Zum Inhalt springen

Nächste Bootcamp-Ausgabe
4. Mai 2026

Offensive Security

Brute-Force-Angriff

Eine Trial-and-Error-Angriffsmethode, die systematisch jede mögliche Kombination von Passwörtern, Verschlüsselungsschlüsseln oder anderen Anmeldedaten ausprobiert, bis die richtige gefunden wird, wobei sie auf Rechenleistung statt auf die Ausnutzung von Schwachstellen setzt.

Autor
Unihackers Team
Lesezeit
3 Min. Lesezeit
Zuletzt aktualisiert

Warum es wichtig ist

Brute-Force-Angriffe stellen den grundlegendsten Ansatz zum Brechen von Authentifizierung dar: Jede Möglichkeit ausprobieren, bis eine funktioniert. Obwohl konzeptionell einfach, bleiben diese Angriffe wirksam gegen schwache Passwörter, unzureichende Rate-Limiting-Mechanismen und Systeme ohne angemessene Schutzmechanismen.

Die Mathematik der Brute-Force-Methode schafft ein Rennen zwischen der Rechenleistung des Angreifers und der Passwortkomplexität des Verteidigers. Eine 4-stellige PIN hat nur 10.000 Kombinationen – trivial für moderne Computer. Ein 8-Zeichen-Passwort aus Kleinbuchstaben hat etwa 200 Milliarden Kombinationen – immer noch mit dedizierter Hardware knackbar. Starke Passwörter mit gemischten Zeichen und ausreichender Länge machen Brute-Force unpraktikabel.

Die Wiederverwendung von Passwörtern verstärkt die Brute-Force-Risiken. Bei einem Datenleck offengelegte Zugangsdaten werden zu Eingaben für Credential-Stuffing-Angriffe gegen andere Dienste. Die Verbreitung schwacher und wiederverwendeter Passwörter stellt sicher, dass Brute-Force ein praktikabler Angriffsvektor bleibt.

Für Sicherheitsexperten informiert das Verständnis der Brute-Force-Mechanik Entscheidungen über Passwortrichtlinien, das Design von Authentifizierungssystemen und Strategien zur Erkennung von Vorfällen.

Wie Brute-Force-Angriffe funktionieren

Grundlegender Ansatz

Systematisch jede mögliche Kombination testen:

brute-force-logik.txt
Text

Ziel: 4-Zeichen-Kleinbuchstaben-Passwort
Versuche:
aaaa → falsch
aaab → falsch
aaac → falsch
...
(fährt durch alle 456.976 Kombinationen fort)
...
pass → richtig!

Zeit und Komplexität

passwort-komplexitaet.txt
Text

Passwort-Raum-Berechnungen:

4-stellige PIN:
10^4 = 10.000 Kombinationen
Bei 1000 Versuchen/Sekunde: maximal 10 Sekunden

8-Zeichen Kleinbuchstaben:
26^8 = 208 Milliarden Kombinationen
Bei 1000 Versuchen/Sekunde: 6.600 Jahre
Bei 1 Milliarde Versuchen/Sekunde: 3,5 Minuten (Offline-Angriff)

8-Zeichen gemischt (Groß, Klein, Zahlen, Symbole):
95^8 = 6,6 Billiarden Kombinationen
Bei 1 Milliarde Versuchen/Sekunde: 209 Jahre

12-Zeichen gemischt:
95^12 = 540 Sextillionen Kombinationen
Bei 1 Milliarde Versuchen/Sekunde: 17 Millionen Jahre

Arten von Brute-Force-Angriffen

Reine Brute-Force

Testet systematisch jede mögliche Kombination. Garantiert letztendlichen Erfolg, ist aber bei starken Passwörtern oft unpraktikabel.

Wörterbuch-Angriff

Verwendet Listen häufiger Passwörter, Wörter und Phrasen anstelle zufälliger Kombinationen. Wesentlich effizienter gegen von Menschen gewählte Passwörter.

haeufige-passwoerter.txt
Text

Top 10 der häufigsten Passwörter:
1. 123456
2. password
3. 12345678
4. qwerty
5. 123456789
6. 12345
7. 1234
8. 111111
9. 1234567
10. dragon

Hybrid-Angriff

Kombiniert Wörterbuchwörter mit gängigen Modifikationen:

  • Zahlen anhängen: password1, password123
  • Leetspeak-Ersetzung: p@ssw0rd
  • Sonderzeichen hinzufügen: password!
  • Großschreibungsmuster: Password, PASSWORD

Rainbow-Table-Angriff

Vorberechnete Tabellen, die Hashes auf Passwörter zurückabbilden. Tauscht Speicherplatz gegen Rechenzeit. Wird durch das Salzen von Passwörtern besiegt.

Credential Stuffing

Verwendet Zugangsdaten, die aus anderen Datenlecks gestohlen wurden, um sie gegen neue Ziele zu testen. Nutzt die Wiederverwendung von Passwörtern über verschiedene Dienste aus.

credential-stuffing.py
Python

# Credential-Stuffing-Konzept (nur autorisiertes Testen)
# Testet geleakte Zugangsdaten gegen Zieldienst

leaked_credentials = load_from_breach_database()

for username, password in leaked_credentials:
  if try_login(target_service, username, password):
      print(f"Gültig: {username}")

Reverse Brute-Force

Anstatt viele Passwörter gegen ein Konto zu testen, wird ein häufiges Passwort gegen viele Konten getestet. Umgeht kontobezogene Sperren.

Werkzeuge und Techniken

Online-Angriffswerkzeuge

hydra-beispiel.sh
Bash

# Hydra - Online-Passwort-Cracking (nur autorisiertes Testen)

# SSH Brute-Force
hydra -l admin -P /usr/share/wordlists/rockyou.txt ssh://target

# Web-Formular Brute-Force
hydra -l admin -P passwords.txt target http-post-form "/login:user=^USER^&pass=^PASS^:Ungültige Anmeldedaten"

Offline-Angriffswerkzeuge

hashcat-beispiel.sh
Bash

# Hashcat - GPU-beschleunigtes Hash-Cracking

# Wörterbuch-Angriff auf MD5-Hashes
hashcat -m 0 hashes.txt /usr/share/wordlists/rockyou.txt

# Brute-Force mit Maske (8 Zeichen, Kleinbuchstaben + Ziffern)
hashcat -m 0 hashes.txt -a 3 ?l?l?l?l?l?d?d?d

# Regelbasierter Angriff (Wörterbuch + Modifikationen)
hashcat -m 0 hashes.txt wordlist.txt -r rules/best64.rule

Angriffshardware

Modernes Passwort-Cracking nutzt:

  • High-End-GPUs (Tausende von Euro)
  • FPGA-Arrays (spezialisierte Hardware)
  • Cloud-Computing (Pay-per-Use-GPU-Cluster)
  • ASICs (anwendungsspezifische integrierte Schaltkreise)

Verteidigungsstrategien

Starke Passwortrichtlinien

passwort-anforderungen.txt
Text

NIST 800-63B Empfehlungen:

TUN:
- Minimum 8 Zeichen (länger empfohlen)
- Bis zu 64+ Zeichen erlauben
- Alle druckbaren Zeichen akzeptieren
- Gegen Breach-Datenbanken prüfen
- Einfügen in Passwortfelder erlauben

NICHT TUN:
- Komplexitätsregeln erzwingen (Groß, Klein, Symbol)
- Periodische Passwortänderungen erzwingen
- Passworthinweise verwenden
- Willkürliche Zusammensetzungsregeln auferlegen

Rate-Limiting und Sperren

  • Progressive Verzögerungen nach fehlgeschlagenen Versuchen implementieren
  • Kontosperrung nach Schwellenwert (mit automatischer Entsperrung)
  • CAPTCHA nach verdächtiger Aktivität
  • IP-basierte Drosselung

Multi-Faktor-Authentifizierung

MFA macht gestohlene Passwörter unzureichend:

  • Etwas, das Sie wissen (Passwort)
  • Etwas, das Sie haben (Telefon, Sicherheitsschlüssel)
  • Etwas, das Sie sind (Biometrie)

Sichere Passwortspeicherung

sicheres-hashing.py
Python

import bcrypt

# SICHER - Verwendung von bcrypt mit Salt
password = b"benutzer_passwort"

# Hash mit automatischer Salt-Generierung
hashed = bcrypt.hashpw(password, bcrypt.gensalt(rounds=12))

# Verifizierung
if bcrypt.checkpw(password, hashed):
  print("Passwort stimmt überein")
  • Langsame Hashing-Algorithmen verwenden (bcrypt, Argon2, scrypt)
  • Eindeutiges Salt pro Passwort generieren
  • Niemals MD5 oder SHA1 für Passwörter verwenden
  • Hashes speichern, niemals Klartext

Erkennung und Überwachung

  • Authentifizierungsfehler protokollieren
  • Bei ungewöhnlichen Mustern alarmieren
  • Auf Credential-Stuffing-Indikatoren überwachen
  • Bekannte schlechte IP-Bereiche blockieren

Karriereverbindung

Passwortsicherheit überschneidet sich mit Authentifizierungssystemen, Identitätsmanagement und Sicherheitsoperationen. Fachleute, die sowohl Angriffstechniken als auch Abwehrmaßnahmen verstehen, sind wertvoll für die Gestaltung sicherer Systeme und das Testen bestehender.

Authentifizierungssicherheit Rollen (US-Markt)

RoleEntry LevelMid LevelSenior
IAM-Spezialist70 $95 $125 $
Penetration Tester80 $110 $145 $
Security Engineer85 $115 $155 $

Source: CyberSeek

Im Bootcamp

Wie wir Brute-Force-Angriff unterrichten

In unserem Cybersecurity-Bootcamp lernen Sie nicht nur Brute-Force-Angriff in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 10: Penetrationstests und Ethisches Hacking

Verwandte Themen, die Sie beherrschen werden:MetasploitNmapBurp SuitePrivilege Escalation
Sehen Sie, wie wir das unterrichten

360+ Stunden von Experten geleitete Ausbildung • 94% Beschäftigungsquote