Bei Attacken dieser Art kommt die Namensgebende „Brute-Force-Methode“ zum Einsatz. Übersetzt bedeutet „Brute-Force“ soviel wie „rohe Gewalt“, was die Methode sehr gut beschreibt.

In der IT und Kryptologie werden bei Anwendung der Methode alle möglichen Varianten und Kombinationen „durchprobiert“. Im Falle einer Brute-Force-Attacke werden also solange Nutzernamen- und Passwörter versucht, bis ein Login zustande kommt.
Die Kombinationen werden dabei natürlich nicht vom Angreifer – dem „Hacker“ – selbst eingegeben. Viel mehr verwendet dieser einen simplen Algorithmus, um automatisiert eine möglichst hohe Zahl an verschiedenen Zeichenkombinationen auszuprobieren.

Was kann ich tun, um mich vor einer Brute-Force-Attacke zu schützen?

Es gibt verschiedene Möglichkeiten, um sich vor Brute-Force-Attacken effektiv zu schützen.
Am besten wird eine Kombination aus mehreren der folgenden Schutz-Methoden verwendet, um eine möglichst hohe Sicherheit zu erreichen:

Das Passwort

Eine der häufigsten Schwachpunkte in Sicherheitssystemen sind zu einfache Passwörter. Wir haben hierzu bereits einen ausführlichen Artikel geschrieben, in dem wir detailliert auf Passwörter eingehen.

Das beste Mittel gegen Brute-Force-Attacken stellt ein sicheres Passwort mit mindestens 10-12 Zeichen, Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben dar. Deswegen sind das auch die Mindestanforderungen für Passwörter bei unseren Internetlösungen.

Der Benutzername

Nicht immer ist ein Benutzername frei wählbar. Wenn jedoch ein Benutzername festgelegt werden kann, empfiehlt es sich, keinen gängigen Namen wie „Admin“ oder „Benutzer“ zu wählen.
Bei Brute-Force-Attacken werden, wenn der Benutzername nicht bekannt ist, die am häufigst verwendeten Begriffe (z. B. „Admin“) verwendet. Durch das Festlegen eines individuellen Nutzernamens, kann das „Ausprobieren“ von Kombinationen zusätzlich erschwert werden.

„Verstecken“ des Login-Bereichs

Durch das „Verstecken“ des Anmeldebereichs wird es dem Angreifer erschwert, diesen überhaupt zu finden. Die meisten Brute-Force-Attacken im Internet finden auf gängige „Login-Links“ wie z. B. „www.beispiel.de/login“ statt. Verändert man den Zugriffslink, ist der Zugangspunk für den Angreifer deutlich schwerer zu finden. Nachdem die meisten Angriffe dieser Art auf „Masse“ setzen, werden so die aller meisten Brute-Force-Attacken bereits im Vorfeld vermieden.

Zwei-Faktor-Authentisierung

Bei der Zwei-Faktor-Authentisierung wird neben der Eingabe der Zugangsdaten noch ein „zweiter Faktor“ benötigt, um eine Anmeldung abzuschließen. Hierbei kann zum Beispiel eine Bestätigungs-E-Mail an die im System hinterlegte Adresse gesendet werden oder eine Bestätigung per App oder SMS erfolgen.

Bei der Zwei-Faktor-Authentisierung empfiehlt es sich, zwei unabhängige Geräte zu verwenden – z. B. den Computer zur Anmeldung und das Smartphone zur Bestätigung. Viele Zwei-Faktor-Authentisierungen setzen nur auf ein Gerät (z. B. App & SMS). Wenn jedoch das Gerät infiziert ist, kann häufig auf beide „Faktoren“ durch den Angreifer zugegriffen werden.

Login Begrenzung & Verzögerung

Um Brute-Force-Attacken auszubremsen, können Loginversuche verzögert oder blockiert werden. Hierbei wird nach falscher Eingabe von Zugangsdaten der nächste Loginversuch zunächst um wenige Sekunden verzögert. Die Verzögerung wird dann für jeden weiteren falschen Versuch weiter erhöht, bis der Login vollständig blockiert wird.

Um sich nicht selbst „auszusperren“ erfolgt die Blockierung dabei allerdings i. d. R. nur für eine bestimmte IP-Adresse oder einen IP-Adressbereich. Hierdurch können „bessere“ Brute-Force-Attacken durch Wechsel der IP-Adressen weiterhin Angriffe durchführen.