März 28, 2023
Wer sich mit IT Security befasst, kommt an den OWASP Top 10 nicht vorbei. Die Non-Profit-Organisation Open Web Application Security
Hinter der Bezeichnung „Brute Force“ (rohe Gewalt) verbirgt sich ein kryptografischer Angriff,
der durch systematisches Durchprobieren aller möglichen Kombinationen einer gegebenen Menge aller Wahrscheinlichkeit nach irgendwann den richtigen Wert für ein Passwort, einen Nutzernamen, einen Hash oder einen Webpfad erraten muss, ähnlich wie bei einer Lottoziehung.
Ein klassischer Brute-Force-Angriff kann in Abhängigkeit der angewandten Methode und aufzubietenden Rechenleistung aufseiten des Angreifers allein bereits ein sehr zeitintensiver Prozess werden.
Setzt das Opfer einen langen komplexen, sowie einzigartigen Wert ein und sind Mechanismen im Einsatz, die das kontinuierliche Durchprobieren behindern, wird es nahezu unmöglich, in annehmbarer Zeit zum Erfolg zu kommen.
Brute Force Angriffe erscheinen bereits in frühen Phasen eines Hackerangriffs und lassen sich unter anderem nach dem Modell der „Kill Chain“ (einem Modell, um die Stufen von Cyberangriffen zu beschreiben) in die 1. Phase der Informationsgewinnung einordnen.
Ziel eines Brute-Force-Angriff ist nicht allein der mögliche Zugriff auf weitere Informationen, die Identität oder Rechte des Ziels, sondern der erlangte Wert an sich in Form eines Passworts, Pin, Hashes oder Benutzernamens. So lassen sich diese eventuell an anderen Systemen nutzen und auch an Dritte weiterverkaufen.
Bei einem Brute-Force-Angriff auf einen Webserver etwa rückt zudem das Finden von versteckten Unterseiten in den Fokus des Angreifers, um dort eventuell vorhandene Sicherheitslücken auszunutzen.
Zudem kann das Verhalten eines Ziels während eines Brute-Force-Angriffs, Rückschlüsse auf weitere mögliche Angriffsvektoren für den Angreifer zulassen, wie etwa die Möglichkeit eines Buffer Overflows oder einer Remote Code Execution.
Aufgrund dessen finden Brute Force Angriffe nicht nur bei Hackerangriffen, sondern auch bei Stresstests von Hardware und Software statt, um die Robustheit und Korrektheit zu prüfen.
Verwenden Sie stets Passwörter bestehend mit folgenden Bedingungen:
Bedenken Sie, je mehr Zeichen Ihr Passwort enthält, desto schwieriger ist es zu knacken.
Wer sich mit IT Security befasst, kommt an den OWASP Top 10 nicht vorbei. Die Non-Profit-Organisation Open Web Application Security
Burp Suite von Portswigger und OWASP ZAP sind beides Programme mit einem Proxy-Server, welche auf deinem lokalen Gerät laufen. Mit
Unser Mitgründer Immanuel war zu Gast bei Radio Bonn/ Rhein-Sieg und hat dem Moderatoren-Team Nico Jansen und Jasmin Lenz und