Brute Force-Angriff

Brute force attack

„Brute force“ bedeutet übersetzt „rohe Gewalt“. In der IT entspricht diese rohe Gewalt einem wenig raffinierten Vorgehen: wahllosem Ausprobieren. Bei einem „Brute Force“-Angriff wird versucht, Passwörter oder Schlüssel zu erraten, indem in kürzester Zeit möglichst viele Zeichenkombinationen errechnet und ausprobiert werden.

Was bedeutet „Brute Force“-Angriff im Detail?

„Brute Force“-Attacken werden automatisiert durchgeführt. Dadurch können Sie in sehr kurzer Zeit sehr viele Zeichenkombinationen errechnen und ausprobieren Aufgrund hoher Rechnerleistungen können pro Sekunde bis zu 2 Milliarden mögliche Passwörter errechnet werden. Ein Standardrechner kann ca. 1 Milliarde Kombinationsmöglichkeiten pro Sekunde errechnen. Je komplexer ein Passwort ist, desto mehr Zeit wird bei einem „Brute Force“-Angriff benötigt, um es zu errechnen und desto größer ist die Chance, dass dieser Angriff fehlschlägt. Je mehr unterschiedliche Zeichenarten genutzt werden und je länger das Passwort ist, desto komplexer ist es.

Ausgehend von einem Rechner, der 1 Milliarde Kombinationsmöglichkeiten pro Sekunde errechnet:

Ein Passwort mit 8 Zeichen, das nur aus Zahlen besteht (z. B. ein Geburtsdatum) ist in spätestens 0,1 Sekunden errechnet. Mit 9 Zeichen: 1 Sekunde.
Ein Passwort mit 8 Zeichen, die aus Groß- und Kleinbuchstaben bestehen, ist in spätestens 15 Stunden erraten. Mit 9 Zeichen: 33 Tage.
Ein Passwort mit 8 Zeichen, die sich aus Zahlen, Groß-, Kleinbuchstaben und Sonderzeichen zusammensetzen, benötigt bis zu 84 Tage Rechenzeit. Mit 9 Zeichen: 22 Jahre.
Bei vielen Brute Force Angriffe werden zusätzlich mit Listen häufiger Passwörtern (z. B. 123456, admin) genutzt

Bitte bedenken Sie: Es ist unwahrscheinlich, aber möglich, dass Ihr Passwort bei einer Brute Force Attacke zufällig zu den ersten errechneten Möglichkeiten gehört. Je komplexer Ihr Passwort ist, desto geringer ist diese Wahrscheinlichkeit.

Wo begegnet mir das Thema „Brute Force“ im Arbeitsalltag?

Es begegnet Ihnen prinzipiell bei jedem von Ihnen verwendeten Passwort. Achten Sie einmal darauf, wie diese zusammengesetzt werden. Je komplexer sie sind, desto besser sind Sie und Ihr Unternehmen vor einem Brute Force Angriff geschützt.

Was kann ich tun, um meine Sicherheit zu verbessern?

Nutzen Sie starke Passwörter. Je länger und je mehr unterschiedliche Zeichenarten (Zahlen, Großbuchstaben, Kleinbuchstaben, Sonderzeichen), desto besser.
Ersetzen Sie leicht zu erratene Passwörter (123456, admin, ichliebexxx usw.) durch komplexe Passwörter
Mischen Sie wo immer Sie können mehrere Zeichenarten (Zahlen, Großbuchstaben, Kleinbuchstaben, Sonderzeichen).
Fassen Sie sich nicht kurz. Je länger Ihr Passwort ist, desto besser.
Nutzen Sie ggf. einen Passwort-Manager, um diese komplexen Passwörter zu verwalten
Nutzen Sie wo immer möglich eine angebotene Zwei-Faktor-Authentisierung. Dadurch stoßen Cyberkriminelle selbst nach einem Errechnen Ihres Passwortes auf eine weitere Hürde.

‘Brute force’ means exactly what it says. In IT, this brute force corresponds to a rather unsophisticated approach: random trial and error. A brute force attack attempts to guess passwords or keys by calculating and trying out as many character combinations as possible in the shortest possible time.

What does a brute force attack mean in detail?

Brute force attacks are carried out automatically. This allows you to calculate and try out a large number of character combinations in a very short time. Thanks to high computing power, up to 2 billion possible passwords can be calculated per second. A standard computer can calculate approximately 1 billion possible combinations per second. The more complex a password is, the more time is needed to calculate it in a brute force attack and the greater the chance that the attack will fail. The more different types of characters are used and the longer the password is, the more complex it is.

Based on a computer that calculates 1 billion possible combinations per second:

A password with 8 characters consisting only of numbers (e.g. a date of birth) can be calculated in 0.1 seconds at the latest. With 9 characters: 1 second.
A password with 8 characters consisting of upper and lower case letters can be guessed in 15 hours at the latest. With 9 characters: 33 days.
A password with 8 characters consisting of numbers, upper and lower case letters and special characters requires up to 84 days of computing time. With 9 characters: 22 years.
Many brute force attacks also use lists of common passwords (e.g. 123456, admin).

Please note: It is unlikely, but possible, that your password will be one of the first possibilities calculated in a brute force attack. The more complex your password is, the lower this probability.

Where do I encounter the topic of ‘brute force’ in my everyday work?

In principle, you encounter it with every password you use. Pay attention to how they are composed. The more complex they are, the better you and your company are protected against a brute force attack.

What can I do to improve my security?

Use strong passwords.

The longer and the more different types of characters (numbers, upper-case letters, lower-case letters, special characters), the better.
Replace easily guessed passwords (123456, admin, ichliebexxx, etc.) with complex passwords
Mix several types of characters (numbers, upper-case letters, lower-case letters, special characters) wherever possible.
Don’t be brief. The longer your password is, the better.
If necessary, use a password manager to manage these complex passwords.
Wherever possible, use two-factor authentication. This creates an additional hurdle for cybercriminals even if they manage to guess your password.