Eigentlich sollten Intrusion-Detection-Systeme (IDS) Brute-Force-Angriffe aufspüren. Doch auch die Angreifer wissen, dass man ihrem Treiben auf der Spur ist: „Sie versuchen möglichst subtil und unerkannt in die System einzubrechen, damit die Netzwerksniffer nicht Alarm schlagen“, erklärt Garry Siddaway, Head of Product Marketing EMEA bei Cybertrust. Es ist eine schwierige Balance: Ein IDS-System, das sofort Alarm schlägt, wenn ein Benutzer sein Passwort vergessen hat und ein paar Möglichkeiten durchprobiert, ist genauso schlecht wie eines, das 100.000 Log-In-Versuche übersieht. „Ein intelligentes IDS muss zwischen sporadisch vorkommenden und permanenten Fehlversuchen differenzieren“, fordert Hermann Klein, Country-Manager DACH beim Sicherheitsspezialisten Stonesoft. Nur wenn ein ernster Hintergrund erkennbar ist, sollte das System Alarm schlagen oder sogar automatisch reagieren. Ärgerlich ist allerdings, wenn dann ein Außendienstmitarbeiter aus dem System ausgeschlossen wird. „Die Technologie ist schon sehr weit, aber man muss trotzdem die Logfiles genau beobachten, um Attacken zu identifizieren“, meint Siddaway, und dafür hätten viele Administratoren keine Zeit oder nicht die richtige Ausbildung.
WLAN – kaum gesichert
WLANs sind notorische Angriffsziele von Brute-Force-Attacken. WEP gilt schon seit Jahren als unsicher und das Lightweight Extensible Authentication Protocol (LEAP) von Cisco fiel 2003 einer Sicherheitslücke zum Opfer. Ein Tool von Sicherheitsexperte Joshua Wright fing den Anmeldedatenaustausch ab und führte dann einen Off-Line-Brute-Force-Angriff aus. Binnen Minuten waren alle für LEAP genutzten Passwörter geknackt. Komplexe Passwörter bleiben von dem Angriff unberührt, wie Cisco einwendet, trotzdem sollten mit WPA2-verschlüsselte Daten mittels PEAP oder TLS-Authentisierung getunnelt werden.
Neueste Kommentare
3 Kommentare zu Brute-Force: Passwörter knacken mit roher Gewalt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Ab nächstem Jahr verboten
Hi.
Wäre es nicht so, dass ab dem nächsten Jahr, wenn die Verschärfung der "Computergesetze" der Bundesregierung durchgesetzt werden, dieser Artikel verboten wäre!? Immerhin werden ja konkrete Programme genannt, die Passwörter knacken könnten und somit schaden könnten.
AW: Ab nächstem Jahr verboten
Ich habe mal eine frage danke im vorraus und bitte privat zurück schrieben
ich verstehe das nicht das ist doch alles illegal so dumm hier gehen welche drauf dan wissen die das man damit pw knacken kann und auch bei browsergamse wie bei mir bei die stämme hat jetzt auch einer mein pw gehackt das ist nicht okey sowas ich habe mich richtig geärgert solange dafür gespielt bis ich mal 933.000 punkte hatte und nun naja ist er futsch der typ hat mich sogar angeschrieben!nene.
BWas sind das für Maßnahmen
In der Regel sperrt man einen Account nach 3-5 versuchen.
Dann ist er erst entweder nach einer Benachrichtigung des Besitzers wieder verwendbar oder nach einer gewissen vorgegebenen Zeit.
Also verstehe ich nicht ganz was das für massnahmen sein sollen?