Brute-Force-Attacken: 5 Tipps um dagegen gewappnet zu sein

Philipp Zeder
Autor:

Philipp Zeder

Kategorie:

in

Internet & Recht

Veröffentlicht am 13. Jan. 2017

Aktualisiert am 10. Sept. 2024

Mit Brute-Force-Attacken versuchen Angreifer Websites zu kapern. Wir zeigen, was Brute-Force-Attacken genau sind und geben Tipps, wie Sie Ihre Website gegen solche Angriffe schützen.

Brute-Force-Attacken

5 Tipps, um gegen Brute-Force-Attacken gewappnet zu sein.

Was sind Brute-Force-Attacken?

Die Brute-Force-Methode (aus dem Englischen «brute force» = rohe Gewalt) im Kontext von Websites lässt sich einfach definieren: Angreifer versuchen Benutzername-Passwort-Kombinationen zu erraten, um sich Zugriff zur Administrationsoberfläche von Content-Management-Systemen wie WordPress, Joomla oder Drupal zu verschaffen.

Brute-Force-Attacken nehmen meistens Passwortlisten als Grundlage, die immer wieder einmal durchs Netz geistern. Sogenannte Wörterbuchangriffe sind deshalb so verbreitet, weil viele Nutzer schlechte Passwörter hinterlegt haben oder das identische Passwort mit mehreren Diensten nutzen. Werden bei einem dieser Dienste Passwörter entwendet, haben Angreifer leichtes Spiel und können sich auch bei anderen Diensten mit den ergatterten Benutzerdaten einloggen.

Doch keine Sorge: Mit wenig Aufwand schützen Sie sich effektiv davor, dass solche Angriffe auf Ihrer Website Erfolg haben.

5 Ratschläge für den Kampf gegen Brute-Force-Angriffe

Sie ahnen bestimmt schon, was unser erster Tipp ist. Genau:

1. Sichere Passwörter

Das beste Mittel gegen Eindringlinge, die Ihr Passwort erraten wollen, ist ein starkes Passwort. Ein sicheres Passwort

  1. besteht aus mindestens 8 Zeichen,
  2. enthält keine Wörter, die in einem Wörterbuch vorkommen,
  3. enthält keine Zeichenfolgen, die in einem näheren Zusammenhang mit Ihnen stehen (Geburtsdaten, Haustiernamen, etc.),
  4. enthält mindestens eine Zahl, ein Sonderzeichen und besteht aus Gross- und Kleinbuchstaben.
  5. und ganz wichtig: Wird nur mit einem Dienst verwendet.

Am einfachsten verwenden Sie dafür einen Passwortmanager, denn wer kann sich schon viele verschiedene Passwörter merken. Das kann ein lokales Programm wie KeePassX und Password Gorilla oder auch ein Dienst wie 1Password und LastPass sein, wenn Sie die Passwörter auf mehreren Geräten griffbereit haben möchten.

2. Login-Seite zusätzlich absichern

Die Login-Seiten für Content-Management-Systeme sind jeweils unter typischen Adressen erreichbar (das Beispiel WordPress unter /wp-admin). Dieses typische Merkmal machen sich Angreifer zur Nutze und setzen Login-Versuche automatisiert und gezielt auf diese Adressen ab. Versehen Sie die Login-Seite für die Administrationsoberfläche Ihrer Website mit einem zusätzlichen Passwort, benennen Sie die typische Adresse um (in WordPress zum Beispiel mit einem Plugin) oder erlauben Sie den Zugriff zur Login-Seite nur ausgewählten IP-Adressen.

3. Standardbenutzernamen ändern

Oft geben Content-Management-Systeme bei der Einrichtung einen Standardbenutzernamen vor. Im Beispiel WordPress lautet dieser admin. Wählen Sie gleich bei der Einrichtung einen anderen Benutzernamen oder ändern Sie den Namen nachträglich. Mit dieser kleinen Massnahme ist Ihre Website bereits für eine Mehrzahl der Brute-Force-Attacken ausserhalb der Schusslinie.

4. Zwei-Faktor-Authentifizierung einbauen

Bereits Punkt 2 folgt diesem Credo: Mit einem zweiten Schritt, der vor den eigentlichen Anmeldevorgang geschoben wird, sind Brute-Force-Attacken praktisch kein Thema mehr. Erweitern Sie die Login-Seite mit einem Captcha oder, noch besser, mit einer Zwei-Faktor-Authentifizierung (2FA). Damit ist für den erfolgreichen Login ein zusätzliches Element nötig, das in einer entsprechenden Smartphone-App oder per SMS geliefert wird.

5. Zusatzdienste verwenden

Mit den oben genannten Tipps sind Sie bereits ganz gut gegen erfolgreiche Brute-Force-Attacken abgesichert. Brute-Force-Attacken können je nach Grösse Auswirkungen auf die Performance Ihrer Website haben und zu einem regelrechten DDoS-Angriff mutieren. Anfragen der Angreifer fressen dabei die Serverressourcen, die für Anfragen von legitimen Besuchern Ihrer Website fehlen. Hier können Anbieter wie CloudFlare, Sucuri oder Incapsula helfen, die Angriffe bereits abzuwehren, bevor diese überhaupt erst Ihre Website erreichen.

Es kann jeden treffen

Die genannten Tipps helfen Ihnen, sich gegen Brute-Force-Angriffe zu wappnen. Seien Sie sich bewusst: Jede Website kann Ziel eines solchen Angriffs werden. Völlig unabhängig davon, ob die Website viel- oder wenigbesucht ist. Brute-Force-Angriffe verlaufen meistens völlig automatisiert und Angreifer interessiert es nicht, wie beliebt eine Website ist.

Haben Sie zusätzliche Massnahmen im Einsatz, um sich gegen Angriffe zu schützen? Hinterlassen Sie uns Ihre Tipps als Kommentar.

Beteilige dich an der Diskussion

6 Kommentare

Thomas T.
Thomas T. 23. Juli 2023 05:14

Meines Erachtens, der wichtigste Schutz vor Brute Force fehlt in der Liste:
Das Konto nach ca. 5 Fehlanmeldungen für eine gewisse Zeit blockieren. Das limitiert die Menge der Versuche, welche ein Angreifer machen kann ungemein. Bei mir sind es etwa 5 Versuche pro Tag, der ein Hacker machen kann. Da Brute Force darauf basiert, möglichst viele Versuche zu starten, wird ein solcher Angriff auch nach Jahren kaum zum Erfolg führen, insbesondere wenn die Andern Regeln auch noch eingehalten werden.

Tom Brühwiler
Tom Brühwiler cyon
26. Juli 2023 16:25

In der Tat ein guter Hinweis, Thomas. Auch für gängige CMS gibts hierzu inzwischen entsprechende Plugins.

Lukas Eck
Lukas Eck 9. Dez. 2021 11:16

@chuck

Eine Einfache Massnahme dagegen ist, sämtliche Login Versuche pauschal z.B. 2 Sekunden dauern zu lassen.

Chuck
Chuck 10. Jan. 2018 02:14

Der Prozessor des Rechners muß das eingegebene Paßwort ja mit
dem korrekten vergleichen. Je nachdem, wie viele Zeichen übereinstimmen, braucht er dafür ja eine unterschiedliche Zahl Zyklen. Könnte man jetzt also exakt messen, wie lange er für das Vergleichen bestimmter Zeichenfolgen braucht und das eventuell statistisch durch Wiederholungen über eine längere Zeitspanne absichern, könnte man ja theoretisch nach und nach alle Zeichen erraten? Nur mal so überlegt. Der Rechner verrät sich doch durch seine Rechenzeit. Hat aber anscheinend noch kein “Häcker” so gemacht, daß er extern mit einem Spezialgerät die Latenzzeit genau mißt und so abschätzt, wie viele Zeichen bereits richtig waren.
Ach so, auch deshalb sollte die Abfrage immer eine kleine Wartepause beinhalten?!
Dieser theoretische Sachverhalt wurde anscheinend noch nirgendwo erwähnt.

Philipp Zeder
Philipp Zeder cyon
11. Jan. 2018 15:14

Hi Chuck, beim erwähnten Verfahren handelt es sich um sogenannte «Timing Attacks». Krypto-Bibliotheken haben in der Regel bereits Gegenmassnahmen gegen solche Attacken eingebaut: https://de.wikipedia.org/wiki/Seitenkanalattacke#Rechenzeitangriff_(timing_attack)

theo
theo 16. Feb. 2017 10:11

Anmerkung zu Punkt 3.
Man kann Login Namen in WordPress meines wissens nach nur in der Datenbank ändern.
Und es ist ein leichtes den admin heraus zu finden über Author Pages, daher empfehle ich noch https://de-ch.wordpress.org/plugins/remove-author-pages/