Brute Force-Attacken

So wehren Sie Angriffe ab

04.10.2016
Von 
Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.
Mit Brute-Force-Attacken versuchen Hacker in Webseiten, Netzwerke und Server einzudringen. Wir erklären, wie Sie sich gegen diese fiese Angriffstechnik wehren.

Brute Force-Attacken gehören seit Jahren zu den bekanntesten Angriffen auf Netzwerke. Dabei versuchen Angreifer die Kennwörter durch eine Kombination zahlreicher Zeichen, inklusive Sonderzeichen zu erraten. Vor allem für Webdienste stellen solche Angriffe eine große Gefahr dar.

Für wen sind Brute Force-Angriffe gefährlich?

Brute-Force-Attacken sind vor allem für Serverdienste gefährlich, die im Internet zur Verfügung gestellt werden. Aber auch im internen Netzwerk können Brute-Force-Attacken durchgeführt werden, wenn Rechner mit Malware infiziert werden. Früher dauerten die Angriffe sehr lange, da die Kombinationen erst berechnet werden mussten. Durch die hohe Geschwindigkeit aktueller Netzwerke, Internetverbindungen und Prozessoren beschleunigen sich auch die Angriffe und kommen schneller zum Ziel. Administratoren und Entwickler sollten sich daher Gedanken drüber machen, wie solche Angriffe verhindert werden können.

Wirksamer Schutz vor Brute Force

Um Benutzerkonten so optimal wie möglich vor Brute-Force-Angriffen zu schützen, sollten diese so kompliziert wie möglich aufgebaut sein. Groß- und Kleinbuchstaben sollten genauso enthalten sein wie Zahlen und Sonderzeichen. Echte Wörter sollten keine enthalten sein, und auch nicht Teile des Benutzernamens. Viele Hacker nutzen Wörterbücher für Angriffe, daher sollte es selbstverständlich sein, dass Kennwörter von Anwendern nicht im Duden stehen. Dieser Schutz ist einer der wichtigsten überhaupt.

Um die Anmeldung noch sicherer zu gestalten, sollten Webdienste nicht nur mit Benutzernamen und Kennwörtern arbeiten, sondern mit Mehrwege-Authentifizierung. Diese kann aus einer PIN bestehen, weiteren Anmeldedaten wie geheime Fragen, oder die Bestätigung der Anmeldung per App oder SMS. Das verkompliziert die Anmeldung, erhöht aber die Sicherheit der Benutzer deutlich. Anwender können ihre Konten auf Webdiensten auf diesem Weg auch selbst schützen, indem sie die Mehrwege-Authentifizierung selbst aktivieren und nutzen, wenn Webdienste das anbieten.

Brute Force-Attacken_6
Brute Force-Attacken_6

Auch der Kennwortmechanismus sollte abgesichert werden. Benutzer, die zu oft ihr Kennwort falsch schreiben, sollten gesperrt werden. Um den Aufwand der Entsperrung zu vermeiden, lässt sich die Sperre natürlich auch an Zeitintervalle binden. Dadurch werden Brute-Force-Angriffe zwar nicht verhindert, aber ausgebremst. Allerdings laufen Sie in diesem Fall Gefahr, dass haufenweise Benutzerkonten Ihres Webdienstes gesperrt werden. Hier sollte also ein guter Kompromiss gefunden werden. Oftmals ist das Sperren von Benutzerkonten kein optimaler Weg, sollte aber geprüft werden. Durch gesperrte Konten können Hacker außerdem in Erfahrung bringen, welche Benutzerkonten tatsächlich vorhanden sind. Sinnvoll ist dieser Schutz zum Beispiel in internen Netzwerken.

In jedem Fall sollte das Zeitintervall zwischen der Eingabe von Kennwörtern erhöht werden, das bremst auch Brute-Force-Angriffe aus. Durch diese Eingabepausen lassen sich Angriffe oft effizienter verhindern, als durch das Sperren des Kontos. Mit jedem falschen Kennwort sollte sich das Intervall weiter erhöhen.

Mit erhöhten Zeitintervallen bei fehlerhaften Anmeldungen lassen sich Bruteforce-Angriffe verhindern.
Mit erhöhten Zeitintervallen bei fehlerhaften Anmeldungen lassen sich Bruteforce-Angriffe verhindern.

Webseiten gegen Brute-Force-Angriffe optimieren

Viele Brute-Force-Programme warten beim Eingeben der Kennwörter auf die Standard-Fehlermeldungen der Webseiten. Diesen Sachverhalt können Sie für sich nutzen und die Standard-Meldungen Ihres Webdienstes ändern. Auch wenn Fehler erscheinen, macht es Sinn, diese Meldung nicht an den Browser zurückzusenden, sondern eine Umleitung an ein externes System vorzunehmen, zum Beispiel eine andere Webseite. Auf dieser erhalten Anwender dann die Information, dass ihr Kennwort falsch eingegeben wurde. Für Anwender ist diese Vorgehensweise transparent. Da die meisten Brute-Force-Angreifer aber mit automatisierten Tools arbeiten, werden diese dadurch ausgebremst. Zwar lassen sich die Tools entsprechend anpassen, dennoch erreichen Sie auf diesem Weg schon einen weiteren Schutz.

Auch die Namen der Eingabefelder und der entsprechende Rückgabetext sollte so angepasst werden, dass Programme nicht erkennen, ob die Anmeldung erfolgreich oder erfolglos war.