einem Dieb, der vor einem Zahlenschloss sitzt und einfach jede mögliche Zahlenkombination der Reihe nach ausprobiert, bis sich das Schloss schließlich öffnet
Was steckt dahinter?
Ein Brute-Force-Angriff funktioniert nach dem simplen, aber durchaus wirkungsvollen Prinzip, alle denkbaren Kombinationen systematisch durchzuprobieren, bis irgendwann die richtige gefunden ist – vergleichbar mit einem Dieb, der vor einem Zahlenschloss sitzt und einfach jede mögliche Zahlenkombination der Reihe nach ausprobiert, bis sich das Schloss schließlich öffnet. Bei einem digitalen Brute-Force-Angriff probiert ein automatisiertes Skript in sehr kurzer Zeit tausende oder gar Millionen unterschiedlicher Passwörter aus, in der Hoffnung, irgendwann zufällig auf das tatsächlich korrekte Passwort eines bestimmten Benutzerkontos zu treffen. Eine effizientere Variante dieses Angriffs, das sogenannte “Credential Stuffing”, nutzt dabei keine zufälligen Passwörter, sondern bereits bei früheren Datenlecks erbeutete, echte Kombinationen aus Benutzername und Passwort, da viele Menschen dasselbe Passwort leider für mehrere unterschiedliche Konten verwenden. Findet ein Angreifer also ein Datenleck eines beliebigen Dienstes, probiert er die dort erbeuteten Zugangsdaten anschließend automatisiert bei zahlreichen anderen Webseiten aus, in der Erwartung, dass ein gewisser Anteil der Nutzer dasselbe Passwort wiederverwendet hat. Wirksame Gegenmaßnahmen gegen Brute-Force-Angriffe umfassen ein konsequentes API Rate Limit beziehungsweise eine entsprechende Begrenzung von Login-Versuchen, die Verwendung ausreichend komplexer, einzigartiger Passwörter, sowie als besonders wirksamen zusätzlichen Schutz die Zwei-Faktor-Authentifizierung. Letztere macht selbst ein durch Brute-Force erfolgreich erratenes Passwort für einen Angreifer wertlos, solange ihm der zusätzliche, zweite Faktor zur Anmeldung fehlt.