2017, Blog

Brute-Force-Angriff (Update)

Was ist ein Brute-Force-Angriff (Brute-Force = Rohe Gewalt)? Bei dieser Methode nutzt man in der Regel einen vorhandenen Pool an Lösungen, um die Richtige herauszufinden. Mit Hilfe von Passwortdatenbanken oder Rainbow-Tables werden bei Brute-Force-Attacken alle Einträge der Datenbanken automatisiert ausprobiert, um bspw. ein E-Mail-Konto, ein WLAN oder einen anderen Zugangspunkt zu knacken (auch: Wörterbuchattacke). In der reinen Lehre versucht man mit dem Ausprobieren aller möglichen Kombinationen Zugänge zu knacken. Der Aufwand ist jedoch zeitlich und von der Rechenleistung her zu groß. Deshalb sind vorhandene Datenpools eine einfachere Möglichkeit und zielen auf den Faktor Mensch, der leichte und beliebte Passwörter nutzt. (IMHO = Wörterbuchattacke und Brute-Force als Einheit gesehen).

Eine Brute-Force-Attacke ist im Grunde ein Angriff durch Probieren. Es geht dabei in der Regel um Passwörter. Brute-Force-Angriffe sind jedoch nur so effektiv wie umfangreich das genutzte Lösungspotential ist. Eine Passwortdatenbank mit 100 Einträgen hat weniger Chance erfolgreich zu sein, als eine Datenbank mit 1.000.000 Einträgen. Trotzdem müssten theoretisch alle existierenden Buchstaben-, Zahlen- und Sonderzeichenkombinationen in einer Datenbank vorhanden sein, oder eine Technik genutzt werden, die wirklich alle existierenden Kombinationen durchprobiert, um wirklich erfolgreich zu sein. Das heisst, dass Passworte wie: Kunt3rBun!#79 genauso wie KunderBundKunterBun!p9998§ oder kjcuqbv8bvV§Wv5w$$HqBbb$# dazu in jeder erdenklichen Sprache erfasst worden sein muss. Das ist eher unwahrscheinlich.

Ein langes und kompliziertes und nicht vorhersagbares Passwort schützt entsprechend vor Brute-Force-Angriffen. Brute-Force ist immer erfolgreich, wenn Nutzer Passwörter wie bspw. Susi1980, Pa$$w0rt! oder admin oder 1234567890 einsetzen. Datenbanken mit einfachen Wörtern und Passwörtern existieren in Unmengen. Auch Algorithmen, die einfach alle Kombinationen ausprobieren, können hier schnell ans Ziel kommen.

Ich arbeite parallel immer an einigen Projekten und Tests in diesem Bereich und habe mir dafür eine Brute-Force-Datenbank zusammengestellt. Die Datenbank umfasst etwas mehr als 80 Millionen Einträge und hat eine ungepackte Größe von ca. 850 MB.

Ich stelle sie hier als ZIP-Download (ca. 300 MB) zur Verfügung. Das Passwort für die Datenbank, um sie mit 7-zip (http://www.7-zip.de/) zu entpacken, lautet: kowabit

Download hier: https://kowabit.de/bruteforcedbdownload

Viel Spaß!

Tagged , , , , , ,