Brute-Force-Angriffe erklärten, wie die gesamte Verschlüsselung anfällig ist
Brute-Force-Angriffe sind ziemlich einfach zu verstehen, aber schwer zu schützen. Verschlüsselung ist Mathematik, und da Computer schneller werden, können sie alle Lösungen ausprobieren und herausfinden, welche Lösung passt.
Diese Angriffe können gegen jede Art von Verschlüsselung mit unterschiedlichem Erfolg eingesetzt werden. Brute-Force-Angriffe werden mit jedem Tag schneller und effektiver, je mehr neue, schnellere Computerhardware verfügbar ist.
Brute-Force-Grundlagen
Brute-Force-Angriffe sind einfach zu verstehen. Ein Angreifer verfügt über eine verschlüsselte Datei, z. B. Ihre LastPass- oder KeePass-Kennwortdatenbank. Sie wissen, dass diese Datei Daten enthält, die sie sehen möchten, und sie wissen, dass es einen Verschlüsselungsschlüssel gibt, der sie entsperrt. Um es zu entschlüsseln, können sie jedes einzelne mögliche Passwort ausprobieren und sehen, ob dies zu einer entschlüsselten Datei führt.
Sie erledigen dies automatisch mit einem Computerprogramm, sodass die Geschwindigkeit, mit der jemand die Verschlüsselung brutal erzwingen kann, zunimmt, wenn die verfügbare Computerhardware immer schneller wird und mehr Berechnungen pro Sekunde ausgeführt werden können. Der Brute-Force-Angriff würde wahrscheinlich mit einstelligen Passwörtern beginnen, bevor er zu zweistelligen Passwörtern usw. wechselt und alle möglichen Kombinationen ausprobiert, bis eine funktioniert.
Ein "Wörterbuchangriff" ist ähnlich und versucht Wörter in einem Wörterbuch - oder eine Liste allgemeiner Kennwörter - anstelle aller möglichen Kennwörter. Dies kann sehr effektiv sein, da viele Leute solche schwachen und gebräuchlichen Passwörter verwenden.
Warum Angreifer Web Services nicht brutal erzwingen können
Es gibt einen Unterschied zwischen Online- und Offline-Brute-Force-Angriffen. Wenn sich ein Angreifer beispielsweise brutal in Ihr Google Mail-Konto einschalten möchte, kann er jedes einzelne mögliche Kennwort ausprobieren - aber Google sperrt sie schnell ab. Dienste, die Zugriff auf solche Konten bieten, behindern Zugriffsversuche und verbieten IP-Adressen, die versuchen, sich so oft anzumelden. Ein Angriff auf einen Online-Dienst würde daher nicht gut funktionieren, da nur wenige Versuche unternommen werden können, bevor der Angriff gestoppt wird.
Nach einigen fehlgeschlagenen Anmeldeversuchen zeigt Google Mail beispielsweise ein CATPCHA-Image an, um zu überprüfen, ob Sie kein Computer sind, der automatisch Kennwörter verwendet. Sie werden Ihre Anmeldeversuche wahrscheinlich vollständig beenden, wenn Sie es lange genug geschafft haben.
Nehmen wir an, ein Angreifer hat eine verschlüsselte Datei von Ihrem Computer abgefangen oder es geschafft, einen Online-Dienst zu gefährden und solche verschlüsselten Dateien herunterzuladen. Der Angreifer hat die verschlüsselten Daten nun auf seiner eigenen Hardware und kann beliebig viele Passwörter ausprobieren. Wenn sie Zugriff auf die verschlüsselten Daten haben, können sie nicht verhindern, dass sie in kurzer Zeit eine große Anzahl von Kennwörtern verwenden. Selbst wenn Sie eine starke Verschlüsselung verwenden, ist es zu Ihrem Vorteil, Ihre Daten zu schützen und sicherzustellen, dass andere nicht darauf zugreifen können.
Hashing
Starke Hash-Algorithmen können Brute-Force-Angriffe verlangsamen. Im Wesentlichen führen Hash-Algorithmen zusätzliche mathematische Arbeit an einem Kennwort durch, bevor ein vom Kennwort abgeleiteter Wert auf der Festplatte gespeichert wird. Wenn ein langsamerer Hash-Algorithmus verwendet wird, erfordert dies tausendfach so viel mathematische Arbeit, dass jedes Kennwort ausprobiert und Brute-Force-Angriffe drastisch verlangsamt werden. Je mehr Arbeit erforderlich ist, desto mehr Arbeit muss ein Server oder ein anderer Computer jedes Mal leisten, wenn sich der Benutzer mit seinem Kennwort anmeldet. Software muss die Widerstandsfähigkeit gegen Brute-Force-Angriffe durch die Ressourcennutzung ausgleichen.
Brute-Force-Geschwindigkeit
Geschwindigkeit hängt alles von der Hardware ab. Geheimdienste können spezielle Hardware nur für Brute-Force-Angriffe erstellen, genauso wie Bitcoin-Miner ihre eigene spezialisierte Hardware bauen, die für das Bitcoin-Mining optimiert ist. Wenn es um Consumer-Hardware geht, ist die effektivste Art von Hardware für Brute-Force-Angriffe eine Grafikkarte (GPU). Da es einfach ist, viele verschiedene Verschlüsselungsschlüssel gleichzeitig auszuprobieren, sind viele parallel laufende Grafikkarten ideal.
Ende 2012 berichtete Ars Technica, dass ein 25-GPU-Cluster jedes Windows-Kennwort mit weniger als 8 Zeichen in weniger als sechs Stunden knacken kann. Der von Microsoft verwendete NTLM-Algorithmus war einfach nicht robust genug. Bei der Erstellung von NTLM hätte es jedoch viel länger gedauert, alle diese Kennwörter auszuprobieren. Dies war keine Bedrohung für Microsoft, um die Verschlüsselung zu verstärken.
Die Geschwindigkeit nimmt zu und in einigen Jahrzehnten werden wir feststellen, dass selbst die stärksten kryptographischen Algorithmen und Verschlüsselungsschlüssel, die wir heute verwenden, schnell von Quantencomputern oder sonstiger Hardware, die wir in der Zukunft verwenden, knacken können.
Schutz Ihrer Daten vor Brute-Force-Angriffen
Es gibt keine Möglichkeit, sich vollständig zu schützen. Es ist unmöglich zu sagen, wie schnell Computerhardware wird und ob einige der heute verwendeten Verschlüsselungsalgorithmen Schwachstellen aufweisen, die in Zukunft entdeckt und genutzt werden. Hier sind jedoch die Grundlagen:
- Schützen Sie Ihre verschlüsselten Daten, wenn Angreifer keinen Zugriff darauf haben. Sobald sie Ihre Daten auf ihre Hardware kopiert haben, können sie in ihrer Freizeit Brute-Force-Angriffe unternehmen.
- Wenn Sie einen Dienst ausführen, der Anmeldungen über das Internet akzeptiert, stellen Sie sicher, dass Anmeldeversuche eingeschränkt werden und Personen blockiert werden, die versuchen, sich mit vielen verschiedenen Kennwörtern innerhalb kurzer Zeit anzumelden. Server-Software ist in der Regel darauf eingestellt, dies zu tun, da dies eine gute Sicherheitsmaßnahme ist.
- Verwenden Sie starke Verschlüsselungsalgorithmen wie SHA-512. Stellen Sie sicher, dass Sie keine alten Verschlüsselungsalgorithmen mit bekannten Schwachstellen verwenden, die leicht zu knacken sind.
- Verwenden Sie lange, sichere Passwörter. Die ganze Verschlüsselungstechnologie der Welt wird nicht helfen, wenn Sie "password" oder das allseits beliebte "hunter2" verwenden..
Brute-Force-Angriffe sind ein Grund zur Sorge, wenn Sie Ihre Daten schützen, Verschlüsselungsalgorithmen auswählen und Passwörter auswählen. Sie sind auch ein Grund, ständig stärkere kryptographische Algorithmen zu entwickeln - die Verschlüsselung muss mithalten, wie schnell sie durch neue Hardware unwirksam gemacht wird.
Bildnachweis: Johan Larsson auf Flickr, Jeremy Gosney