19Aug

Brute-Force-Attacken erklärt: Wie alle Verschlüsselung ist anfällig

Schlüssel-in-Sperre

Brute-Force-Angriffe sind ziemlich einfach zu verstehen, aber schwer zu schützen. Verschlüsselung ist Mathematik, und wenn Computer in Mathe schneller werden, werden sie schneller alle Lösungen ausprobieren und sehen, welche passt.

Diese Angriffe können gegen jede Art von Verschlüsselung mit unterschiedlichem Erfolg eingesetzt werden. Brute-Force-Angriffe werden mit jedem Tag schneller und effektiver, wenn neuere, schnellere Computer-Hardware veröffentlicht wird.

Brute-Force-Grundlagen

Brute-Force-Angriffe sind einfach zu verstehen. Ein Angreifer verfügt über eine verschlüsselte Datei - z. B. Ihre LastPass- oder KeePass-Kennwortdatenbank. Sie wissen, dass diese Datei Daten enthält, die sie sehen möchten, und sie wissen, dass es einen Verschlüsselungsschlüssel gibt, der sie entsperrt. Um sie zu entschlüsseln, können sie damit beginnen, jedes einzelne mögliche Passwort auszuprobieren und zu sehen, ob dies zu einer entschlüsselten Datei führt.

Sie tun dies automatisch mit einem Computerprogramm, so dass die Geschwindigkeit, mit der jemand die Verschlüsselung erzwingen kann, zunimmt, da die verfügbare Computerhardware immer schneller wird und mehr Berechnungen pro Sekunde ausführen kann. Der Brute-Force-Angriff würde wahrscheinlich bei einstelligen Passwörtern beginnen, bevor er zu zweistelligen Passwörtern usw. übergeht und alle möglichen Kombinationen ausprobiert, bis einer funktioniert.

Ein "Wörterbuchangriff" ist ähnlich und probiert Wörter in einem Wörterbuch - oder eine Liste allgemeiner Passwörter - anstelle aller möglichen Passwörter aus. Dies kann sehr effektiv sein, da viele Leute so schwache und gängige Passwörter benutzen.

Warum Angreifer keine Web-Dienste erzwingen können

Es gibt einen Unterschied zwischen Online- und Offline-Brute-Force-Angriffen. Wenn sich ein Angreifer zum Beispiel mit Gewalt in Ihr Google Mail-Konto eindrängen möchte, kann er versuchen, jedes einzelne mögliche Passwort auszuprobieren. Google wird sie jedoch schnell sperren. Dienste, die Zugriff auf solche Konten gewähren, drosseln Zugriffsversuche und verbieten IP-Adressen, die versuchen, sich so oft anzumelden. Daher würde ein Angriff auf einen Online-Dienst nicht so gut funktionieren, da nur wenige Versuche unternommen werden können, bevor der Angriff gestoppt wird.

Zum Beispiel zeigt Gmail nach einigen fehlgeschlagenen Anmeldeversuchen ein CATPCHA-Bild an, um zu bestätigen, dass Sie kein Computer sind, der automatisch Kennwörter ausprobiert. Sie werden wahrscheinlich Ihre Anmeldeversuche vollständig beenden, wenn Sie es lange genug geschafft haben.

Google Mail-Captcha

Angenommen, ein Angreifer hat eine verschlüsselte Datei von Ihrem Computer erfasst oder einen Online-Dienst kompromittiert und solche verschlüsselten Dateien heruntergeladen. Der Angreifer hat nun die verschlüsselten Daten auf seiner eigenen Hardware und kann beliebig viele Passwörter ausprobieren. Wenn sie Zugriff auf die verschlüsselten Daten haben, können sie nicht daran gehindert werden, in kurzer Zeit eine große Anzahl von Kennwörtern auszuprobieren. Selbst wenn Sie eine starke Verschlüsselung verwenden, ist es für Sie von Vorteil, Ihre Daten sicher zu verwahren und sicherzustellen, dass andere Benutzer nicht darauf zugreifen können.

Hashing

Starke Hashalgorithmen können Brute-Force-Angriffe verlangsamen. Im Wesentlichen führen Hashing-Algorithmen zusätzliche mathematische Arbeiten an einem Passwort durch, bevor sie einen Wert speichern, der aus dem Passwort auf der Festplatte abgeleitet wurde. Wenn ein langsamerer Hashalgorithmus verwendet wird, wird es tausendmal so viel mathematische Arbeit erfordern, um jedes Passwort zu testen und Brute-Force-Angriffe drastisch zu verlangsamen. Je mehr Arbeit jedoch erforderlich ist, desto mehr Arbeit muss ein Server oder ein anderer Computer jedes Mal ausführen, wenn sich der Benutzer mit seinem Kennwort anmeldet. Software muss Resilienz gegen Brute-Force-Angriffe mit Ressourcennutzung ausgleichen.

Brute-Force-Geschwindigkeit

Geschwindigkeit hängt alles von der Hardware ab. Geheimdienste können spezialisierte Hardware nur für Brute-Force-Angriffe entwickeln, genau wie Bitcoin-Minenarbeiter ihre eigene spezialisierte Hardware entwickeln, die für Bitcoin-Mining optimiert ist. Wenn es um Consumer-Hardware geht, ist die effektivste Art von Hardware für Brute-Force-Angriffe eine Grafikkarte( GPU).Da es sehr einfach ist, viele verschiedene Verschlüsselungsschlüssel auf einmal zu testen, sind viele parallel laufende Grafikkarten ideal.

Ende 2012 meldete Ars Technica, dass ein 25-GPU-Cluster jedes Windows-Passwort unter 8 Zeichen in weniger als sechs Stunden knacken könnte. Der von Microsoft verwendete NTLM-Algorithmus war einfach nicht robust genug. Wenn NTLM jedoch erstellt wurde, hätte es viel länger gedauert, alle diese Kennworte zu versuchen. Dies wurde nicht als eine Bedrohung für Microsoft angesehen, um die Verschlüsselung stärker zu machen.

Die Geschwindigkeit nimmt zu, und in einigen Jahrzehnten werden wir vielleicht feststellen, dass selbst die stärksten kryptografischen Algorithmen und Verschlüsselungsschlüssel, die wir heute verwenden, von Quantencomputern oder anderen Hardware, die wir in Zukunft verwenden, schnell geknackt werden können.

25-GPU-Passwort-Cracking-Cluster

Schutz Ihrer Daten vor Brute-Force-Angriffen

Es gibt keine Möglichkeit, sich vollständig zu schützen. Es ist unmöglich zu sagen, wie schnell die Computer-Hardware wird und ob die heute verwendeten Verschlüsselungsalgorithmen Schwächen haben, die in Zukunft entdeckt und genutzt werden. Hier sind jedoch die Grundlagen:

  • Schützen Sie Ihre verschlüsselten Daten dort, wo Angreifer keinen Zugriff darauf haben. Sobald sie Ihre Daten auf ihre Hardware kopiert haben, können sie Brute-Force-Angriffe gegen sie in Ruhe ausprobieren.
  • Wenn Sie einen Dienst ausführen, der Anmeldungen über das Internet akzeptiert, stellen Sie sicher, dass er Anmeldeversuche begrenzt und Personen blockiert, die versuchen, sich in kurzer Zeit mit vielen verschiedenen Kennwörtern anzumelden. Server-Software ist in der Regel so eingestellt, dass dies standardmäßig erfolgt, da dies eine gute Sicherheitsvorkehrung ist.
  • Verwenden Sie starke Verschlüsselungsalgorithmen wie SHA-512.Stellen Sie sicher, dass Sie keine alten Verschlüsselungsalgorithmen mit bekannten Schwachstellen verwenden, die leicht zu knacken sind.
  • Verwenden Sie lange, sichere Passwörter. Die gesamte Verschlüsselungstechnologie der Welt wird nicht helfen, wenn Sie "Passwort" oder das allseits beliebte "hunter2" verwenden.

Brute-Force-Angriffe müssen beim Sichern Ihrer Daten, beim Auswählen von Verschlüsselungsalgorithmen und beim Auswählen von Kennwörtern berücksichtigt werden. Sie sind auch ein Grund, weiter kryptografische Algorithmen zu entwickeln - die Verschlüsselung muss mithalten, wie schnell sie durch neue Hardware unwirksam gemacht wird.

Bildkredit: Johan Larsson auf Flickr, Jeremy Gosney