Dictionary Attack

Was ist eine Dictionary Attack?

Die Dictionary Attack, übersetzt Wörterbuch-Attacke, ist eine Methode aus dem Bereich der Kryptoanalyse. Das Ziel ist es, unter Verwendung einer Passwortliste ein unbekanntes Passwort zu ermitteln. Bei der Passwortliste kann es sich einfach um das Wörterbuch handeln. Geeignet ist die Methode immer dann, wenn von der Verwendung von Passwörtern mit sinnvollen Zeichenkombinationen ausgegangen werden kann. Erfahrungsgemäß ist dies meist der Fall. Statt eines Passworts wie „dMsbKui1z7!“ verwenden viele Anwender leicht zu erratende Passwörter wie „SanFrancisco“. Bei einem Angriff wird die Wortliste so lange systematisch durchprobiert, bis das Passwort geknackt ist.

Wann ist ein Wörterbuchangriff erfolgreich?

Wenn der Anwender beim Erstellen des Passworts nicht zur Verwendung von Zahlen und Sonderzeichen gezwungen ist, ist die Auswahl eines solchen leicht zu erratenden Passworts relativ wahrscheinlich. Wenn zusätzlich die Anmeldemaske das Ausprobieren von Passwörtern schnell hintereinander erlaubt, ist ein erfolgreicher Angriff mit der Dictionary Attack möglich.

Welche Ziele lassen sich mit einer Dictionary Attack angreifen?

Möglich ist der Angriff von Webseiten, Programmen und Diensten mit Abfrage von Benutzername und Passwort. Viele Seiten deaktivieren das Nutzerkonto jedoch nach der dritten falschen Eingabe, was den Erfolg über diese Methode verhindert. Auch die Anmeldung bei einem Betriebssystem erfolgt über ein Passwort. Meist kommt nach falscher Passworteingabe eine immer längerer werdende Wartezeit, bis das Passwort erneut eingegeben werden kann. Außerdem versuchen Cyberkriminelle mit einer Dictionary Attack, Zugriff zu einer verschlüsselten Nachricht oder einem verschlüsselten Dokument zu erhalten.

Welche Angriffsform eignet sich bei zufällig generierten Passwörtern?

Wenn ein Programm oder System ein langes Passwort einfordert, das aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen besteht, funktioniert ein Wörterbuchangriff nicht. Solche Systeme können Cyberkriminelle mit Brute-Force-Attacken angreifen, bei denen jede mögliche Buchstaben- und Ziffernkombination probiert wird. Die Dauer bis zur Identifizierung des Passworts hängt von der Passwortlänge und zur Verfügung stehenden Rechenpower ab.

Vor einem Wörterbuchangriff sind Nutzer geschützt, die aus Zahlen, Buchstaben und Sonderzeichen bestehende Passwörter verwenden und die Programme oder Systeme die Eingabeversuche pro Zeiteinheit einschränken.