Woerterbuchangriff

Unter einem Wörterbuchangriff versteht man die Methode einer Kryptoanalyse. Hierbei sollen mittels einer Wörterliste Benutzernahmen bzw. Passwörter herausgefunden und somit geknackt werden.

Diese Methode wird dahingehend eingesetzt, weil die meisten Benutzernamen und Passwörter, welche von den Usern vergeben werden, aus einer sinnvollen Zeichenkombination (Wörtern) besteht.

Erfolgsversprechend ist diese Methode jedoch nur, wenn bei dem Angriff in kürzester Zeit enorm viele Wörter ausprobiert werden. Dementsprechend eignen sich digitale Wörterbücher bzw. von Angreifern selbst erstellte und im Internet zum Verkauf/Kauf angebotene Listen.

Was bezwecken jedoch diese Angreifer damit bzw. welche Angriffziele besitzen sie?
Man muss hierbei jedoch zwischen 2 Varianten dieses Angriffs unterscheiden.

Variante A – aktiver Angriff
Hierbei handelt es sich um eine Instanz, welche die Korrektheit des Passwortes überprüft und dementsprechend unbefugten Zugriff auf fremdes User-Konto erzeugen kann.

Beispiel – Knacken eines User-Kontos auf einer Webseite (Angreifer kann sich dadurch
mit Account des geschädigten Users auf Webseite anmelden)

Diese aktiven Angriffe stoßen jedoch an ihre Grenzen, denn meist ist ein Einloggversuch auf Webseiten beschränkt, d. h. der User kann sich nur 3 mal falsch am System anmelden (danach ist er für gewisse Zeit gesperrt). Der anzugreifende User wird dabei meist über seinen Account informiert, wenn Unregelmäßigkeiten bei seinem LogIn aufgetreten sind. Zudem hinterlässt der Angreifer auch Spuren auf dem Server.

Variante B – passiver Angriff
Hierbei wird das Passwort nicht mittels einer Instanz überprüft. Das korrekte Passwort führt dabei durch den Einsatz eines speziellen Verschlüsselungsverfahrens zu einer direkten Entschlüsselung des gewünschten Textes. Der angreifende User kann dabei eine erheblich höhere Anzahl von Passwörtern in geringerer Zeit ausprobieren. Die Geschwindigkeit hängt dabei allein von der Performance der Soft- und Hardware des angreifenden Users ab.

Funktionalität des Wörterbuchangriffs
Die Technik des Wörterbuchangriffes leitet sich von der Brute-Force-Methode ab.

Brute-Force-Methode:
Es handelt sich hierbei um ein Durchprobieren sämtlicher möglicher Kombinationen von Benutzernamen und Passwörtern, welche in Frage kommen. Die Länge der beiden Komponenten (Benutzernamen und Passwort) wird seitens der Systeme, auf dem sie eingesetzt werden, beschränkt.

Der Wörterbuchangriff ist dabei eine Weiterentwicklung der Brute-Force-Methode. Die Technik des Durchprobierens beleibt dementsprechend beibehalten. Der Wörterbuchangriff greift jedoch auf spezielle Listen zurück, welche z. B. beliebte Passwörter oder Duden enthalten können. Seit einiger Zeit gibt es auch schon so genannte Combo-Listen. Diese Listen sind so aufgebaut, dass die Kombination von Benutzernamen und Passwort schon vorgegeben ist und somit das angreifende System diesen Schritt nicht mehr selbst ausführen muss.

Bei solchen Angriffen sind die angreifenden User jedoch auf gute Listen angewiesen, um eine Chance zu besitzen, die Kombination (Benutzernamen + Passwort) bzw. das Passwort herauszufinden. Typische Passwörter werden jedoch recht spielend mit dieser Methode herausgefunden.

Gegenmaßnahmen
Ein User kann sich jedoch effektiv gegen solche Angriffe und deren Folgen schützen.

1. Auswahl des Passworts
Einer der wichtigsten Punkte ist die Auswahl eines sicheren Passworts.

Passwort = pass ? schlechte Wahl
– Es ist ein sinnvolles Wort, welches zudem im Duden steht.
– Alle Buchstaben sind Klein geschrieben.
– Passwort enthält nur 4 Zeichen.
– Passwort enthält keine Ziffern und Sonderzeichen.

Passwort = (Pa1@1oW) ? sehr gutes Passwort
- Es handelt sich dabei um kein sinnvolle Wort, welches irgendwo nachlesbar ist
- Die Buchstaben sind in Groß- und Kleinschreibung.
- Das Passwort besteht auch 8 Zeichen (8 Zeichen sollte Minimum sein)
- Das Passwort enthält zudem Ziffern und Sonderzeichen.

2. Einschränkung der Passworteingabe
- Bei der Programmierung von Anmeldemasken (wo Benutzernamen und Passwort eingegeben werden) könnte man bei Falscheingabe der Daten eine Warteschleife einbauen.
? Dies kann jedoch auch zu Behinderung der zugelassenen User
führen.

3. Abspeicherung von Passwörtern
- Bei der serverseitigen Abspeicherung von Passwörtern sollte darauf geachtet werden, dass diese nicht im Klartext abgespeichert werden. Hierfür sollte eine lediglich ein Hashwert abgespeichert werden.

[ Zurück zum Anfang ]