Password-Angriffe: Brute Force, Dictionary, Rainbow Tables

Passwörter sind der häufigste Authentifizierungsmechanismus – und einer der am leichtesten angreifbaren. Im Pentest spielen Passwort-Angriffe auf zwei Ebenen eine Rolle: Online-Angriffe (direkt gegen Login-Formulare) und Offline-Angriffe (gegen erbeutete Passwort-Hashes). Die Methoden unterscheiden sich fundamental in ihrer Geschwindigkeit: Ein Online-Angriff ist durch Netzwerklatenz auf einige tausend Versuche pro Sekunde begrenzt; ein Offline-Angriff mit GPU kann Milliarden Hashes pro Sekunde prüfen.

Drei grundlegende Angriffsmethoden prägen das Feld: Brute Force (alle Kombinationen durchprobieren), Dictionary-Angriff (Wörterbuch bekannter Passwörter) und Rainbow Tables (vorberechnete Hash-Nachschlagetabellen). Ergänzt werden sie durch hybride Methoden und Credential-Stuffing aus Datenlecks.

1) Passwort-Stärke und Cracking-Zeit

Wie lange dauert es, ein Passwort zu knacken? Das hängt von Länge, Zeichenmenge und dem Hashing-Algorithmus ab. Gib unten ein Passwort ein und sieh die geschätzten Cracking-Zeiten für verschiedene Methoden.

Passwort-Stärke-Analyse – Cracking-Zeit-Schätzung

–

Die Zeiten gelten für Brute-Force gegen den MD5-Hash mit einer High-End-GPU (100 Mrd. Versuche/s). Gegen bcrypt-12 dauert es 10 Millionen Mal länger – weil bcrypt pro Hash 4096 Iterationen braucht. Das zeigt, warum der Hashing-Algorithmus so wichtig ist wie die Passwort-Länge. Details: Passwörter richtig hashen.

2) Angriffs-Methoden im Detail

Angriffs-Methoden – Klicke für Details

In der Praxis werden diese Methoden kombiniert: Zuerst Dictionary-Angriff mit den häufigsten 10 Millionen Passwörtern (rockyou.txt), dann Hybrid-Angriff (Wörterbuch + Variationen), dann Brute Force für verbleibende kurze Passwörter. Werkzeuge: Hashcat (offline), John the Ripper (offline), Hydra/Medusa (online).

3) Gegenmaßnahmen

Schutzmaßnahmen gegen Passwort-Angriffe

Passwort-Hashing mit bcrypt/Argon2: Macht Offline-Angriffe um Faktor 10 Millionen langsamer. MD5 oder SHA-256 allein reichen nicht. Details: Passwörter richtig hashen.

MFA (Multi-Faktor-Authentifizierung): Selbst bei bekanntem Passwort kein Zugang ohne zweiten Faktor. FIDO2/Passkeys sind phishing-resistent. Details: Authentifizierung und MFA.

Rate-Limiting und Account-Lockout: Maximal 5–10 Fehlversuche pro Minute. Nach X Fehlversuchen: temporäres Sperren oder CAPTCHA. Verhindert Online-Brute-Force effektiv.

Passwort-Richtlinie und HaveIBeenPwned-Check: Mindestlänge 12 Zeichen. Abgleich gegen bekannte Leak-Datenbanken beim Setzen (pwned passwords API). Keine Pflicht zum regelmäßigen Ändern ohne Anlass (BSI empfiehlt das seit 2022).

Passwort-Manager empfehlen: Nutzer die Passwort-Manager verwenden, haben automatisch einzigartige, zufällige Passwörter für jeden Dienst. Credential-Stuffing schlägt dann fehl, weil jede Seite ein anderes Passwort hat.

Zusammenfassung

Methode	Prinzip	Geeignet gegen	Gegenmaßnahme
Brute Force	Alle Kombinationen	Kurze Passwörter	Lange Passwörter, Rate-Limiting
Dictionary	Bekannte Passwörter	Wörter, Variationen	Kein Wort als Passwort, HaveIBeenPwned
Rainbow Tables	Vorberechnete Hashes	Unsalted Hashes (MD5)	Salt + bcrypt/Argon2
Password Spraying	1 Passwort, viele User	Organisationen mit Default-PW	MFA, Passwortrichtlinien
Credential Stuffing	Geleakte Paare	Wiederverwendete Passwörter	Passwort-Manager, MFA

Password-Angriffe: Brute Force, Dictionary, Rainbow Tables

1) Passwort-Stärke und Cracking-Zeit

2) Angriffs-Methoden im Detail

3) Gegenmaßnahmen

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title