Was ist Brute Force?

10.01.2010 09:57 Uhr
Brute Force ist wie puzzeln

Bild: CrazyPhunk, 2007

Brute Force (rohe Gewalt) ist eine Methode mit der Hacker Passwörter knacken. Das Wort taucht immer wieder in den Medien auf – aber wissen Sie was wirklich dahinter steckt?

Viele denken Brute Force wäre ein Begriff der von Hackern „erfunden“ wurde. Tatsächlich wird er auch in keinem Zusammenhang so oft erwähnt, wie beim Knacken von Passwörtern. Seinen Ursprung hat er dennoch nicht in diesem Bereich.

Eigentlich kommt der Begriff Brute Force aus der Informatik und beschreibt eine Methode: Bei der Suche nach einer Lösung zu einer Aufgabe werden schlichtweg alle Optionen durchprobiert. Diese Methode findet immer dann Anwendung, wenn keine besseren Algorithmen zur Lösungsbestimmung existieren.

Ein Beispiel aus der Nicht-Informatik:

Wenn Sie ein 1.000 Teile Puzzle zusammenbauen, versuchen Sie zu erkennen welche Teile in Frage kommen. Sie schauen sich dazu die Nasen, Ösen und die Oberfläche der schon gelegten Puzzle-Teile an und suchen dann nach dem passenden Teil.

In der Informatik bezeichnet man dieses „Suchen“ als Algorithmus.

Würden Sie auf die Methode Brute Force zurückgreifen, würden Sie einfach jedes Puzzle-Teil in die Hand nehmen und versuchen es an die bereits gelegten Teile zu stecken. Wenn es nicht klappt, probieren Sie das nächste Teil.

So werden Passwörter geknackt

Wenn ein Hacker Passwörter knackt hat er oft keinerlei Anhaltspunkte. Deshalb probiert er einfach alle möglichen Kombinationen durch. Manche nutzen auch Wortlisten, die sie bevorzugt als Passwort ausprobieren. Dies reduziert die Anzahl der möglichen Kombinationen drastisch und erlaubt dem Angreifer somit schneller zum Ende zu kommen.

Das ist auch der Grund, warum Ihr Passwort auf keinen Fall in einem Wörterbuch (Duden, etc.) stehen sollte: 5 Regeln für sichere Passwörter.

Natürlich probiert ein Hacker die Passwörter nicht manuell. Er schreibt sich ein Programm, das diese Aufgabe für ihn übernimmt. Das Programm gibt die Passwörter ein und prüft danach, ob der Anmeldevorgang erfolgreich war. Wenn nicht, probiert es das nächste Passwort.

Mit einem ganz normalen Computer können so über 1 Milliarde Passwörter pro Minute ausprobiert werden.

Wie viele Passwort-Kombinationen gibt es?

Angenommen Sie wählen kein Passwort aus einem Wörterbuch, wie oben empfohlen. Dann bleibt dem Hacker nur das ausprobieren jeder Kombination. Wie viele Kombinationen es gibt und wie schnell die Zahl nach oben schießt, soll Ihnen die folgende Tabelle verdeutlichen:

Anzahl
Zeichen
Klein-
buchstaben
Zahlen Groß-
buchstaben
Kombinationen
4 Ja Nein Nein 707.281
8 Ja Nein Nein 500 Milliarden
8 Ja Ja Nein 3.512 Milliarden
8 Ja Ja Ja 281.474 Milliarden
12 Ja Ja Ja 4.722.366.482.869 Milliarden

Würden wir noch die Sonderzeichen dazu nehmen, würde die Zahl der möglichen Kombinationen noch sehr viel stärker zunehmen.

Für ein Passwort mit 12 Zeichen, Kleinbuchstaben, Großbuchstaben und Zahlen, wie es ein Passwort-Generator leicht erzeugen kann, würde ein durchschnittlicher Computer somit bis zu 3 Tagen benötigen.

Das klingt im ersten Moment nach viel. Aber gehen wir davon aus, dass der Angreifer weit bessere Computer zur Verfügung hat und vielleicht 4 Milliarden Passwörter pro Minute generieren kann. Nehmen wir weiter an, er hat 10 dieser Rechner. Dann würde er das 12-stellige Passwort in weniger als 2 Stunden knacken.

Ein paar Notizen

  1. In der freien Wildbahn haben die, die wirklich Profit mit dem Knacken von Passwörtern machen, viele und vor allem leistungsstärkerer Computer zur Verfügung. Allerdings haben die es auch nicht auf Ihre Passwörter abgesehen. Der Aufwand würde sich für die Hacker kaum lohnen.
  2. Die, die Ihr Passwort knacken wollen probieren es i.d.R. mit Wörterbuchangriffen und Passwörtern mit wenig Zeichen. Mit einem 8-stelligen Passwort mit Großbuchstaben, Kleinbuchstaben und Zahlen, das nicht in einem Wörterbuch steht, sind Sie meist gut bedient.
  3. Die obige Rechnung geht bei Online-Diensten nicht auf. Die Computer wären zwar in der Lage die Milliarden Passwörter pro Minute zu erzeugen, aber sie müssen auch prüfen ob das Passwort gültig ist. Dazu müssen Sie die Antwort des Online-Dienstes abwarten. Dies ist der Teil der die meiste Zeit benötigt und die Anzahl der Kombinationen pro Minute drastisch senkt.
  4. Brute Force ist für Leute wie Sie und mich heute nicht mehr die Gefahrenquelle, die es vor einigen Jahren noch war. Da die Methode aufwendig ist, versuchen Kriminelle heute bevorzugt mit Phishing und ähnlichen Vorgehensweisen um an Ihre Passwörter zu kommen.