Was ist Brute-Force-Angriff?
Ein Brute-Force-Angriff ist eine kryptoanalytische Methode, die versucht, ein Passwort, einen Verschlüsselungsschlüssel oder ein anderes Geheimnis zu ermitteln, indem systematisch alle möglichen Kombinationen getestet werden, bis der korrekte Wert gefunden wird.
Auch bekannt als: brute force, password cracking, exhaustive search
Brute-Force-Angriffe sind die einfachste Form des Angriffs gegen jedes Geheimnis: alle Möglichkeiten ausprobieren. Bei einer 4-stelligen PIN gibt es 10.000 Kombinationen – für einen Computer trivial. Bei einem 8-stelligen Kleinbuchstaben-Passwort gibt es etwa 209 Milliarden Kombinationen – mit moderner Hardware machbar. Bei einem 256-Bit-Verschlüsselungsschlüssel gibt es 2^256 Möglichkeiten – mit jeder nach bekannten physikalischen Gesetzen denkbaren Technologie rechnerisch nicht machbar.
In der Praxis führen Angreifer selten reine Brute-Force-Angriffe gegen Passwörter durch. Stattdessen verwenden sie optimierte Varianten: Wörterbuchangriffe (häufige Passwörter und Wörter testen), regelbasierte Angriffe (gängige Transformationen wie das Anhängen von Zahlen oder Zeichenersetzungen anwenden), Credential Stuffing (geleakte Passwörter aus anderen Datenverletzungen verwenden) und Rainbow-Table-Angriffe (vorberechnete Hash-Lookup-Tabellen verwenden). Diese Techniken nutzen die Vorhersehbarkeit menschlich gewählter Passwörter aus, um den Suchraum drastisch zu verkleinern.
Abwehrmechanismen gegen Brute-Force-Angriffe operieren auf mehreren Ebenen. Starke Passwörter und lange Verschlüsselungsschlüssel machen eine erschöpfende Suche unpraktikabel. Rate Limiting begrenzt die Anzahl der Versuche pro Zeitraum. Account-Sperrungsrichtlinien verhindern den Zugriff nach mehreren fehlgeschlagenen Versuchen. Schlüsselableitungsfunktionen wie PBKDF2 und bcrypt machen jeden Versuch rechenintensiv. Salting verhindert vorberechnete Lookup-Angriffe. Zusammen erhöhen diese Abwehrmechanismen die Kosten eines Brute-Force-Angriffs über jede praktische Schwelle hinaus.
Wie Vaulted Brute-Force-Angriff verwendet
Vaulted verteidigt sich gegen Brute-Force-Angriffe auf mehreren Ebenen. Der AES-256-GCM-Verschlüsselungsschlüssel ist ein zufälliger 256-Bit-Wert, was eine Brute-Force-Entschlüsselung rechnerisch unmöglich macht. Für Geheimnisse mit Passphrasenschutz verteuert PBKDF2 mit 100.000 Iterationen jeden Passwort-Rateversuch erheblich. Rate Limiting auf Serverseite (10 Erstellungen pro Minute, 30 Views pro Minute pro IP) verhindert schnelle automatisierte Versuche gegen die API. Und View-Limits stellen sicher, dass ein Geheimnis nach einer kleinen Anzahl von Zugriffen dauerhaft gelöscht wird und so das Fenster für wiederholte Rateversuche schließt.