Brute Force- und Wörterbuchangriffe: Ein Spickzettel

Brute-Force-Angriffe: Wie Sie Ihr Unternehmen schützen können Die Cracking-Verschlüsselung sollte ewig dauern, oder? Nicht, wenn ein Angreifer weiß, was er tut.

Hacker haben immer ein Ziel - manchmal ist das Erreichen dieses Ziels so einfach wie ein Phishing-Angriff oder das Ausnutzen einer Software-Sicherheitslücke, aber das ist nicht immer der Fall. Wenn das Ziel eines Hackers dank guter Cybersicherheitspraktiken wie Kennwortregeln und Verschlüsselung außerhalb seiner Reichweite liegt, wenden sie sich möglicherweise einer anderen Methode zu: Brute Force.

Mehr zur Cybersicherheit

  • Cybersicherheit im Jahr 2020: Acht erschreckende Vorhersagen
  • Die 10 wichtigsten Cyberangriffe des Jahrzehnts
  • So werden Sie ein Cybersicherheitsprofi: Ein Spickzettel
  • Berühmter Betrüger Frank Abagnale: Kriminalität ist heute 4.000 Mal einfacher

Wenn Sie eine gesperrte Box genügend oft treffen, wird sie geöffnet und das Gleiche gilt (theoretisch) für den Einbruch in ein Computersystem. Durch Ausprobieren jeder möglichen Kennwortkombination oder Verwenden eines Wörterbuchs gängiger Kennwörter kann ein Hacker Zugriff auf die wertvollsten Geheimnisse eines Unternehmens erhalten.

Es sind nicht nur Webanwendungen, die durch Brute-Force-Angriffe gefährdet sind. Bei einem Brute-Force-Angriff können verschlüsselte Datenbanken, kennwortgeschützte Dokumente und andere sichere Daten gestohlen werden, unabhängig davon, ob sie online verfügbar sind oder auf den Computer eines Angreifers heruntergeladen werden.

Es ist wichtig, dass Cybersicherheitsfachleute die mit Brute-Force-Angriffen verbundenen Risiken kennen. Lesen Sie weiter, um herauszufinden, was Sie über diese klassische Form des Cybersicherheitsangriffs wissen müssen, wie sicher Sie sein können (oder nicht) und wie Sie Ihre Systeme gegen Brute-Force-Angriffe verteidigen können.

Dieser Artikel ist auch als Download, Brute Force und Wörterbuchangriffe verfügbar: Ein Spickzettel (kostenloses PDF).

Was ist ein Brute-Force-Angriff?

Brute-Force-Angriffe beinhalten wiederholte Anmeldeversuche, bei denen jede mögliche Kombination aus Buchstaben, Zahlen und Zeichen verwendet wird, um ein Passwort zu erraten.

Ein Angreifer, der Brute Force einsetzt, versucht normalerweise, eines von drei Dingen zu erraten: Ein Benutzer- oder Administratorkennwort, ein Kennwort-Hash-Schlüssel oder ein Verschlüsselungsschlüssel. Das Erraten eines kurzen Passworts kann relativ einfach sein, aber das ist bei längeren Passwort- oder Verschlüsselungsschlüsseln nicht unbedingt der Fall - die Schwierigkeit von Brute-Force-Angriffen nimmt exponentiell zu, je länger das Passwort oder der Schlüssel ist.

Die grundlegendste Form des Brute-Force-Angriffs ist eine umfassende Schlüsselsuche, nach der es sich genau so anhört: Jede mögliche Kennwortlösung (dh Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen) zeichenweise versuchen, bis eine Lösung gefunden ist gefunden.

Andere Brute-Force-Methoden versuchen, das Feld möglicher Kennwörter einzugrenzen, indem sie ein Wörterbuch mit Begriffen (auf das weiter unten näher eingegangen wird), eine Regenbogentabelle mit vorberechneten Kennwort-Hashes oder Regeln verwenden, die auf Benutzernamen oder anderen Merkmalen basieren, die über das Zielkonto bekannt sind .

Unabhängig davon, welche Methode ein Angreifer wählt, kann die für einen Brute-Force-Angriff erforderliche Verarbeitungsleistung sehr hoch sein, insbesondere bei modernen Verschlüsselungstechniken. Um dieses Problem zu lösen, haben sich Angreifer an spezielle Hardware gewandt, die einem Cryptocurrency-Mining-Rig sehr ähnlich sieht.

Brute-Force-Angriffe und Cryptocurrency-Mining sind im Wesentlichen dasselbe: Brute-Force-Rechenleistung wird verwendet, um die Verschlüsselung manuell zu knacken. Das bedeutet, dass die Hardware, die für die Ausführung mit einem beliebigen Grad an Effizienz benötigt wird, dieselbe ist - Grafikprozessoren (GPUs) und anwendungsspezifische integrierte Schaltkreise (ASICs), die für die Verwendung in Kryptowährung entwickelt wurden.

GPUs und Kryptowährungs-ASICs sind für eine Vielzahl sich wiederholender Aufgaben ausgelegt. Genau das benötigt ein Brute-Force-Angreifer. Das bedeutet nicht, dass jeder Hacker, der einen Brute-Force-Angriff versucht, einen verwendet, aber diejenigen, die es ernst meinen, Ihre Daten zu stehlen, tun dies definitiv.

Brute-Force-Angriffe könnten von einer Person nicht manuell versucht werden, weshalb im Laufe der Jahre eine Reihe populärer Programme erschienen sind, die zwar legitime Zwecke verfolgen, aber leicht in illegalen Gebrauch umgewandelt werden können.

Zusätzliche Ressourcen

  • Neue Methode macht das Knacken von WPA / WPA2-WLAN-Netzwerkkennwörtern einfacher und schneller (TechRepublic)
  • Trump, Google und die Vereinten Nationen gehören zu den schlimmsten Passwortstraftätern im Jahr 2018 (ZDNet).
  • Ein Botnetz von über 20.000 WordPress-Sites greift andere WordPress-Sites an (ZDNet)
  • ESET entdeckt 21 neue Linux-Malware-Familien (ZDNet)
  • Hacking-Kampagne kombiniert Angriffe auf Regierung, Finanzen und Energie (ZDNet)
  • (ZDNet)

Was ist ein Wörterbuchangriff?

Umfassende Schlüsselsuchen sind die Lösung, um jede Art von Kryptografie zu knacken, aber sie können sehr lange dauern. Wenn ein Angreifer ein hohes Maß an Sicherheit hat, dass das Passwort, das er zu knacken versucht, aus bestimmten Wörtern, Phrasen oder Zahlen- und Buchstabenkombinationen besteht, kann es viel schneller sein, ein Wörterbuch möglicher Kombinationen zu erstellen und dieses stattdessen zu verwenden.

Wörterbuchangriffe können ein tatsächliches Wörterbuch verwenden, es ist jedoch wahrscheinlicher, dass sie eine kürzere Liste von Wörtern enthalten, von denen ein Angreifer glaubt, dass sie wahrscheinlich erfolgreich sind. Häufig verwendete Passwortlisten, beliebte Namen, Kosenamen, Film- oder Fernsehfiguren und andere Wörter können Teil einer Wörterbuchliste sein.

Das heißt nicht, dass Wörterbuchangriffe nicht zufällig sind - sie berücksichtigen normalerweise gängige Passwörter, die eine Zahl oder ein Sonderzeichen am Ende eines Wortes anhängen oder eine Zahl durch einen Buchstaben ersetzen, um eine zu erraten Anzahl der Variationen eines Wortes oder einer Phrase.

Zusätzliche Ressourcen

  • Folgendes passiert während eines Social-Engineering-Cyber-Angriffs (TechRepublic)
  • Brute-Force-Angriffe: Über die Grundlagen des Passworts hinaus (ZDNet)
  • Achten Sie auf diese Top 5 Cyberangriffsvektoren (TechRepublic)
  • Der Tag, an dem Computersicherheit real wurde: Der Morris-Wurm wird 30 (ZDNet)

Sind Brute-Force-Angriffe nur ein Online-Problem?

Wenn man an eine Brute Force oder einen Wörterbuchangriff denkt, kann man zu dem Schluss kommen, dass es sich um ein Problem handelt, das nur für Webanwendungen oder andere sichere Online-Standorte gilt, aber das ist kaum der Fall. Offline-Brute-Force-Angriffe sind sehr real und können sogar ein größeres Problem darstellen als solche, die auf Internet-Assets abzielen. Es ist wichtig anzugeben, was sich zwischen Online- und Offline-Brute-Force-Angriffen unterscheidet.

Online-Brute-Force-Angriffe werden in Echtzeit mit einem Angreifer ausgeführt, der direkt mit dem System verbunden ist, das er angreift. Die Cybersicherheitsangriffe werden durch Elemente wie Internetbandbreite, Sicherheitsmaßnahmen und mögliche Entdeckung durch das Opfer eingeschränkt.

Offline-Brute-Force-Angriffe haben keine Verbindung zum Zielsystem, was einen großen Teil dessen ausmacht, was sie so gefährlich macht. Wenn ein Angreifer in der Lage ist, einen Kennwort-Hash, einen Verschlüsselungsschlüssel, eine SAM-Datei (Security Account Manager) (Windows-Methode zum Speichern von Kennwörtern), / etc / shadow / file (das Linux-Äquivalent von SAM), eine verschlüsselte Datenbank und eine kennwortgeschützte Datei zu stehlen oder ein anderes sicheres Dokument hat diese Person eine unbegrenzte Zeit, um es ohne Entdeckung zu knacken.

Offline-Brute-Force-Angriffe sind nur durch die dem Angreifer zur Verfügung stehende Rechenleistung begrenzt. Mit der richtigen Einrichtung können gesicherte Dateien, Verschlüsselungsschlüssel oder Kennwörter in kurzer Zeit verfügbar gemacht werden.

Zusätzliche Ressourcen

  • Für nur 10 US-Dollar kann ein Hacker Ihr Unternehmen über RDP angreifen: So bleiben Sie sicher (TechRepublic)
  • Wie man Instagram mit Brute Force bricht (ZDNet)
  • Wie das Ausfüllen von Anmeldeinformationen Anfang 2018 zu 8, 3 Milliarden bösartigen Botnet-Anmeldungen beitrug (TechRepublic)
  • Der neue längere Passcode von iOS 9 macht Brute-Force-Angriffe weitaus härter (ZDNet).

Ist eine starke Verschlüsselung gegen Brute-Force-Angriffe wirksam?

Die Sicherheit wird häufig danach bewertet, wie lange ein theoretischer Angreifer benötigt, um sie mit Brute-Force-Methoden zu brechen. Die Komplexität der Verschlüsselung im Verhältnis zur Unterbrechungszeit nimmt exponentiell zu, da jedes neue Zeichen 95 mögliche Buchstaben, Zahlen und Sonderzeichen hinzufügt, die durchlaufen werden müssen, um das richtige zu finden.

Um die moderne 256-Bit-Verschlüsselung zu knacken, müssen viele Dinge berücksichtigt werden: Die Komplexität des Schlüssels oder Passworts, die Rechenleistung und sogar die Gesetze der Physik müssen berücksichtigt werden, wenn die Zeit geschätzt wird, die zum Knacken eines Passworts oder eines Verschlüsselungsschlüssels benötigt wird .

Es ist leicht, Berechnungen zu finden, die all diese Variablen berücksichtigen. Die meisten kommen zu dem Schluss, dass es länger dauern würde als das Alter des Universums, um die 128-Bit-Verschlüsselung auszugleichen. Verdoppeln Sie das auf 256 Bit, und Sie haben theoretisch einen unzerbrechlichen Code.

Passwörter sind leichter zu knacken, da Annahmen darüber getroffen werden können, was sie enthalten, wodurch die Anzahl der Versuche begrenzt wird, die erforderlich sind, um sie mit brutaler Gewalt zu knacken. Verschlüsselte Passwörter, die als Hashes gespeichert sind, sind immer noch leicht zu knacken, wie in diesem Blog-Beitrag des Cybersecurity-Experten Daniel Sewell gezeigt wird.

Mit Hashcat konnte Sewell ein ungesalzenes SHA1-Hash-Passwort in weniger als einer Sekunde und einen gesalzenen PBKDF2-SHA256-Hash in achteinhalb Minuten brechen.

Ist eine starke Verschlüsselung also sicher gegen Brute-Force-Angriffe? Ja und Nein - die Schwäche liegt in der Speicherung von Passwörtern. Kein Angreifer wird versuchen, ein 256-Bit-verschlüsseltes Dokument brutal zu erzwingen. Er wird versuchen, herauszufinden, mit welchem ​​Kennwort er auf die unverschlüsselte Version zugreifen kann.

Zusätzliche Ressourcen

  • Warum WPA3 wichtig ist und wie die neue Easy Connect-Funktion IoT-Geräte mit einem QR-Code (TechRepublic) integriert
  • Diese von der KI erzeugten gefälschten Fingerabdrücke können die Sicherheit von Smartphones (ZDNet) täuschen.
  • Zazzle setzt "Tausende" von Konten zurück, nachdem Hacker Brute-Force-Passwörter (ZDNet)

Wie können IT-Experten vor Brute-Force- und Wörterbuchangriffen schützen?

Brute-Force-Angriffe konzentrieren sich im Allgemeinen auf die Schwachstelle der Verschlüsselung: Passwörter. Wie Sewell in seinem Blogbeitrag gezeigt hat, verlangsamt selbst ein gut gehashtes Passwort einen erfahrenen Angreifer nur, wenn er in der Lage ist, eine Hash-Tabelle zu stehlen.

Bei Online-Brute-Force-Angriffen sind die Lösungen relativ einfach: Setzen Sie Grenzwerte, die mehrere Anmeldeversuche verhindern. Dies kann auf verschiedene Arten erfolgen:

  • Sperren Sie ein Konto nach einer bestimmten Anzahl fehlgeschlagener Versuche.
  • Erzwingen Sie, dass ein Konto, das sich nicht mehrmals anmeldet, eine Methode wie Captcha oder eine andere sekundäre Überprüfung verwendet.
  • Verwenden Sie die Zwei-Faktor-Authentifizierung, damit für die Anmeldung mehr als ein Kennwort erforderlich ist. und.
  • Sperren Sie mehrere Anmeldeversuche von einer einzigen IP-Adresse.

Die Verhinderung von Offline-Brute-Force-Angriffen ist etwas schwieriger: Wenn ein Angreifer Zugriff auf Kennwort-Hash-Dateien erhält, ist es nur eine Frage der Zeit, bis er die Haustür betritt.

Wie können Sie also verhindern, dass ein Offline-Brute-Force-Angriff erfolgreich ist? Es gibt verschiedene Verbesserungen, die Sie an Ihrer Sicherheit vornehmen können, um sich vor einer zu schützen:

  • Längere Passwörter sind besser - Sonderzeichen spielen keine Rolle mehr, da sie leicht erraten werden können.
  • Bildschirmkennwörter, um die Verwendung gebräuchlicher Wörter, Phrasen oder Kombinationen davon zu verhindern;
  • Stellen Sie sicher, dass Ihre Hashes wirklich sicher sind. Wenn Sie sich nicht sicher sind, wo Sie anfangen sollen, lesen Sie diese Anleitung zum gesalzenen Passwort-Hashing. und
  • Speichern Sie Passwörter niemals im Klartext - wenn ein Angreifer Zugriff darauf erhält, muss er sich nicht einmal die Mühe machen, sie brutal zu erzwingen.

Zusätzliche Ressourcen

  • Spickzettel: Wie man ein Cybersicherheitsprofi wird (TechRepublic)
  • Besorgt über Identitätsdiebstahl? Dann sollten Sie diese Passwort-Fallstricke vermeiden (TechRepublic)
  • Office 365-Administratoren: So verringern Sie neue Angriffe, bei denen 2FA auf Windows-Systemen umgangen wird (TechRepublic)
  • 100% der Unternehmensnetzwerke sind sehr anfällig für Angriffe. So sichern Sie Ihre (TechRepublic)

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden Bild: bluebay2014, Getty Images / iStockphoto

© Copyright 2021 | pepebotifarra.com