Bei einer Bruteforce-Attacke wird zum Beispiel der Login-Bereich eines Onlineshops angegriffen. Eine Software probiert dabei eine riesige Liste von Benutzernamen und Passwörtern aus, bis eine Kombination passt. Häufig kann dieser Passwort-Angriff Erfolge verbuchen.
Woher stammen die Benutzernamen und Passwörter?
Häufig werden Anmeldedaten ausprobiert, die aus vorherigen Datenlecks stammen. Auch können Angreifer ganze Wörterbücher verwenden und Programme, die Wörter um beliebige Zeichenfolgen erweitern. Diese Informationen sind in langen Textdateien gespeichert, die im Darknet gehandelt und verkauft werden.
Ein Tool zum Erstellen von Wortlisten mit sämtlichen möglichen Buchstabenfolgen ist Crunch. Anwender können die minimale und maximale Anzahl der Zeichen vorgeben, ebenso Buchstaben ausschließen und Sonderzeichen sowie vieles mehr einschließen. Die Folgen unterschiedlich langer und komplizierter Passwörter:
- Bei Passwörtern mit maximal fünf Buchstaben ist die Textdatei 70 MB groß.
- Bei Passwörtern mit maximal fünf Zeichen inklusive Sonderzeichen und Ziffern wächst die Datei auf rund 62 GB an.
- Bei Websites mit einer Passwortlänge von mindestens acht Zeichen wäre die Datei mit sämtlichen möglichen Passwörtern rund 1.000.000 TB groß. Hinweis: Diese Datenmenge muss nicht abgespeichert werden, sondern lässt sich Stück für Stück abarbeiten.
Das bedeutet: Je länger das Passwort ist und je mehr Sonderzeichen sowie große und kleine Buchstaben und Ziffern enthalten sind, desto sicherer ist es. Ein Passwort aus dem Wörterbuch ist in wenigen Minuten gehackt, das Knacken eines Passworts wie „Ds3§232d3!qS9sdf%$1.!“ würde hingegen Jahre in Anspruch nehmen.
Der Schutz: Ein starkes Passwort ist Pflicht. Das gilt für Sie genauso wie für die Nutzer Ihres Onlinedienstes. Wenn Sie zum Beispiel einen WooCommerce-Onlineshop betreiben, können Sie das Plugin Password Strength Settings for WooCommerce im WordPress Backend installieren und die Registrierung für Neukunden mit einem starken Passwort zur Pflicht machen. Weitere Maßnahmen wie die Integration von Captchas, die Limitierung der Anmeldeversuche und eine Zwei-Faktor-Authentifizierung schützen zusätzlich.
Tipp: Prüfen Sie auf der Website haveibeenpwned, ob Ihre E-Mail-Adresse oder Telefonnummer bereits in einem Datenleck aufgetaucht ist und ändern Sie in dem Fall sofort das dort verwendete Passwort. Mit Sucuri Website Security können Sie Malware auf Ihrer Webseite erkennen und entfernen. Erfahren Sie mehr über das komfortable Anti-Malware-Tool.
Passwort-Angriff in Form von Password Spraying
Das Password Spraying funktioniert ähnlich wie eine Bruteforce-Attacke, nur andersherum: Anstelle eine riesige Liste von Passwörtern mit wenigen oder einem einzigen Account-Namen auszuprobieren, erfolgt der Angriff mit einer kleinen Menge an Passwörtern und stattdessen mit so vielen Anmeldenamen wie möglich.
Woher stammen diese Anmeldenamen und wie läuft der Passwort-Angriff ab?
Zuerst besorgt sich ein Angreifer eine Liste der am häufigsten verwendeten Passwörter. Diese werden mit zufälligen Namen oder mit einer im Darknet gekauften Liste von Anmeldenamen kombiniert. Wenn der Anmeldebereich zur Ihrer Website nur fünf Versuche zulässt, probiert der Angreifer lediglich vier Passwörter und macht dann mit einem anderen Anmeldenamen weiter. Auf diese Weise bleibt der Angriffsversuch unentdeckt.
Eine andere Methode sind E-Mail-Adressen, um an Benutzernamen heranzukommen. Mit einem Tool wie Maltego kann der Hacker ein Angriffsziel auswählen und die Software nach relevanten Informationen suchen lassen – dazu gehören auch Social-Media-Beiträge. Ist eine E-Mail-Adresse einer Firma bekannt, lässt sich das Muster meist auf andere Adressen anwenden. Eine Adresse wie m.mueller@musterfirma.de lässt darauf schließen, dass die E-Mail-Adressen der anderen Mitarbeiter ebenfalls aus einem Buchstaben, einem Punkt und einem typischen Nachnamen zusammengesetzt sind. Die Schutzmaßnahmen sind bei diesem Passwort-Angriff identisch. Das Wichtigste ist ein starkes Passwort.
Große Auswahl an günstigen Domain-Endungen – schon ab 0,08 € /Monat
Jetzt Domain-Check starten
Credential Stuffing – eine weitere Art von Bruteforce-Angriff
Bei dieser Angriffsform besitzt der Hacker Anmeldedaten aus einer früheren Datenschutzverletzung und probiert diese automatisiert bei anderen Onlinediensten aus. Die Daten können im Darknet gekauft worden sein.
Wenn Sie für Ihr E-Mail-Konto, Amazon, Facebook und diverse weitere Dienste dieselbe Kombination aus Anmeldename und Passwort verwenden, hat das Credential Stuffing Erfolg und ein Cyberkrimineller kann all Ihre Konten übernehmen.
Aus diesem Grund dürfen Sie Ihre Login-Daten für einen Dienst auf keinen Fall bei mehreren anderen Websites verwenden! Besonders das Passwort zu Ihrem E-Mail-Konto muss einzigartig und stark sein. Wer Ihren E-Mail-Zugang hackt, kann bei diversen Websites einfach Ihre E-Mail-Adresse eingeben, auf „Passwort vergessen“ klicken, die E-Mail mit dem Link zur Neuerstellung des Passworts öffnen – und so Ihre Online-Identität übernehmen.
Wie merke ich mir einzigartige und starke Passwörter?
Inzwischen haben die meisten von uns so viele Onlinekonten, dass wir uns nicht für jedes ein einzigartiges Passwort merken können. Die Passwörter aufschreiben ist nicht praktikabel, sie auf dem Smartphone oder auf dem Computer in einem Dokument abzuspeichern, ist nicht sicher.
Die Lösung sind Passwort-Manager. Diese Tools erstellen auf Knopfdruck extreme sichere Passwörter und speichern diese verschlüsselt lokal ab. Wenn Sie eine Website öffnen möchten, kopieren Sie das Passwort einfach aus dem Programm oder es wird automatisch eingefügt. Während Browser wie Google Chrome, Firefox und Brave diese Funktion anbieten, gibt es zusätzlich spezielle Programme, die mehr Funktionen und Komfort bieten. So müssen Sie sich nur noch ein wirklich sicheres Master-Passwort für den Zugang zum Tool merken. Eine Auswahl der beliebtesten Passwort-Manager zum effektiven Schutz vor Passwort-Angriffen sind folgende Programme:
- LastPass speichert unbegrenzt viele Passwörter, auch Zwei-Faktor-Authentifizierung wird unterstützt.
- Avira Password Manager ermöglicht den Login über beliebig viele Endgeräte und mit biometrischen Daten.
- Bitwarden ist Open-Source und synchronisiert unbegrenzt viele Anmeldedaten über verschiedene Geräte hinweg.
- LogMeOnce integriert zahlreiche Funktionen, von denen viele jedoch nicht notwendig sind.
- 1Password lässt sich 14 Tage kostenlos testen und bietet weitere Funktionen.
Die meisten Tools sind mit Grundfunktionen kostenlos und auch kostenpflichtig erhältlich und punkten dann mit Extras wie Cloud-Speicher sowie Programmen zur sicheren Dateiübertragung.
Passwort-Angriff per Bruteforce-Attacke – Zusammenfassung
Passwort-Angriffe finden rund um die Uhr statt, die Login-Bereiche von Websites kleiner und großer Unternehmen werden automatisiert angegriffen und schwache Passwörter schnell überwunden. Den besten Schutz bieten einzigartige und starke Passwörter, die Sie mit einem Passwort-Manager effektiv verwalten können. Schützen Sie Ihre Website und probieren Sie den für Ihre Ansprüche geeigneten Passwort-Manager aus!
Weitere Tipps zum Thema:
- Essay Spam – was ist das und wie schütze ich mich?
- Was sind Website Backdoors und wie kann ich mich davor schützen?
- Was ist Ransomware? Und wie erhöht man die Cybersicherheit?
- DDos-Schutz auf Netzwerkebene zum Schutz Ihrer Websites
- Sicherheit im E-Commerce: So schützen Sie Ihren Onlineshop
- So verwalten Sie Chrome-Passwörter – Der ultimative Guide
Titelmotiv: Pixabay
- WordPress 6.5 – Was ist neu, was ist besser? - 8. Mai 2024
- Wie installiere ich ein Kontrollpanel wie cPanel auf meinem VPS? - 18. April 2024
- Wie sicher ist WordPress Hosting? - 16. April 2024