen errechnet sich mit folgender Formel:

Mögliche Kombinationen = mögliche Zeichenzahl Passwortlänge

Daraus ergeben sich - ohne überhaupt andere Faktoren wie Wörterbuch-Angriffe zu berücksichtigen - folgende Rechenbeispiele:

Passwort besteht aus Mögliche Kombinationen Benötigte Zeit zum Entschlüsseln

5 Zeichen
(3 Kleinbuchstaben,
2 Zahlen)

365= 60.466.176

60.466.176 /
2.000.000.000 =
0,03 Sekunden

7 Zeichen
(1 Großbuchstabe,
6 Kleinbuchstaben)

527= 1.028.071.702.528

1.028.071.702.528 /  
2.000.000.000 =
514 Sekunden =
ca. 9 Minuten

8 Zeichen
(4 Kleinbuchstaben,
2 Sonderzeichen,
2 Zahlen)

688= 457.163.239.653.376

457.163.239.653.376 /
2.000.000.000 =
228.581 Sekunden =
ca. 2,6 Tage

9 Zeichen
(2 Großbuchstaben,
3 Kleinbuchstaben,
2 Zahlen,
2 Sonderzeichen)

949= 572.994.802.228.616.704

572.994.802.228.616.704 /
2.000.000.000 =
286.497.401 Sekunden =
ca. 9,1 Jahre

12 Zeichen
(3 Großbuchstaben,
4 Kleinbuchstaben,
3 Sonderzeichen,
2 Zahlen)

9412= 475.920.314.814.253.376.475.136

475.920.314.814.253.376.475.136 /
2.000.000.000 =
237.960.157.407.127 Sekunden =
ca. 7,5 Millionen Jahre

Sie sehen sehr deutlich, welche Auswirkungen die Länge des Passworts und der Einsatz der verschiedenen Zeichengruppen auf die Sicherheit eines Passworts hat.

Schutz vor Brute-Force-Angriffen

Die einzige Möglichkeit, die Sie haben, um sich gegen Brute-Force-Angriffe zur Wehr zu setzen, ist, ein komplexes Master-Passwort zu verwenden, das entsprechend lang ist und aus einer Kombination aus Buchstaben, Sonderzeichen, Zahlen und Groß-/Kleinschreibung besteht. Denn je komplexer und länger Ihr Passwort ist, desto geringer die Wahrscheinlichkeit, dass die eingesetzte Software durch Zufall Ihre gewählte Kombination "errät", wie Sie anhand der oben aufgeführten Rechenbeispiele erkennen können.

Wenn Sie ein neues Passwort in Password Depot erstellen oder mithilfe des Passwort-Generators automatisch generieren lassen, wird Ihnen angezeigt, wie lange es ungefähr dauern würde, dieses Passwort zu knacken. Dabei berücksichtigt Password Depot nicht nur die oben genannten Faktoren, wie die Anzahl der Zeichen, sondern auch andere Schwachstellen, wie Anfälligkeit für Wörterbuch-Angriffe.

Eine weitere Möglichkeit, Brute-Force-Angriffen zu erschweren, ist, den Zeitraum zwischen zwei Login-Versuchen (nach der falschen Eingabe eines Passworts) entsprechend zu verlängern. Dadurch kann auch der Hochleistungsrechner eines Hackers trotz der zahlreichen Berechnungen pro Sekunde, zu denen er theoretisch in der Lage wäre, ausgebremst werden. Genau aus diesem Grund wird in Password Depot das Dialogfeld zur Eingabe des Master-Passworts für einige Sekunden gesperrt, wenn Sie ein falsches Master-Passwort eingegeben haben. Je öfter hintereinander ein falsches Passwort eingeben wird, desto länger wird diese Wartezeit.