Die einfachste Gegenmaßnahme gegen Brute-Force Attacken ist, keine Passwörter zu verwenden. Smart-Cards, Token oder Einmal-Passwörter hebeln Brute-Force-Angriffe effektiv aus. „Jedes beliebige Passwort, welches Format es auch immer haben mag, kann letztlich geknackt werden“, mahnt Mike Puglia, Product Manager beim Sicherheitshersteller Bluesocket. Wenn es nicht ohne Passwort geht, ist eine strenge Policy vonnöten, die lange Passwörter erzwingt, sie häufig wechseln lässt und Zahlen, Sonderzeichen und Groß- und Kleinschreibung durchsetzt. Es gibt im Internet kleine Trainingstools, um Mitarbeitern beizubringen, wie man solche Ungetüme entwirft und sich merkt. Am einfachsten mit der guten, alten Eselsbrücke: Der Satz: „Am 14. ist Valentinstag, nicht vergessen!“ ergäbe zum Beispiel „A14iVnv!“.
Man kann Hacker auch mit ihren eigenen Waffen schlagen. Zum Beispiel indem man die eigenen Passwörter mit ihren Tools testet. Das geht unter anderem mit „John the Ripper“. der mit Unix, Windows, DOS, BeOS und Open VMS arbeitet. Die Software führt eine Brute Force-Attacke durch, loggt sich jedoch nie ein, so dass der Account nicht gesperrt wird. Auf der gleichen Website gibt es eine OSS-Software, die nur Passwörter zulässt, die John nicht knacken konnte.
Die Software „Hydra“ ist ein Login-Cracker für Telnet, FTP, HTTP, HTTPS, HTTP-Proxy, LDAP, SMB, SMBNT, MS-SQL, MYSQL und viele Protokolle und Anwendungen mehr. Wer die eigenen Passwörter damit checkt, wird schnell feststellen, wo noch Nachholbedarf ist. Dort findet sich auch der „pptp-Bruter“, der gegen den TCP-Port 1723 eingesetzt werden kann, um VPN-Endpunkte zu knacken. das Tool nutzt eine Lücke in Microsofts Anti-Brute-Force-Maßnahmen und erlaubt dem Angreifer 300 Login-Versuche pro Sekunde. Toralv Dirro von McAfee hat entnervt zu einer ganz anderen Maßnahme gegriffen: Er hat seinen SSH-Zugang auf einen anderen als den Standard-Port gelegt, damit automatisierte Attacken ihn nicht mehr finden. Es ist zwar ein Rückzug, aber das ist ihm gleich: „Ich war es einfach leid“, seufzt der Sicherheitsexperte. Doch mit „AMAP“ ist der nächste VPN-Server schnell gefunden. Die Software testet, welcher Dienst sich hinter welchem Port verbirgt, indem es die Antworten auf Anfragen interpretiert.
Neueste Kommentare
3 Kommentare zu Brute-Force: Passwörter knacken mit roher Gewalt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Ab nächstem Jahr verboten
Hi.
Wäre es nicht so, dass ab dem nächsten Jahr, wenn die Verschärfung der "Computergesetze" der Bundesregierung durchgesetzt werden, dieser Artikel verboten wäre!? Immerhin werden ja konkrete Programme genannt, die Passwörter knacken könnten und somit schaden könnten.
AW: Ab nächstem Jahr verboten
Ich habe mal eine frage danke im vorraus und bitte privat zurück schrieben
ich verstehe das nicht das ist doch alles illegal so dumm hier gehen welche drauf dan wissen die das man damit pw knacken kann und auch bei browsergamse wie bei mir bei die stämme hat jetzt auch einer mein pw gehackt das ist nicht okey sowas ich habe mich richtig geärgert solange dafür gespielt bis ich mal 933.000 punkte hatte und nun naja ist er futsch der typ hat mich sogar angeschrieben!nene.
BWas sind das für Maßnahmen
In der Regel sperrt man einen Account nach 3-5 versuchen.
Dann ist er erst entweder nach einer Benachrichtigung des Besitzers wieder verwendbar oder nach einer gewissen vorgegebenen Zeit.
Also verstehe ich nicht ganz was das für massnahmen sein sollen?