Was ist brute force genau und was passiert da?
Ich habe im Internet gelesen das manche Leute ein brute force Programm benutzen um Passwörter zu knacken, aber was genau macht dieses Programm ?
Gibt es einfach random Passwörter ein oder was tut es genau? Dann macht es aber keinen Sinn wenn es zum Beispiel 5 Passwörter in einer Sekunde probiert oder ? Kennt sich damit jemand aus und weiss jemand was es genau macht?
5 Antworten
Brute force probiert systematisch jede Möglichkeit.
Das funktioniert immer, wenn man beliebig viele Versuche hat und Zeit keine Rolle spielt (spielt sie aber).
Es funktioniert normalerweise nicht interaktiv, z.B. zum Anmelden auf einer Webseite, denn da wird man meist nach einigen Fehlversuchen gesperrt.
Es könnte aber z.B. zum Entschlüsseln einer verschlüsselten Botschaft funktionieren, weil man das Offline machen kann.
Hat aber nur Sinn, wenn der Schlüssel sehr kurz ist oder das Verfahren schlecht entworfen wurde, wie z.B. LM Hash
"Brute-Force" Algorithmen probieren alle möglichen Eingabewerte aus, in diesem Fall Passwörter. Zunächst alle mit einem Buchstaben, dann alle mit 2 Buchstaben, usw. Per Brute-Force kommt man garantiert ans Ziel, allerdings kann das sehr lange dauern. Bei einem Zahlenschloss mit 4 Ziffern ist das noch machbar, denn man braucht im Durchschnitt 5000 Versuche. Für jede weitere Ziffer verlängert sich die Zeit um den Faktor 10. Bei den ca. 80 erlaubten Buchstaben von Passwörtern wird bei 8 oder 10 Buchstaben schon wirklich lang.
Es werden alle möglichen Passwörter durchprobiert. Nicht random, sondern nach einem sinnvollen Schema.
Z.B. probiert man mit Listen beliebter Passwörter erst Sachen wie "1234" oder "geheim". Wenn die Liste keinen Treffer bringt, probiert man alle Möglichkeiten.
Brute Force (rohe Gewalt) bedeutet man bricht ein Passwort durch systematisches probieren. Damit findet man beliebige Passwörter heraus, vor allem wenn die kurz sind.
Andere Methoden wären Wörterbuchattacken oder Rainbow Tables.
das stimmt, ist sicher bei den genannten Beispielen nicht so trennscharf. Brute Force braucht erst mal keinerlei Kontext- und Zusatzwissen. Wenn man Wörterbücher, Rainbow Tables usw. einsetzt nutzt man solches Wissen, probiert jedoch trotzdem. Und dann gibt es klare Fälle, wie echte Schwachstellen wie eine sql injection, bei der dann kein Probieren mehr anfällt -- das wäre dann ganz klar kein Brute Force mehr.
Sind die beiden Methoden nicht eigentlich nur eine spezielle Art von Brute Force? Brute Force beschreibt ja eigentlich nur das ausprobieren von Passwörtern mit dem Ziel das Passwort herauszufinden und das haben alle Methoden ja gemeinsam...