{"id":9532,"date":"2022-11-01T12:00:38","date_gmt":"2022-11-01T11:00:38","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=9532"},"modified":"2025-12-09T13:33:09","modified_gmt":"2025-12-09T12:33:09","slug":"brute-force-attacken-trivialer-und-brutaler-passwortklau","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/brute-force-attacken-trivialer-und-brutaler-passwortklau\/","title":{"rendered":"Brute Force Attacken: Trivialer und brutaler Passwortklau"},"content":{"rendered":"

Brute Force Angriffe geh\u00f6ren bei Hackern zu den beliebtesten, weil effektivsten, Methoden, um an Passw\u00f6rter oder Schl\u00fcssel zu gelangen. Denn binnen Sekunden kann es Cyberkriminellen mit dieser Angriffsmethode gelingen, sich Ihre Daten anzueignen. Vor allem beim Thema Passw\u00f6rtern hapert es bei vielen Nutzenden noch in puncto Sicherheit. Was Brute Force genau ist, wie eine Brute-Force-Attacke funktioniert und wie Sie sich sch\u00fctzen k\u00f6nnen, erfahren Sie in unserem heutigen Blogbeitrag.<\/p>\n

 <\/p>\n

Attacke mit roher Gewalt<\/h2>\n

Bereits der Name dieser Hacking-Masche \u2013 Brute Force \u2013 l\u00e4sst erahnen, dass hier nicht etwa Cleverness und Subtilit\u00e4t der Cyberkriminellen im Vordergrund stehen, sondern rohe Gewalt. Denn nichts anderes bedeutet brute force ins Deutsche \u00fcbersetzt. Und mit \u201eroher Gewalt\u201c (brute force) versuchen Hacker Passw\u00f6rter oder Schl\u00fcssel herauszufinden.<\/p>\n

Betroffen sind Unternehmen wie Privatpersonen gleicherma\u00dfen. Den Kriminellen geht es h\u00e4ufig nicht blo\u00df darum, Ihre pers\u00f6nlichen und sensiblen Daten zu stehlen \u2013 also zum Beispiel Finanzdaten, Identit\u00e4ten und Betriebsgeheimnisse \u2013 oder um Bestellungen in Ihrem Namen durchzuf\u00fchren. Ein gehacktes E-Mail-Konto eignet sich beispielsweise dazu, Nachrichten mit infizierten Anh\u00e4ngen oder Links zu gef\u00e4lschten Websites zu versenden. Dringen Hacker mit einem geknackten Passwort in Ihr Netzwerk ein, k\u00f6nnten sie dort Daten l\u00f6schen, Daten verschl\u00fcsseln und deren Freigabe gegen L\u00f6segeld erpressen oder Server lahmlegen.<\/p>\n

Methode des Kombinierens und Ausprobierens<\/h3>\n

F\u00fcr Brute Force-Angriffe werden wahllos unz\u00e4hlige Kombinationen m\u00f6glicher Buchstabenfolgen oder Zeichenketten computergest\u00fctzt ausprobiert, bis irgendwann zuf\u00e4llig eine Kombination passt. In einigen F\u00e4llen nutzt die Brute-Force-Methode als Erg\u00e4nzung auch W\u00f6rterb\u00fccher. Diese Vorgehensweise, bei der jedes Wort in einer W\u00f6rterliste systematisch durchprobiert wird, wird als Dictionary Attack bezeichnet. Weil viele Menschen bekannte W\u00f6rter als Passw\u00f6rter verwenden, erh\u00f6ht diese Vorgehensweise die Erfolgschancen des Angriffs und verringert gleichzeitig den Zeitaufwand f\u00fcr das Probieren von zuf\u00e4lligen Zeichenfolgen.<\/p>\n

Tats\u00e4chlich benutzen Hacker automatisierte Tools, darunter John the Ripper, Medusa, Brutus, Rainbow oder Aircrack-ng, die Passw\u00f6rter, die aus einem Wort bestehen, welches man auch im Duden oder in einem Fachlexikon finden w\u00fcrde, innerhalb von ein bis zwei Sekunden geknackt haben.<\/p>\n

Geknackt in 2 Sekunden<\/h3>\n

Und um es gleich zu sagen: Theoretisch kann jedes Passwort durch ausprobieren geknackt werden, jedoch spielt die Zeit hier eine gro\u00dfe Rolle. Die Entwicklung moderner Rechner und Computerchips hat Brute Force Angriffe mittlerweile sehr effektiv gemacht. Denn je h\u00f6her die Rechnerleistung, desto schneller k\u00f6nnen viele Kombinationen in immer k\u00fcrzerer Zeit berechnet werden.<\/p>\n

Ein hochmoderner Rechner schafft es sek\u00fcndlich, bis zu 2 Billionen m\u00f6gliche Passw\u00f6rter zu erstellen \u2013 und zwar so lange, bis das richtige gefunden ist. Ein Rechner mit guter Rechenleistung kann pro Sekunde immerhin gut 170 Millionen verschiedene Passw\u00f6rter erstellen und durchprobieren. Und so dauert es nicht einmal 2 Sekunden und beliebte Passw\u00f6rter wie \u201eschatz\u201c oder \u201e123456\u201c \u2013 beide rangieren unter den Top 10 der deutschen Passw\u00f6rter 2021<\/a> \u2013 sind mit einer Brute Force Attacke geknackt. Hingegen w\u00fcrde es bei gleicher Passwortl\u00e4nge, aber einer Kombination aus Klein- und Gro\u00dfbuchstaben, Ziffern und Sonderzeichen immerhin schon 1 Stunde und 48 Minuten dauern, bis das Passwort geknackt w\u00e4re.<\/p>\n

Sie sehen: Mit steigender Komplexit\u00e4t Ihres Passworts ben\u00f6tigen Angreifende deutlich mehr Zeit. Bereits f\u00fcr ein Passwort mit einer L\u00e4nge von acht Zeichen und einer Kombination aus Klein- und Gro\u00dfbuchstaben, Ziffern und Sonderzeichen w\u00fcrde ein Computer mehr als 1 Jahr und 2 Monate rechnen, bis er es geknackt h\u00e4tte. Zum Vergleich: F\u00fcr ein gleichlanges Passwort, das aber nur aus Kleinbuchstaben bestehen, br\u00e4uchte der Computer nur etwa 20 Minuten.<\/p>\n

Auf den Hashwert kommt es an<\/h3>\n

Passw\u00f6rter werden in Systemen in der Regel nicht in Klartext, sondern als Hashwerte gespeichert. Hashwerte lassen sich nicht r\u00fcckw\u00e4rts berechnen \u2013 nicht einmal ein Computer k\u00f6nnte aus einem Hashwert das Passwort zur\u00fcck berechnen. Also ermitteln Computerprogramme so lange die zu den zuf\u00e4llig ausgew\u00e4hlten Passw\u00f6rtern geh\u00f6rigen Hashwerte, bis ein Hashwert mit dem hinterlegten Hashwert \u00fcbereinstimmt. Dabei kommen auch Listen mit Hashwerten von h\u00e4ufig verwendeten Passw\u00f6rtern zum Einsatz. Diese Listen werden als Rainbow Tables bezeichnet.<\/p>\n

Auch Verschl\u00fcsselungen lassen sich (theoretisch) knacken<\/h3>\n

Grunds\u00e4tzlich k\u00f6nnen mit der Brute-Force-Methode auch verschl\u00fcsselte Daten geknackt werden. Wie bei einem Passwort probiert ein Computer so lange zuf\u00e4llig gew\u00e4hlte Schl\u00fcssel, bis er einen Treffer gefunden hat. Und \u00e4hnlich wie bei der Passwortl\u00e4nge und Komplexit\u00e4t ist auch die Schl\u00fcssell\u00e4nge entscheidend f\u00fcr die Erfolgschancen: Moderne Verschl\u00fcsselungsalgorithmen verwenden Schl\u00fcssell\u00e4ngen von 256 Bit. Und je mehr Bits eine Verschl\u00fcsselung hat, desto h\u00f6her ist der Rechenaufwand in puncto Zeit und Kosten. Konkret reden wir bei dieser Schl\u00fcssell\u00e4nge und der heute verf\u00fcgbaren Rechenleistung von mehreren Tausend Jahren, bis die richtige Kombination gefunden w\u00e4re.<\/p>\n

Erschweren Sie Brute Force Attacken und erstellen Sie sichere Passw\u00f6rter<\/h3>\n

Mit diesem Wissen k\u00f6nnen Sie es sich nun sicher schon selbst denken, dass Brute Force Attacken zu verhindern, gar nicht so schwierig ist: Die Erfolgsaussichten von Brute Force Attacken verringern sich mit starken Passw\u00f6rtern. W\u00e4hrend die ersten drei Tipps von Jedermann angewandt werden k\u00f6nnen, sind die weiteren Schutzm\u00f6glichkeiten vor allem f\u00fcr Administratoren und IT-Verantwortliche relevant.<\/p>\n

Komplexit\u00e4t<\/strong>
\nNutzen Sie komplexe Passw\u00f6rter mit einer Zeichenkombination aus Gro\u00df- und Kleinbuchstaben, Ziffern und Sonderzeichen. So stehen Ihnen 95 m\u00f6gliche Zeichen zur Verf\u00fcgung (26 Kleinbuchstaben, 26 Gro\u00dfbuchstaben, 10 Ziffern, 33 Sonderzeichen).<\/p>\n

L\u00e4nge<\/strong>
\nIhr Passwort sollte zudem mindestens eine L\u00e4nge von 10 Zeichen haben. Denn das w\u00e4ren 171,3 Trillionen Kombinationsm\u00f6glichkeiten. Selbst ein Computer mit hoher Rechenleistung, der in der Lage ist, rund 10 Milliarden Passw\u00f6rter pro Sekunde durchzuprobieren, w\u00fcrde mehr als 500 Jahre ben\u00f6tigen, um das Passwort zu knacken.<\/p>\n

Es hat sich bew\u00e4hrt, Passw\u00f6rter aus S\u00e4tzen zu generieren, sodass sie leichter zu merken sind. Ein Beispiel: Aus \u201eIch arbeite in der Flemingstra\u00dfe 20 in 36041 Fulda im 2. Stock\u201c wird das Passwort \u201eIaidF20i36041Fi2.S\u201c \u2013 unm\u00f6glich, es in den n\u00e4chsten tausend Jahren zu knacken.<\/p>\n

Separates Passwort f\u00fcr jeden Login<\/strong>
\nVersehen Sie jeden Login zu Internetseiten, Nutzerkonten oder technischen Ger\u00e4ten mit einem separaten Passwort.<\/p>\n

Login-Versuche begrenzen<\/strong>
\nBegrenzen Sie die Anzahl der m\u00f6glichen Login-Fehlversuche. Eine Zwangspause von mehreren Minuten nach dreimaliger Falscheingabe des Passworts verschafft Ihnen nicht nur Zeit, sondern f\u00fchrt idealerweise dazu, dass sich Hacker leichteren Zielen zuwenden.<\/p>\n

Weiteren Authentifizierungsfaktor erg\u00e4nzen<\/strong>
\nW\u00e4hlen Sie idealerweise mindestens einen zweiten Faktor, um Logins weiter abzusichern. Selbst wenn Cyberkriminelle an das Passwort gelangen, so sch\u00fctzt eine weiterer Faktor Ihre Daten. Dieser zweite Faktor kann beispielsweise ein Einmal-Kennwort sein, welches dem sicheren Passwort angeh\u00e4ngt wird.<\/p>\n

IP-Adressen blockieren<\/strong>
\nWer eine Website oder einen Blog betreibt, kann zus\u00e4tzlich tempor\u00e4re oder permanente Blockaden f\u00fcr IP-Adressen einrichten. Beispielsweise w\u00e4re eine Login-Seite nur f\u00fcr bestimmte IP-Adressen freigeschaltet und der Zugriff f\u00fcr fremde IP-Adressen gesperrt.<\/p>\n

\u201eSalzen\u201c Sie Hashes<\/strong>
\nDurch das Anh\u00e4ngen einer zuf\u00e4lligen Zeichenfolge aus Buchstaben und Ziffern (\u201eSalt\u201c) an das Passwort wird die Zuf\u00e4lligkeit der Passwort-Hashes sichergestellt. Diese Zeichenfolge wird in einer separaten Datenbank gespeichert, vor dem Hashen abgerufen und an das Passwort angeh\u00e4ngt.<\/p>\n

Finger weg von Sicherheits-Tests im Internet<\/strong>
\nZugegeben, die Versuchung ist gro\u00df, zu testen, ob das frisch erstellte Passwort einer Brute-Force-Attacke standhalten w\u00fcrde. H\u00fcten Sie sich jedoch vor Checks im Internet: Oft sammeln die dort zur Verf\u00fcgung gestellten Tools nur Passw\u00f6rter. Deren Betreiber nutzen sie dann entweder selbst f\u00fcr Brute Force Angriffe oder verkaufen sie im Darknet weiter.<\/p>\n

Fazit zu Brute Force Angriffen<\/h2>\n

Dass theoretisch jedes Passwort durch Ausprobieren geknackt werden kann, sollte Sie nicht weiter erschrecken. Denn es liegt in Ihrer Hand, die Erfolgsaussichten f\u00fcr Brute Force Attacken zu schm\u00e4lern. Setzen Sie auf lange und komplexe Passw\u00f6rter oder lange Schl\u00fcssel, auf die Begrenzung von Login-Versuchen und mindestens einen weiteren Authentifizierungsfaktor und Ihr Passwort ist mindestens f\u00fcr die n\u00e4chsten hundert Jahre sicher.<\/p>\n