So können Sie Brute-Force-Angriffe vermeiden

Welche Varianten von Brute-Force-Angriffen gibt es?

Die folgenden Varianten werden von Cyberkriminellen am häufigsten genutzt:

Einfacher Brute-Force-Angriff

Beim einfachen Brute-Force-Angriff versucht ein Hacker das Passwort ohne Skripte oder eine Automatisierung zu knacken. Der Angreifer probiert alle möglichen Passwortkombinationen aus, um sich Zugang zu einem geschützten System oder Konto zu verschaffen. Schwache PINs und Passwörter können binnen wenigen Sekunden entschlüsselt werden.

Wörterbuch-Angriff

Mit dem sogenannten „Wörterbuch-Angriff“ ermittelt der Cyberkriminelle ein unbekanntes Passwort mithilfe einer Passwörterliste. Die Methode kommt dann zum Einsatz, wenn Hacker davon ausgehen, dass das Passwort aus einer sinnvollen Zeichenkombination besteht.

Hybrider Angriff

User verwenden oftmals eine Kombination aus wichtigen Wörtern und Zahlen wie beispielsweise Namen, Geburtstage und Jahrestage für ihre Passwörter. Bei einem hybriden Angriff werden einfache Brute-Force-Angriffe und Wörterbuch-Angriffe kombiniert, um eine gemischte Anmeldekombination zu knacken.

Token-Brute-Force-Angriff

Hierbei werden Tokens, die zur Authentifizierung verwendet werden, wiederholt ausprobiert, um Zugriff auf ein System oder eine Anwendung zu erhalten.

Credential Stuffing

Bei dieser Cyberangriffsmethode werden gestohlene Benutzernamen und Passwörter aus anderen Hacks oder Datenlecks verwendet, um auf andere Konten zuzugreifen, für die identische Anmeldeinformationen genutzt werden. Die Idee hinter dieser Methode ist, dass viele Menschen dieselben Benutzernamen und Passwörter für mehrere Konten verwenden, daher können die gestohlenen Anmeldedaten in mehreren Konten verwendet werden, um unbefugten Zugriff zu erhalten.

Reverse-Brute-Force-Angriff

Bei Reverse-Brute-Force-Angriffen wird versucht, ein bekanntes Passwort auf mehrere Konten anzuwenden, um Zugriff auf mindestens eines davon zu erhalten.

Umgekehrter-Brute-Force-Angriff

Die Umgekehrte-Brute-Force-Angriff beginnt mit einem geleakten oder öffentlich bekannten Passwort. Danach nutzt der Hacker die Automatisierung, um nach dem passenden Schlüssel, Benutzernamen oder einer Kontonummer zu suchen.

Password Spraying

Im Gegensatz zu einem Brute-Force-Angriff, bei dem der Angreifer systematisch alle möglichen Passwörter ausprobiert, beschränkt sich der Password-Spraying-Angriff auf eine begrenzte Anzahl von häufig verwendeten Passwörtern, um die Erfolgsaussichten zu erhöhen. Password-Spraying-Angriffe werden oft gegen Unternehmen oder Organisationen eingesetzt, die eine öffentlich zugängliche Anmeldeseite haben, z. B. ein Webmail-Portal oder eine Remote-Desktop-Verbindung. Der Angreifer versucht, eine große Anzahl von Benutzernamen und Passwörtern auszuprobieren, in der Hoffnung, dass einige der Benutzer unsichere oder leicht zu erratende Passwörter verwenden.

Rainbow-Table-Angriff

Ein Rainbow-Table-Angriff ist eine Methode, bei der vorberechnete Hash-Tabellen (Rainbow-Tables) genutzt werden, um schnell und effizient Hash-Funktionen zu dekodieren. Eine Hash-Funktion beschreibt eine mathematische Funktion, die eine Menge von Daten in eine feste Zeichenfolge (Hash) umwandelt. Mit der Tabelle können die in der Datenbank gespeicherten Passwörter geknackt werden.

Wie kann man Brute-Force-Angriffe verhindern?

Um sich vor Brute-Force-Angriffen zu schützen, gibt es verschiedene Möglichkeiten. Die 10 besten Tipps, um nicht zum potenziellen Opfer zu werden:

1) Sichere Passwörter

Der einfachste und effektivste Weg zur Vorbeugung und Vermeidung von Brute-Force-Angriffen ist die Einhaltung strenger Richtlinien für Passwörter. Wer sich ein neues Passwort erstellt, sollte keine persönlichen Daten wie Namen, Geburtstage oder E-Mail-Adressen verwenden. Auch bekannte Phrasen oder einfache Wörter sollten vermieden werden. Zudem sollte für jedes Konto einzigartige Passwort-Kombinationen genutzt werden. Rund ein Drittel der geänderten oder recycelten Passwörter kann in rund zehn Versuchen gehackt werden. Ein optimales Passwort besitzt mindestens fünfzehn Zeichen, bestehend aus Symbolen, Zahlen sowie Groß- und Kleinbuchstaben als zufällige Zeichenfolge.

Tipp: Mit einem Passwortverwaltungstool können alle Passwörter sicher und organisiert gespeichert werden.

2) Multi-Faktor-Authentifizierung (MFA)

MFA erfordert ein zusätzliches Authentifizierungselement, um eine Anmeldung zu genehmigen. Bei einer Zwei-Faktoren-Authentifizierung wird somit eine zusätzliche Sicherheitsebene hinzugefügt. Der User muss seine Identität validieren, sobald er sich bei einem Konto anmeldet, bis ihm der Zugriff gewährt wird. Das bedeutet, dass der User beispielsweise einen Code eingibt, den er per SMS geschickt bekommt, um seine Identität zu bestätigen.

3) Begrenzung von Anmeldeversuchen

Die meisten Webseiten erlauben unbegrenzte Anmeldeversuche. Website-Administratoren haben die Möglichkeit, Plug-Ins zu verwenden, um die Anzahl der möglichen Anmeldeversuche auf ihrer Website zu begrenzen und somit Brute-Force-Angriffe zu blockieren. Diese Plug-Ins ermöglichen es, die Anzahl der Login-Versuche festzulegen, die ein Besucher durchführen darf. Wenn die Anzahl der Versuche überschritten wird, wird die IP-Adresse des Besuchers für eine bestimmte Zeit von der Website gesperrt, um weitere Anmeldeversuche zu verhindern. Dies kann dazu beitragen, die Sicherheit der Website zu erhöhen und unautorisierte Zugriffe zu verhindern.

4) Überwachung von IP-Adressen

Um Brute-Force-Angriffe vorzubeugen, können Anmeldeversuche auf bestimmte Benutzer und IP-Adressen beschränkt werden. In einer hybriden Arbeitsumgebung oder bei Remote-Arbeitenden ist dies von besonderer Relevanz. Es sollten Warnmeldungen eingerichtet werden, wenn Anmeldeversuche von ungewöhnlichen IP-Adressen erfolgen, und diese Adressen sollten umgehend blockiert werden, um die Sicherheit zu gewährleisten.

5) CAPTCHA

Ein CAPTCHA erfordert von Benutzern das Lösen eines visuellen Puzzles oder das Eingeben von Text, um zu beweisen, dass sie Menschen und keine automatisierten Bots sind. Für automatisierte Computerprogramme stellen diese „Tests“ eine große Herausforderung dar, während sie für Menschen sehr einfach zu lösen sind. Somit können Cyber-Angriffe abgewehrt werden.

6) IP-Filterung aktivieren

Der Zugriff auf Anmeldeseiten sollte auf bestimmte IP-Adressen beschränkt sein, um Anmeldeversuche von unbekannten IP-Adressen zu verhindern.

7) Aktualisierung von Software und Betriebssystemen

Wenn die Software und Betriebssysteme immer auf dem neuesten Stand sind, können Sicherheitslücken schnell geschlossen werden.

8) Eindeutige Anmelde-URLs

Für verschiedene Benutzergruppen sollten separate URLs zum Anmelden auf einer Website erstellt werden. Damit können Brute-Force-Angriffe verhindert werden, da ein Angreifer die spezifische Anmelde-URL des Kontos erraten oder finden müsste. Wenn es mehrere Anmelde-URLs gibt, ist es schwieriger und zeitaufwändiger, eine erfolgreiche Anmeldung durchzuführen.

9) Verwendung einer Firewall

Wer Firewalls verwendet, kann unerwünschte Zugriffe auf das Netzwerk blockieren. Firewalls kontrollieren den Netzwerkverkehr und blockieren automatisch unerwünschten Datenverkehr. Demnach fungieren Firewalls als Barrieren zwischen dem internen Netzwerk und dem Internet, indem sie den eingehenden und ausgehenden Verkehr überwachen und analysieren. Wenn unerwünschter Datenverkehr oder verdächtige Aktivitäten erkannt werden, können Firewalls den Zugriff auf das Netzwerk blockieren oder die Datenpakete filtern. Dann wird nur erlaubt, was den vordefinierten Regeln und Richtlinien entspricht.

10) Web Application Firewalls (WAFs)

Web Application Firewalls (WAFs) sind Sicherheitsanwendungen, die speziell für den Schutz von Webanwendungen konzipiert wurden. Diese bilden ein Schutzschild für Webanwendungen, indem sie den HTTP- und HTTPS-Verkehr filtern und analysieren, um Angriffe zu erkennen und schließlich zu blockieren. Diese Anwendungen können helfen, verschiedene Angriffstechniken abzuwehren.