Effektiv testen auf Brute-Force-Angriffe: Gründe, Methoden und Tools für mehr Sicherheit im Internet

Die Bedeutung der IT-Sicherheit wächst. 2/3 aller KMU erleben im Jahr einen Cyber-Angriff. Nicht immer kommen Angreifer durch die Hintertür. Anstelle von Sicherheitslücken oder Social Engineering nutzen sie rohe Gewalt. Brute-Force-Angriffe gehören zu den ältesten Angriffsmethoden, um sich Zugriff auf ein System zu verschaffen. Wir erklären, wie sie sich für Brute-Force-Angriffen durch Tests schützen können und welche Tools Ihnen zur Verfügung stehen.

Mit gezielten Tests vor Brute-Force-Angriffen schützen

Das Prinzip von Brute-Force-Angriffen ist im Kern sehr simpel: Ein Angreifer verschafft sich Zugang zu einem System, indem er systematisch Passwörter ausprobiert beziehungsweise eine Software dafür nutzt. Brute-Force-Angriffe sind perfide, weil sie im Gegensatz zu Sicherheitslücken nie vollständig vermieden werden können. Die Schwachstelle beim Brute-Force-Angriff ist das Passwort, und die Art und Weise, wie das Passwort abgefragt wird. Es gibt keinen prinzipiellen Schutz vor Brute-Force-Angriffen. Die Zugriffsmöglichkeit auf eine Website, eine Datenbank oder einen Computer sind schließlich keine Sicherheitslücke, sondern ein Feature. Effektiver Schutz vor Brute-Force-Angriffen setzt also gezielte Tests voraus, mit denen Passwort und Passwortabfrage überprüft werden.

Die Passwortsicherheit mit John the Ripper und Hashcat überprüfen

Wenn Angreifer an eine Datenbank mit Nutzerdaten gelangen, dann bringt ihnen diese Datenbank allein wenig. Sensible Daten werden heute fast immer verschlüsselt in sogenannten Hashes gespeichert. Diese Hashes sehen aus wie eine zufällige Abfolge von Zeichen. Jede Zeichenfolge repräsentiert aber ein spezifisches Set an Nutzerdaten.  Allerdings haben die Angreifer nun die Möglichkeit, in aller Ruhe zu versuchen, die Hashes zu entschlüsseln. Wenn Sie sich vor solchen Szenarien schützen möchten, sollten Sie genauso vorgehen wie die Angreifer; Nutzen Sie einen Passwortcracker, um zu versuchen die Passwörter zu knacken.

John the Ripper war eines der ersten Brute-Force-Tools. Zur Zeit der Veröffentlichung von John the Ripper waren Grafikkarten im gewerblichen Bereich kaum verbreitet. Daher nutzte das Tool lange nur die CPU, um die Angriffe durchzuführen. Die Unterstützung für GPU-basierte Passwortberechnungen wurde erst später hinzugefügt und erreicht nicht dieselbe Leistung wie ein modernes Brute-Force-Tool wie Hashcat, das GPU-basierte Berechnungen priorisiert. Beide Tools sind kostenlos und verfügen über eine große engagierte Community, die Support leistet.

Mit THC Hydra und Patator Brute-Force-Angriffe unter realen Bedingungen testen

Mit John the Ripper und Hashcat testen Sie nur die Passwortsicherheit - nicht das Anmeldeverfahren selbst. Um ihr System unter realen Bedingungen zu setzen, nutzen Sie daher Tools wie THC Hydra. THC Hydra stellt viele Verbindungen zum Zielserver her und probiert Passwörter aus einer vorgegebenen Liste aus. Die Software bietet dabei verschiedene Konfigurationsmöglichkeiten, um einen Angriff in seiner ganzen Bandbreite zu simulieren und das System auf Herz und Nieren zu prüfen.

Eine Alternativlösung zu Hydra ist Patator. Dabei handelt es sich um ein kleines Pythonskript, das als schlankere und flexiblere Alternative zu Hydra entwickelt wurde. Die höhere Flexibilität geht aber mit einer durch die Kommandozeilenumgebung bedingten komplizierten Bedienung einher.

Fazit: Schutz vor Brute-Force-Angriffen durch Tests

Brute-Force-Angriffe bleiben auch in Zeiten von Zwei-Faktor-Authentifizierung und KI-gestützten System zur Erkennung von auffälligen Aktivitäten auf dem Server eine relevante Gefahr. Die Existenz dieses Angriffsvektors lässt sich kaum verhindern, weil kein System völlig abgeschottet funktionieren kann. Mit toolgestützten Tests simulieren sie daher reale Brute-Force-Angriffe, um zu überprüfen, ob ihr System einem Angriff standhalten würde und ermitteln dabei mögliche Lücken in der Serverkonfiguration oder bei der Passwortsicherheit.