Was versteht man eigentlich unter "Brute-Force-Attacken"?
Bei Attacken dieser Art kommt die Namensgebende „Brute-Force-Methode“ zum Einsatz. Übersetzt bedeutet „Brute-Force“ soviel wie „rohe Gewalt“, was die Methode sehr gut beschreibt:
In der IT und Kryptologie werden bei Anwendung der Methode alle möglichen Varianten und Kombinationen „durchprobiert“. Im Falle einer Brute-Force-Attacke werden also solange Nutzernamen- und Passwörter versucht, bis ein Login zustande kommt.
Die Kombinationen werden dabei natürlich nicht vom Angreifer – dem „Hacker“ – selbst eingegeben. Viel mehr verwendet dieser einen simplen Algorithmus, um automatisiert eine möglichst hohe Zahl an verschiedenen Zeichenkombinationen auszuprobieren.
Was kann ich tun, um mich vor einer Brute-Force-Attacke zu schützen?
Es gibt verschiedene Möglichkeiten, um sich vor Brute-Force-Attacken effektiv zu schützen.
Am besten wird eine Kombination aus mehreren der folgenden Schutz-Methoden verwendet, um eine möglichst hohe Sicherheit zu erreichen:
Das Passwort
Eine der häufigsten Schwachpunkte in Sicherheitssystemen sind zu einfache Passwörter. Wir haben hierzu bereits einen ausführlichen Artikel geschrieben, in dem wir detailliert auf Passwörter eingehen.
Das beste Mittel gegen Brute-Force-Attacken stellt ein sicheres Passwort mit mindestens 10-12 Zeichen, Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben dar. Deswegen sind das auch die Mindestanforderungen für Passwörter bei unseren Internetlösungen.
Der Benutzername
Nicht immer ist ein Benutzername frei wählbar. Wenn jedoch ein Benutzername festgelegt werden kann, empfiehlt es sich, keinen gängigen Namen wie „Admin“ oder „Benutzer“ zu wählen.
Bei Brute-Force-Attacken werden, wenn der Benutzername nicht bekannt ist, die am häufigst verwendeten Begriffe (z. B. „Admin“) verwendet. Durch das Festlegen eines individuellen Nutzernamens, kann das „Ausprobieren“ von Kombinationen zusätzlich erschwert werden.
„Verstecken“ des Login-Bereichs
Durch das „Verstecken“ des Anmeldebereichs wird es dem Angreifer erschwert, diesen überhaupt zu finden. Die meisten Brute-Force-Attacken im Internet finden auf gängige „Login-Links“ wie z. B. „www.beispiel.de/login“ statt. Verändert man den Zugriffslink, ist der Zugangspunk für den Angreifer deutlich schwerer zu finden. Nachdem die meisten Angriffe dieser Art auf „Masse“ setzen, werden so die aller meisten Brute-Force-Attacken bereits im Vorfeld vermieden.
Zwei-Faktor-Authentisierung
Bei der Zwei-Faktor-Authentisierung wird neben der Eingabe der Zugangsdaten noch ein „zweiter Faktor“ benötigt, um eine Anmeldung abzuschließen. Hierbei kann zum Beispiel eine Bestätigungs-E-Mail an die im System hinterlegte Adresse gesendet werden oder eine Bestätigung per App oder SMS erfolgen.
Bei der Zwei-Faktor-Authentisierung empfiehlt es sich, zwei unabhängige Geräte zu verwenden – z. B. den Computer zur Anmeldung und das Smartphone zur Bestätigung. Viele Zwei-Faktor-Authentisierungen setzen nur auf ein Gerät (z. B. App & SMS). Wenn jedoch das Gerät infiziert ist, kann häufig auf beide „Faktoren“ durch den Angreifer zugegriffen werden.
Login Begrenzung & Verzögerung
Um Brute-Force-Attacken auszubremsen, können Loginversuche verzögert oder blockiert werden. Hierbei wird nach falscher Eingabe von Zugangsdaten der nächste Loginversuch zunächst um wenige Sekunden verzögert. Die Verzögerung wird dann für jeden weiteren falschen Versuch weiter erhöht, bis der Login vollständig blockiert wird.
Um sich nicht selbst „auszusperren“ erfolgt die Blockierung dabei allerdings i. d. R. nur für eine bestimmte IP-Adresse oder einen IP-Adressbereich. Hierdurch können „bessere“ Brute-Force-Attacken durch Wechsel der IP-Adressen weiterhin Angriffe durchführen.
Wir bei webORBIS setzten natürlich auf eine Kombination aus allen oben genannten Sicherheitsmethoden. Weiter verwenden wir auf allen Internetlösungen Blacklists, Virenscanner und Firewalls, sowie Benutzersteuerungen und Rollen-Systeme um eine maximale Sicherheit zu gewährleisten.
Beim Thema Sicherheit setzen Sie mit webORBIS also auf den richtigen Partner. Wenn Sie sich für eine sichere Weblösung interessieren, freuen wir uns Sie in einem unverbindlichen Gespräch kennen zu lernen und zu beraten.