Wörterbuchangriff (Dictionary-Attack)
Author
Robin Laufenburg, Mi, 13. Okt. 2021
in IT-Sicherheit

Wörterbuchangriff (Dictionary-Attack)

Wie Sie sich vor Wörterbuchangriffen schützen

Dass Wörterbücher dazu missbraucht werden, Ihre IT lahmzulegen, klingt wie der Beginn eines schlechten Witzes. Leider ist das aber Realität. Denn Wörterbücher und andere Wortlisten beinhalten eine Vielzahl an Begriffen, die gleichzeitig auch beliebte Passwörter oder Bestandteile von Passwörtern sind.

Wie Sie sich vor Wörterbuchangriffen schützen, erfahren Sie hier!

Was ist ein Wörterbuchangriff?

Beim Wörterbuchangriff (auch Wortlistenagriff oder Dictionary-Attack genannt) handelt es sich um einen Hackerangriff, bei dem Cyberkriminelle gängige Wörter, Wortkombinationen und Ausdrücke aus einer elektronischen Wortliste testen, um damit Passwörter zu knacken. Beim Wörterbuchangriff handelt es sich um eine Angriffsmethode des Passwortdiebstahls, bei der verschiedene potenzielle Zeichenfolgen automatisiert als Passwort ausprobiert werden.

Wörterbuchangriffe sind dann besonders erfolgreich, wenn es sich bei einem Passwort um eine logische Zeichenkombination handelt und beispielsweise konkrete Begriffe oder Namen beinhalten.  Leider neigen Menschen seit jeher dazu, diese Art von Passwörtern favorisiert zu verwenden. Das geht auch immer wieder aus Bestenlisten der beliebtesten Passwörter hervor.

Dictionary Attack

Wörterbuchangriffe (Dictionary Attacks) zielen darauf ab, mittels Wortlisten Passwörter herauszufinden. Bild: Pexels/Snapwire

Gegenmaßnahme: Passphrasen als Passwörter

Als entgegenwirkende Maßnahme zur Passwortsicherheit haben heute viele Webseiten und Programme entsprechende Passwortregeln eingeführt, die für die Passwortwahl Ziffern und Sonderzeichen sowie Groß- und Kleinbuchstaben erfordern. Auf diese Weise sollen Personen dazu bewegt werden, möglichst komplexe Kennwörter zu nutzen. Solche machen es Angreifern schwerer, Passwörter erfolgreich zu knacken und damit ins entsprechende Benutzerkonto zu gelangen.

Passphrasen bestehen stets aus zufälligen, abstrakten und damit komplexen Zeichenfolgen, die nicht durch naheliegende Herleitungen zu entschlüsseln sind. Sie sind der beste Schutz vor Wörterbuchangriffen und anderen Passwortdiebstahl-Methoden. Die wenigsten Benutzer haben jedoch echte Passphrasen im Einsatz. Beliebter sind Kennwortkombinationen aus konkreten Begriffen, Zahlen und Sonderzeichen.

Was ist eine Wordlist bzw. Wortliste?

Die Antwort auf die Frage, was eine Wordlist oder Wortliste ist, ist denkbar einfach: Wordlists oder Wortlisten sind gigantische Datenblätter mit Begriffen, Namen, Ausdrücken und Phrasen. Eine der ältesten Wordliste ist das Wörterbuch, das deshalb auch Namensgeber für die entsprechende Angriffsart ist. Nicht jeder Wörterbuchangriff muss jedoch auch ein wirklich existierendes Wörterbuch als Wortliste nutzen.

Ganz im Gegenteil. Das ist heute nämlich nur noch ausgesprochen selten der Fall. Es finden sich in den meisten Wordlists, die für Wortlistenangriffe genutzt werden, komplexere Kennwörter mit Buchstaben oder Sonderzeichen. Besonders beliebt sind Wortlisten, die aus in der Vergangenheit geknackten oder durch Datenlecks bekanntgewordenen Passwörtern bestehen. Zum Teil umfassen solche Wortlisten heute hunderte Millionen Passwörter und werden im Darknet verkauft oder von verschiedenen Kriminellen zusammengetragen.

Ein erfolgreicher Wörterbuchangriff ist also auch dann möglich, wenn Ihr Passwort wirklich sicher scheint. Es gilt dabei jedoch nach wie vor: Umso individueller ein Passwort ist, desto schwieriger ist es mittels Wörterbuchangriff zu knacken.

Wortlisten

Wortlisten werden als Zusammenstellungen von Begriffen, Ausdrücken und Phasen erstellt. Bild: Unsplash/SydWach

Wörterbuchangriff vs. Brute-Force-Angriff

Beim Wörterbuchangriff handelt es sich um eine Unterart des Brute-Force-Angriffs bzw. um eine Brute-Force-Technik. Brute-Force-Attacken sind dabei stupide Cyberangriffe, die mittels Trial And Error („Versuch und Fehler“) immer wieder und wieder versuchen, Passwörter zu knacken.

Herkömmliche Brute-Force-Angriffe funktionieren ähnlich wie Wörterbuchangriffe, nutzen aber keine statischen Wortlisten, also Wörterbücher. Vielmehr versuchen sie mithilfe von Zeichenkombinationen, die eine KI mittels Deep Learning individuell generiert, Passwörter zu knacken.

Solche KI-Codes sind in der Regel Bestandteil von Cracking-Software, die bei Brute-Force-Angriffen eingesetzt wird. Während Wörterbuchangriffe in der Regel eher bei einfachen Passwörtern erfolgreich sind, werden traditionelle Brute-Force-Angriffe häufiger beim Knacken von kryptischen Passwörtern eingesetzt.

Ziele von Wörterbuchangriffen

Das Ziel eines Wörterbuchangriffs ist stets das Aneignen fremder Passwörter. Sind Cyberkriminelle erfolgreich, können sie auf Benutzerprofile zugreifen, personenbezogene Daten abgreifen oder Identitätsdiebstahl begehen. Wörterbuchangriffe können gegen Webseiten, zugriffsbeschränkte Systeme und Programme, Dienste oder persönliche Konten auf Social Media & Co. eingesetzt werden. Überall, wo es Passwörter gibt, können Kriminelle versuchen, sie mittels Wörterbuchangriff zu knacken.

Viele Websites sperren ein Nutzerkonto nach drei falschen Anmeldeversuchen und benachrichtigen den User in Form einer E-Mail oder SMS. Hierbei handelt es sich um eine Maßnahme gegen Brute-Force-Angriffe und Wörterbuchangriffe, denn diese sind durch das Trial-And-Error-Prinzip darauf ausgelegt, endlos viele Versuche (Trials) zu haben. Eine weitere Maßnahme, die Websites häufiger umsetzen, um automatisierte Wörterbuchangriffe zu verhindern, ist die Limitierung auf eine feste Anzahl an Eingabeversuchen innerhalb einer bestimmten Zeit.

Wordlists

Digitale Angreifer setzen nicht selten auf Brute-Force-Techniken wie Wörterbuchangriffe, um Fremdsysteme zu infiltrieren. Bild: Pexels/SoraShimazaki

Schutz vor Wörterbuchangriffen

Leider können Sie nicht sicherstellen, dass Sie nicht Opfer eines fiesen Wörterbuchangriffs werden. Die wahrscheinlich einfachste und gleichzeitig sinnvollste Maßnahme ist jedoch die Wahl von möglichst individuellen und komplexen Passwörtern, bei denen es sich optimal auch um Passphrasen handelt.

Verwenden Sie keines dieser Passwörter auf mehreren Webseiten oder Programmen parallel. Für einen besonders effizienten Schutz vor automatisierten Cyberattacken wie Wörterbuchangriffen sollten Sie Ihre Zugänge übrigens mit einer Zwei-Faktor-Authentifizierung wie beispielsweise mit einer zusätzlichen biometrischen Authentifizierung schützen.

Zudem sollten Sie Ihre Passwörter zentral mithilfe eines Passwort-Managers speichern. Ein solches Programm hat den Vorteil, dass es selbst komplexe Passwörter erstellen kann und Sie sich nur noch ein einziges merken müssen.

Passwortsicherheit von PC-SPEZIALIST

Wie Sie Ihre Passwörter mit Passwort-Manager verwalten, erfahren Sie in unserem Ratgeber. Sind Sie interessiert daran, sich einen Passwort-Manager installieren zu lassen? Dann ist PC-SPEZIALIST in Ihrer Nähe der geeignete Ansprechpartner für Sie!

Gehen Sie noch einen Schritt weiter: Denn auf der absolut sicheren Seite sind Sie mit dem Eins-für-Alles-Paket für Privatpersonen. In der täglichen Systemkontrolle fallen verdächtige Aktivitäten sofort auf und auch das Patch-Management ist Teil des Eins-für-Alles-Pakets.

Für Firmen beginnt die IT-Sicherheit bereits mit der IT-Ausstattung und endet erst bei der IT-Betreuung. Nur wer neue Geräte mit aktuellster Software hat, zudem den Virenschutz und die Firewall nicht vernachlässigt, ist vor Cyberangriffen relativ sicher. Besten Schutz bietet hier aber der IT-Basisschutz, bei dem unsere IT-Experten Ihre Technik kontinuierlich überwachen und so Angriffe proaktiv verhinderen.

_______________________________________________

Weiterführende Links: IT Security Wissen, Computerwelt.at, Secupedia, IT-Forensik Wiki, ITWissen.info

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.