Brute-Force: Passwörter knacken mit roher Gewalt

Eigentlich sollten Intrusion-Detection-Systeme (IDS) Brute-Force-Angriffe aufspüren. Doch auch die Angreifer wissen, dass man ihrem Treiben auf der Spur ist: „Sie versuchen möglichst subtil und unerkannt in die System einzubrechen, damit die Netzwerksniffer nicht Alarm schlagen“, erklärt Garry Siddaway, Head of Product Marketing EMEA bei Cybertrust. Es ist eine schwierige Balance: Ein IDS-System, das sofort Alarm schlägt, wenn ein Benutzer sein Passwort vergessen hat und ein paar Möglichkeiten durchprobiert, ist genauso schlecht wie eines, das 100.000 Log-In-Versuche übersieht. „Ein intelligentes IDS muss zwischen sporadisch vorkommenden und permanenten Fehlversuchen differenzieren“, fordert Hermann Klein, Country-Manager DACH beim Sicherheitsspezialisten Stonesoft. Nur wenn ein ernster Hintergrund erkennbar ist, sollte das System Alarm schlagen oder sogar automatisch reagieren. Ärgerlich ist allerdings, wenn dann ein Außendienstmitarbeiter aus dem System ausgeschlossen wird. „Die Technologie ist schon sehr weit, aber man muss trotzdem die Logfiles genau beobachten, um Attacken zu identifizieren“, meint Siddaway, und dafür hätten viele Administratoren keine Zeit oder nicht die richtige Ausbildung.

WLAN – kaum gesichert

WLANs sind notorische Angriffsziele von Brute-Force-Attacken. WEP gilt schon seit Jahren als unsicher und das Lightweight Extensible Authentication Protocol (LEAP) von Cisco fiel 2003 einer Sicherheitslücke zum Opfer. Ein Tool von Sicherheitsexperte Joshua Wright fing den Anmeldedatenaustausch ab und führte dann einen Off-Line-Brute-Force-Angriff aus. Binnen Minuten waren alle für LEAP genutzten Passwörter geknackt. Komplexe Passwörter bleiben von dem Angriff unberührt, wie Cisco einwendet, trotzdem sollten mit WPA2-verschlüsselte Daten mittels PEAP oder TLS-Authentisierung getunnelt werden.