Non-targeted Angriffe: Reverse Brute Force

Anna Lena Fehlhaber

Das Reverse Brute Force Verfahren ist ein auf Brute Force basierendes Verfahren, bei dem jedoch nicht einzelne Nutzer oder verschlüsselte Daten angegriffen werden, was einem targeted attack entsprechen würde, sondern beispielsweise ein Passwort oder ein Code gegen sehr viele verschiedene Nutzernamen getestet wird. Hierfür werden meist Datenbanken ausgelesen und genutzt, und ein einzelnes, wahrscheinliches Passwort, gegen die hinterlegten Daten durchprobiert.

Ein Beispiel eines Reverse Brute Force Angriffs findet sich in der Beschreibung zur Verwendung vertraulicher Informationen als Passwörter. Im Gegensatz zum Standard Brute Force Verfahren ist das Reverse Brute Force kein Angriff gegen ein spezifisches Ziel. Der Schutz vertraulicher Informationen zu dem spezifischen Account oder dem Datensatz helfen hier entsprechend nicht, um sich vor einem Reverse Brute Force Angriff zu schützen. Für beide Brute Force Varianten gilt, dass insbesondere dann, wenn das Material oder die Datenbank dem Angreifer offline zur Verfügung stehen, die Daten potenziell sehr gefährdet sind. Sind diese nur online vorhanden, und lässt sich aus diesen kein offline verfügbares Abbild erstellen, gestalten sich Brute Force Angriffe durch standardisierte Schutzmechanismen und Präventionsmaßnahmen gegen diese mittlerweile in vielen Bereichen als schwierig. Bei dem Reverse Brute Force negiert sich diese Schwierigkeit etwas, da jeder Account respektive jeder Datensatz nur ein, selten mehrmals getestet wird. Entsprechend sind die Schutzmechanismen, die für normale Brute Force Angriffe greifen, beispielsweise die Eingabe von Sicherheitsabfragen oder die Sperrung des Accounts, nur bedingt hilfreich. Maßnahmen zur Sicherheit gegen Reverse Brute Force kann im Fall von Accounts jeder  Nutzer selber einleiten, indem er sich bewusst macht, welche Passwortkategorien insgesamt häufig vertreten sind, und wie sich die semantische und syntaktische Struktur von Passwörtern gestalten, respektive welche Annahmen für diese bestehen. In Abstraktion von dem eigenen Account können dadurch gegen Reverse Brute Force Angriffe sichere Accounts erstellt werden. Ähnlich verhält es sich für verschlüsselte Daten. Von Vorteil ist es, wenn hier der Dateiname möglichst wenig Aufschluss über den Dateiinhalt gibt, da es spezielle Reverse und Standard Brute Force Verfahren gibt, die diese semantisch ordnen und gegen spezifische, wahrscheinliche Passwörter testen.

Verwendete Literatur:

  • Florencio und Herley (2007): A large-scale study of web password habits.
  • Kelley et al. (2012): Guess again (and again and again): Measuring password strength by simulating password-cracking algorithms.
  • Kornblatt (2011): When “most popular” isn’t a good thing: Worst passwords of the year – and how to fix them.
  • Shay et al. (2014): Can long passwords be secure and usable?
  • Stobbert und Biddle (2014): The password life cycle: User behaviour in managing passwords.
  • Ur et al. (2013): The art of password creation.
  • Ur et al. (2016): I added ‚!‘ to make it secure.

Leave a comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prev Post Next Post