Obwohl Apple dies nie offiziell bestätigt hat, wird angenommen, dass der Technologieriese 2014 Opfer einer kleinen, aber katastrophalen Sicherheitsverletzung in seinem iCloud-Speicherdienst wurde. Es besteht Grund zu der Annahme, dass der fehlende Schutz vor Brute-Force-Angriffen den Diebstahl von Privatfotos verschiedener Prominenter ermöglichte, was Apple kurz nach den Angriffen genügte, um Schutzmaßnahmen zu ergreifen. Seitdem besteht der Sicherheitsmechanismus darin, dass Benutzer maximal zehn Versuche haben, ihr Kennwort einzugeben . Andernfalls wird das Konto gesperrt und der Kontoinhaber benachrichtigt. Bevor die Fotos durchgesickert waren, gab es keine Begrenzung für die Eingabe falscher Passwörter. Daher war das Entwerfen eines Brute-Force-Angriffs nur eine Frage der Zeit.

Der Begriff Brute Force bedeutet Brute Force und bezieht sich auf eine Methode zur Problemlösung in den Bereichen Informatik, Kryptographie und Spieltheorie. Die Brute-Force-Methode erhält diesen Namen, da sie darauf basiert , alle möglichen Lösungen oder viele davon auszuprobieren. Sie wird auch als umfassende Suche bezeichnet und insbesondere dann verwendet, wenn keine anderen Algorithmen verfügbar sind. Diese Technik wird von Hackern verwendet, um Passwörter zu knacken und so Zugriff auf externe Daten zu erhalten. Hierzu wird eine Software mit einem einfachen Algorithmus verwendet, die die Folge verschiedener Zeichenkombinationen aus Ziffern, Leerzeichen und Buchstaben bis zu einer definierten Maximallänge ausführt.

Je kürzer die Passwörter sind, desto schneller werden sie mit brutaler Gewalt entdeckt. Aus diesem Grund wird im Allgemeinen immer empfohlen, Kennwörter mit unterschiedlichen Zeichen zu verwenden, und warum die meisten Kennwortverschlüsselungssysteme sehr lange Schlüssel verwenden. Da die technischen Anforderungen für Brute-Force-Angriffe immer einfacher zu erfüllen sind, ist es möglich, eine größere Anzahl von Versuchen pro Zeiteinheit durchzuführen, was ein Schutzsystem gegen sogenannte Brute-Force-Angriffe erforderlich macht.

Angesichts des primitiven Charakters der Methode würde man erwarten, dass geeignete Sicherheitsmaßnahmen angewendet werden, was leider nicht immer der Fall ist. Möglicherweise kann jedes mit dem Internet verbundene System durch diese Angriffe gefährdet werden . Sobald ein Hacker unbemerkt und in ein System eingebunden ist (was schneller passieren kann als Sie denken), wird es nicht schwierig sein, Ihre Passwörter zu knacken. Die meisten Betriebssysteme führen Dateien und Datenbanken aus, in denen Benutzer-IDs und Kennwörter gespeichert sind. Auf Windows-Systemen befinden sich die Kennwörter beispielsweise in der Datei. sam und auf unixoiden Systemen in der. psswd oder. Schatten .

Obwohl die Kennwörter in diesen Dateien nicht im Textformat vorliegen, da sie zuvor mit kryptografischen Algorithmen codiert wurden, kann der Angreifer auf die Dateien zugreifen, wenn sie nicht vor unbefugtem Zugriff geschützt sind. Es kann eine Kopie der Datei erstellen und verschiedene Brute-Force-Angriffe ausführen, ohne die Verbindung zum System aufrechterhalten zu müssen. Derzeit gibt es im Prinzip nur drei Variablen, die es dem Angreifer erleichtern, seine Mission zu erfüllen:

• Die Dauer jedes Überprüfungsschritts
• Die Länge des Passworts
• Die Komplexität des Passworts

Die Dauer jedes Überprüfungsschritts, dh die Zeit, die für den Versuch mit jedem möglichen Kennwort verwendet wird, hängt von der Rechenleistung ab , über die der Angreifer verfügt. Je höher die Leistung, desto schneller die Abfolge der Versuche. Die Länge und Komplexität bestimmen die Anzahl der möglichen Zeichenkombinationen, aus denen ein Kennwort bestehen kann, und daher die Anzahl der Optionen, die während des Brute-Force-Angriffs verwendet werden müssen. Hier ist ein Beispiel dafür, wie sich Kennwortlänge und -komplexität auf die Dauer auswirken:

Die Tabelle zeigt, dass ein moderner PC mit einem einfachen Passwort und 26 Zeichen alle möglichen Kombinationen in nur 35 Minuten überprüfen würde . Wenn die Sequenz bei gleicher Rechenleistung auf 72 Zeichen erweitert wird, dauert die Brute-Force-Methode etwa 83 Tage. Es sollte jedoch nicht vertraut werden, da Cracking-Methoden wie der Wörterbuchangriff (Wortkombinationen) oder die Verwendung von Regenbogentabellen (zusammenhängende Sequenzen von Passwörtern) die Dauer eines Brute-Force-Angriffs beschleunigen können.

Unabhängig davon, ob ein Brute-Force-Angriff auf die zentrale Kennwortdatei eines Systems abzielt oder wie im Fall von iCloud der Angreifer über die Apple-ID des Opfers verfügt, beweisen die Präzedenzfälle, wie wichtig es ist, sich vor dieser allgegenwärtigen Methode zu schützen. Passwörter knacken. Im Allgemeinen kennen die meisten Benutzer die Grundprinzipien zum Erstellen sicherer Kennwörter : Verwenden Sie Kombinationen, die aus verschiedenen Zeichentypen bestehen. Im besten Fall werden Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen verwendet . Und je länger das Passwort ist, desto schwieriger wird es natürlich, es zu hacken.

Das Szenario zum Erstellen von Kennwörtern für Onlinedienste ist etwas komplizierter, da es den vom Anbieter festgelegten Bedingungen unterliegt. Typische Anforderungen sind eine maximale Länge von acht bis zehn Zeichen und häufig eine begrenzte Anzahl von Buchstaben und Zahlen , was ohne die zusätzlichen Sicherheitsmaßnahmen nicht sehr zufriedenstellend ist. In diesen Fällen müssen Sie die Vorsichtsmaßnahmen und Maßnahmen der Webprojektbetreiber in Bezug auf Brute-Force-Angriffe kennen. Wenn Sie der Administrator einer Website mit einem Anmeldemechanismus sind, liegt all diese Verantwortung auf Ihren Schultern. Hierfür haben Sie zwei mögliche Ansätze:

• Gewährleistung des Schutzes des Passwortmechanismus
• Legen Sie eine Multi-Faktor-Authentifizierungsmethode fest

Der Schutz des Kennwortmechanismus sollte eine Standardkomponente in Zugriffsmasken sein. Wie der oben erwähnte iCloud-Skandal zeigt, ist dies jedoch nicht immer der Fall. Dieser Schutzprozess bezieht sich auf die Implementierung von Strategien, die das Funktionieren der Brute-Force-Software erschweren. Falls der Benutzer oder Angreifer ein falsches Passwort eingibt, wird die Option zur Eingabe eines anderen Passworts erst nach kurzer Zeit angezeigt . Es ist auch möglich, die Wartezeit zu erhöhen, wenn die Anzahl der erfolglosen Versuche zunimmt. Um noch einen Schritt weiter zu gehen, wie es Apple nach dem Angriff getan hat, ist es möglich, das Benutzerkonto nach einer bestimmten Anzahl von Registrierungsversuchen vollständig zu sperren .

Multi-Faktor-Authentifizierungsmethoden werden häufig von vielen Anbietern als Option angeboten. Mit diesen erschweren Sie den Registrierungsprozess etwas, da der Benutzer zusätzlich zum Passwort eine zusätzliche Komponente eingeben muss. Diese Komponente kann die Antwort auf eine geheime Frage, eine PIN oder ein sogenanntes Captcha sein . Bei letzteren handelt es sich um kleine Tests, mit denen die Benachrichtigungsbehörde feststellen kann, ob es sich um einen menschlichen Benutzer oder, wie bei Brute-Force-Angriffen üblich, um einen Roboter handelt.

Zusätzlich zu den oben genannten Maßnahmen gibt es einige zusätzliche Tricks, um Brute-Force-Angriffe zu verhindern. In der Regel alle Brute – Force – Software arbeitet mit verschiedenen Identifikationsmuster, die ein Hindernis wird, zum Beispiel, wenn Standard – Fehlermeldungen werden nicht an den Browser zurückgeschickt, sondern umgeleitet an ein externes System (p. z. B. auf eine andere Website). Ein weiterer Faktor, der für einige Hacking-Tools Probleme bereiten kann, ist die Verwendung unterschiedlicher Namen für die Felder und Texte , die nach einem fehlgeschlagenen Anmeldeversuch angezeigt werden. In jedem Fall ist es immer ratsam, gleichzeitig verschiedene Schutzmaßnahmen gegen Brute-Force-Angriffe zu ergreifen, wenn Sie die Sicherheit Ihrer Website und Ihrer Passwörter erhöhen möchten.

Für einige Plattformen und Anwendungen gibt es spezielle Plugins oder Erweiterungen, um Brute-Force-Angriffe zu verhindern. Das Jetpack-Add-On, das im Prinzip die Verwaltung von Webseiten in WordPress erleichtert, hat beispielsweise ein Modul zur Verhinderung gefährlicher Angriffe integriert, das auf einer Liste blockierter IP-Adressen basiert. Die in dieser Liste gesammelten IP-Adressen stehen in irgendeiner Beziehung zu allen Brute-Force-Angriffen, die auf WordPress-Websites ausgeführt werden.