Zum Inhalt springen

Nächste Bootcamp-Ausgabe
4. Mai 2026

Offensive Security

Brute-Force-Angriff

Eine Trial-and-Error-Angriffsmethode, die systematisch jede mögliche Kombination von Passwörtern, Verschlüsselungsschlüsseln oder anderen Anmeldedaten ausprobiert, bis die richtige gefunden wird, wobei sie auf Rechenleistung statt auf die Ausnutzung von Schwachstellen setzt.

Autor
Unihackers Team
Lesezeit
3 Min. Lesezeit
Zuletzt aktualisiert

Warum es wichtig ist

Brute-Force-Angriffe stellen den grundlegendsten Ansatz zum Brechen von Authentifizierung dar: Jede Möglichkeit ausprobieren, bis eine funktioniert. Obwohl konzeptionell einfach, bleiben diese Angriffe wirksam gegen schwache Passwörter, unzureichende Rate-Limiting-Mechanismen und Systeme ohne angemessene Schutzmechanismen.

Die Mathematik der Brute-Force-Methode schafft ein Rennen zwischen der Rechenleistung des Angreifers und der Passwortkomplexität des Verteidigers. Eine 4-stellige PIN hat nur 10.000 Kombinationen – trivial für moderne Computer. Ein 8-Zeichen-Passwort aus Kleinbuchstaben hat etwa 200 Milliarden Kombinationen – immer noch mit dedizierter Hardware knackbar. Starke Passwörter mit gemischten Zeichen und ausreichender Länge machen Brute-Force unpraktikabel.

Die Wiederverwendung von Passwörtern verstärkt die Brute-Force-Risiken. Bei einem Datenleck offengelegte Zugangsdaten werden zu Eingaben für Credential-Stuffing-Angriffe gegen andere Dienste. Die Verbreitung schwacher und wiederverwendeter Passwörter stellt sicher, dass Brute-Force ein praktikabler Angriffsvektor bleibt.

Für Sicherheitsexperten informiert das Verständnis der Brute-Force-Mechanik Entscheidungen über Passwortrichtlinien, das Design von Authentifizierungssystemen und Strategien zur Erkennung von Vorfällen.

Wie Brute-Force-Angriffe funktionieren

Grundlegender Ansatz

Systematisch jede mögliche Kombination testen:

brute-force-logik.txt
Text

Zeit und Komplexität

passwort-komplexitaet.txt
Text

Arten von Brute-Force-Angriffen

Reine Brute-Force

Testet systematisch jede mögliche Kombination. Garantiert letztendlichen Erfolg, ist aber bei starken Passwörtern oft unpraktikabel.

Wörterbuch-Angriff

Verwendet Listen häufiger Passwörter, Wörter und Phrasen anstelle zufälliger Kombinationen. Wesentlich effizienter gegen von Menschen gewählte Passwörter.

haeufige-passwoerter.txt
Text

Hybrid-Angriff

Kombiniert Wörterbuchwörter mit gängigen Modifikationen:

  • Zahlen anhängen: password1, password123
  • Leetspeak-Ersetzung: p@ssw0rd
  • Sonderzeichen hinzufügen: password!
  • Großschreibungsmuster: Password, PASSWORD

Rainbow-Table-Angriff

Vorberechnete Tabellen, die Hashes auf Passwörter zurückabbilden. Tauscht Speicherplatz gegen Rechenzeit. Wird durch das Salzen von Passwörtern besiegt.

Credential Stuffing

Verwendet Zugangsdaten, die aus anderen Datenlecks gestohlen wurden, um sie gegen neue Ziele zu testen. Nutzt die Wiederverwendung von Passwörtern über verschiedene Dienste aus.

credential-stuffing.py
Python

Reverse Brute-Force

Anstatt viele Passwörter gegen ein Konto zu testen, wird ein häufiges Passwort gegen viele Konten getestet. Umgeht kontobezogene Sperren.

Werkzeuge und Techniken

Online-Angriffswerkzeuge

hydra-beispiel.sh
Bash

Offline-Angriffswerkzeuge

hashcat-beispiel.sh
Bash

Angriffshardware

Modernes Passwort-Cracking nutzt:

  • High-End-GPUs (Tausende von Euro)
  • FPGA-Arrays (spezialisierte Hardware)
  • Cloud-Computing (Pay-per-Use-GPU-Cluster)
  • ASICs (anwendungsspezifische integrierte Schaltkreise)

Verteidigungsstrategien

Starke Passwortrichtlinien

passwort-anforderungen.txt
Text

Rate-Limiting und Sperren

  • Progressive Verzögerungen nach fehlgeschlagenen Versuchen implementieren
  • Kontosperrung nach Schwellenwert (mit automatischer Entsperrung)
  • CAPTCHA nach verdächtiger Aktivität
  • IP-basierte Drosselung

Multi-Faktor-Authentifizierung

MFA macht gestohlene Passwörter unzureichend:

  • Etwas, das Sie wissen (Passwort)
  • Etwas, das Sie haben (Telefon, Sicherheitsschlüssel)
  • Etwas, das Sie sind (Biometrie)

Sichere Passwortspeicherung

sicheres-hashing.py
Python
  • Langsame Hashing-Algorithmen verwenden (bcrypt, Argon2, scrypt)
  • Eindeutiges Salt pro Passwort generieren
  • Niemals MD5 oder SHA1 für Passwörter verwenden
  • Hashes speichern, niemals Klartext

Erkennung und Überwachung

  • Authentifizierungsfehler protokollieren
  • Bei ungewöhnlichen Mustern alarmieren
  • Auf Credential-Stuffing-Indikatoren überwachen
  • Bekannte schlechte IP-Bereiche blockieren

Karriereverbindung

Passwortsicherheit überschneidet sich mit Authentifizierungssystemen, Identitätsmanagement und Sicherheitsoperationen. Fachleute, die sowohl Angriffstechniken als auch Abwehrmaßnahmen verstehen, sind wertvoll für die Gestaltung sicherer Systeme und das Testen bestehender.

No salary data available.

Im Bootcamp

Wie wir Brute-Force-Angriff unterrichten

In unserem Cybersecurity-Bootcamp lernen Sie nicht nur Brute-Force-Angriff in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 10: Penetrationstests und Ethisches Hacking

Verwandte Themen, die Sie beherrschen werden:MetasploitNmapBurp SuitePrivilege Escalation
Sehen Sie, wie wir das unterrichten

360+ Stunden von Experten geleitete Ausbildung • 94% Beschäftigungsquote