Wie funktioniert eine Brute-Force Attack?
Übersetzt handelt es sich bei der Brute-Force Methode, um die Methode der rohen Gewalt. Die Lösung eines Problems wird dabei einfach durch das Ausprobieren aller möglichen Fälle gesucht. Ist von einer Brute-Force Attack die Rede, handelt es sich um einen gewaltsamen Angriff auf einen kryptografischen Algorithmus. Mit der Methode versuchen Cyberkriminelle verschlüsselte Dateien, Nachrichten oder Systeme zu knacken und so an die geschützten Informationen zu gelangen.
Beispiel: Gesucht ist ein aus vier Ziffern bestehendes Passwort. Das Erraten kann durch Anwendung einer Brute-Force Attack erfolgen, die alle möglichen Kombinationsmöglichkeiten ausprobiert. Um eine algorithmische Lösung für solch ein bestimmtes Problem zu finden, ist das Durchprobieren aller potenziellen Lösungen der einfachste Ansatz, erfordert jedoch mitunter enorme Rechenleistungen. Die Reihenfolge der Test-Passwörter werden dabei gegebenenfalls nach ihrer Wahrscheinlichkeit festgelegt – was allerdings bei zufällig generierten Passwörtern nicht möglich ist.
Das Problem für Angreifer und die schützende Wirkung für alle, die ihre Systeme vor einer erfolgreichen Brute-Force Attacke bewahren möchten: Der Aufwand an nötigen Rechenoperationen steigt proportional zur Anzahl aller möglichen Lösungen, die Anzahl der Lösungen wächst dabei exponentiell an.
So sperren Nutzer ihr Smartphone häufig mit einem vierstelligen und aus Ziffern bestehenden PIN. Der Anwender kann pro Stelle aus zehn Ziffern auswählen (0 bis 9) und hat daher insgesamt 10 hoch 4 = 10.000 Kombinationsmöglichkeiten. Durch manuelles Ausprobieren ist es mit enormem Aufwand verbunden, die richtige Kombination zu finden. Mithilfe eines Computerprogramms lassen sich die Kombinationsmöglichkeiten allerdings theoretisch rasend schnell durchprobieren.
Zum Vergleich ein Passwort mit größerer Komplexität: Für ein alphanumerisches Kennwort mit vier Zeichen hat der Anwender die Auswahl aus 10 Ziffern, 26 Kleinbuchstaben, 26 Großbuchstaben und 10 Sonderzeichen – das entspricht pro Stelle 72 Möglichkeiten. Für solch ein vierstelliges alphanumerisches Passwort gibt es also 72 hoch 4 = 26.873.856 Kombinationsmöglichkeiten.
Wie viel Zeit braucht eine Brute-Force Attack zum Knacken eines Passworts?
Aufgrund der begrenzten Menge von Kombinationsmöglichkeiten ist es immer nur eine Frage der Zeit, bis die richtige Kombination gefunden ist. Beim Einsatz eines Computers spielt die Leistung des Prozessors eine entscheidende Rolle, aktuelle Hochleistungs-Prozessoren können rund vier Milliarden Kalkulationen pro Sekunde ausführen. Das Knacken eines vierstelligen Passworts ist daher in
72 hoch 4 / 4.000.000.000 = 0,00672 Sekunden abgeschlossen.
Das Knacken solch eines PIN-Schutzes dauert also nur einen Wimpernschlag, weshalb heute längere Passwörter der Standard sind. Wie lang muss ein sicheres Passwort sein? Zum Vergleich: Im Falle eines zehnstelligen Passworts gibt es 72 hoch 10 = 3.7 Milliarden Möglichkeiten. Es dauert also
72 hoch 10 / 4.000.000.000 = 935.976.560,656 Sekunden. Das sind 29.6 Jahre bis das Passwort mithilfe einer Brute Force Attack spätestens geknackt ist. (Die Zahl 31.556.926 entspricht der Anzahl an Sekunden pro Jahr). Aufgrund des exponentiellen Anstiegs wächst die notwendige Zeit mit jeder weiteren Ziffer drastisch an, bei einem Passwort mit elf Stellen dauert das Knacken bereits 2135 Jahre. Nach den Regeln der Wahrscheinlichkeit ist es zu erwarten, dass im Durchschnitt die Hälfte aller möglichen Schlüssel-Kombinationen durchprobiert werden muss, bis das richtige Passwort gefunden ist.
Angreifer kombinieren Brute-Force Attacks mit anderen Methoden
Um die Erfolgswahrscheinlichkeit einer Brute-Force Attack zu vergrößern, können Cyberkriminelle an weitere Informationen gelangen und diese bei der Passwortsuche miteinbeziehen. Zum Beispiel ist es möglich, mithilfe von Phishing-Angriffen und Social Engineering, Passwörter zu erraten oder infrage kommende Passwörter einzugrenzen. So verwenden viele das eigene Geburtsjahr, das des Ehepartners oder der Kinder als Passwort und vereinfachen so das Knacken drastisch.
Wirksame Gegenmaßnahmen gegen Brute-Force Attacken
Neben immer längeren Passwörtern aus einem möglichst großen Zeichenbereich gibt es weitere Maßnahmen wie Salts oder extrem lange und zufällig generierte Passwörter, die nicht erinnert, sondern in einem speziellen Programm gespeichert werden. Bei der Verwendung dieser Programme wird die Anzahl möglicher Schwachstellen auf ein einzelnes sehr starkes Passwort reduziert, dass das Programm vor einer Brute-Force Attack schützt. Salt beschreibt in der Kryptografie eine zufällige Zeichenfolge, die an einen Klartext angehängt wird und den Aufwand bei Angriffen deutlich vergrößert. Vereinfacht gesagt wird mit den Methoden ein einfaches Passwort in ein kompliziertes und schwer zu knackendes verwandelt und so die Sicherheit der Programme oder Daten vergrößert.
In der Praxis erschweren Software-Entwickler den Zugriff zu Programmen durch Brute-Force Attacken dadurch, dass die Anzahl möglicher Versuche begrenzt wird und beispielsweise nach der dritten falschen Eingabe bis zum nächsten Versuch eine Stunde gewartet werden muss oder der Zugang komplett gesperrt wird.