Dictionary Attack2017-07-07T20:30:44+01:00

Dictionary Attack

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

Dictionary Attack

Dictionary Attack ist eine einfache aber effektive Methode Accounts zu hacken.

Hacker und andere Cyberkriminelle haben oft das Ziel, unberechtigten Zugang zu bestimmten Webseiten oder Diensten zu bekommen. Dazu gehören zum Beispiel Email Postfächer oder Accounts bei sozialen Netzwerken oder Onlineshops und ähnliche Anbieter. Der Hacker kann sich dann als der rechtmäßige User ausgeben und Falschmeldungen verbreiten oder auch Waren bestellen. Um ein Account zu hacken, können verschiedene Methoden verwendet werden. Eine davon ist ein so genannter Dictionary Attack.

Was ist ein Dictionary Attack?

Der Begriff heißt wörtlich übersetzt „Wörterbuchangriff“. Dabei handelt es sich um eine Methode, um Benutzernamen und/oder Passwort für ein Account herauszufinden, um darauf Zugriff zu erhalten. Ein Dictionary Attack wird verwendet, wenn zu erwarten ist, dass Benutzernamen und Passwort einen Sinn ergeben und nicht aus einer zufälligen Folge von Buchstaben, Zahlen und Zeichen bestehen. Viele User verwenden beispielsweise Namen, Geburtstag oder Wohnort von Familienmitgliedern oder Freunden als Passwörter. Derartige Kombinationen können mit einem Dictionary Attack in kurzer Zeit geknackt werden. Es gibt aktive und passive Angriffsziele. Ein aktives Angriffsziel ist beispielsweise die Webseite einer Bank. Die Seite überwacht die Übereinstimmung von Benutzernamen und Passwort. Gibt es nach dem dritten Versuch noch immer keine Übereinstimmung, wird der Zugang automatisch gesperrt. Anders bei passiven Angriffszielen, beispielsweise Dating Webseiten. Dort kann der Hacker in aller Ruhe so lange die verschiedenen Kombinationen ausprobieren, bis die Zugangsdaten geknackt sind.

Wie läuft ein Dictionary Attack ab?

Es gibt spezielle Programme, die Passwörter automatisch testen. Die bekanntesten dieser Programme sind Cain & Abel und John the Ripper. Sie erstellen Listen mit Wörtern und geben sie so lange ein, bis das passende gefunden ist. Benutzernamen und Passwort können separat ermittelt werden. Es gibt aber auch Optionen, bei denen beide Begriffe gleichzeitig ermittelt werden können. Das dauert in der Regel gar nicht so lange, wie viele Laien glauben. Der Wortschatz einer Sprache umfasst im Durchschnitt ungefähr 50.000 aktive Wörter. Ein moderner PC kann mehrere Hundert Millionen Rechenoperationen pro Sekunde ausführen. Das bedeutet, in weniger als einer Sekunde kann der Wortschatz mehrerer Sprachen überprüft werden. Die richtige Kombination wird oft in unter einer Minute gefunden.

Welchen Schutz gegen Dictionary Attacks gibt es?

Der beste Schutz besteht darin, als Benutzernamen und Passwort keine Begriffe zu verwenden, die leicht zu erraten oder herauszufinden sind. Vom Standpunkt der Kryptografie aus sind zufällige Kombinationen von Zahlen, Buchstaben und Zeichen am besten geeignet. Bei derartigen Kombinationen hat ein Dictionary Attack keine Aussichten auf Erfolg. Das Problem ist, dass man sich solche Kombinationen nicht merken kann. Es gibt zwar Programme, mit denen Benutzernamen und Passwörter gespeichert und verwaltet werden können, aber irgendeinen Begriff muss man sich letztendlich doch merken.

Als alternativen Schutz gegen Dictionary Attacks eignen sich Benutzernamen und Passwörter, die man sich zwar merken kann, bei denen aber beispielsweise Zahlen oder Sonderzeichen willkürlich eingefügt sind. Auch die Verwendung von Großbuchstaben mitten im Wort, anstatt wie üblich am Anfang, kann Dictionary Attacks ausbremsen bzw. erschweren. Davon abgesehen empfiehlt es sich auch, nicht ein und dasselbe Passwort für mehrere Accounts zu benutzen und es in regelmäßigen Abständen (mindestens alle 3 Monate) zu wechseln.