Brute-Force-Angriff
Brute-Force probiert systematisch alle möglichen Kombinationen durch, um Passwörter, Keys oder PINs zu knacken. Zeit hängt von Keyspace und Rechenleistung ab.
detaillierte erklärung
Ein Brute-Force-Angriff ist eine Trial-and-Error-Methode, die alle möglichen Kombinationen durchprobiert. Beispiel: 4-stellige PIN = 10^4 = 10.000 Versuche (max 10.000 Sekunden bei 1 Versuch/Sekunde). Varianten: 1) Simple Brute-Force - Alle Kombinationen (aaaa, aaab, aaac...). 2) Dictionary-Attack - Nur Wörter aus Wörterbuch (schneller, wenn Passwort gängig). 3) Hybrid-Attack - Wörterbuch + Mutationen (Password123, P@ssword!). Keyspace-Berechnung: Anzahl_Zeichen^Länge. 8 Zeichen, Lowercase (26) = 26^8 = 208 Milliarden. GPU-Cracking: Moderne GPUs schaffen Milliarden Hashes/Sekunde (bcrypt/Argon2 verlangsamen das). Online vs Offline: Online (Login-Formular) ist langsam (Rate-Limiting), Offline (gestohlene Hash-Datenbank) ist schnell. Schutzmaßnahmen: Lange Passwörter (12+ Zeichen), starke Hashing-Algorithmen (Argon2, bcrypt, nicht MD5/SHA1), Account-Lockout, Rate-Limiting, 2FA.
warum ist das wichtig?
Brute-Force ist grundlegende Angriffstechnik - du musst Keyspace-Berechnungen verstehen, um Passwort-Policies zu rechtfertigen (warum 12 Zeichen Minimum?). Essentiell für Passwort-Cracking (hashcat, John the Ripper) in Pentesting.
häufige fehler
- ⚠Brute-Force ist immer langsam - Nein, Offline-Attacks mit GPUs sind extrem schnell (Milliarden Hashes/Sek)
- ⚠Lange Passwörter sind unnötig - Nein, jedes zusätzliche Zeichen vergrößert Keyspace exponentiell
- ⚠Brute-Force nur für Passwörter - Nein, auch für Verschlüsselungs-Keys, Session-Tokens, PINs