NEU Pwnitoring - Data Breach Monitoring
Zurück zum Blog
Dr. Dominik Schürmann
January 22, 2025

Brute-Force-Angriffe auf Passwort-Manager: So schützen Sie Ihre Passwörter

Passwort-Manager bieten eine einfache und sichere Möglichkeit, Passwörter zu speichern und zu verwalten. Doch wie widerstandsfähig sind sie gegenüber Brute-Force-Angriffen? Diese Art von Angriff zielt darauf ab, Master-Passwörter durch systematisches Ausprobieren zu knacken – ein Risiko, das durch Designentscheidungen von Passwort-Managern unterschiedlich stark mitigiert werden kann.

Brute-Force-Angriffe: Ein Überblick

Ein Brute-Force-Angriff erfolgt, indem ein Angreifer so viele Kombinationen des Master-Passworts wie möglich ausprobiert, bis der Zugang gelingt. Solche Angriffe sind besonders dann effektiv, wenn Angreifer unbegrenzt viele Versuche durchführen können, ohne dass der Anbieter oder der Nutzer davon erfährt. Wesentliche Faktoren für den Erfolg eines solchen Angriffs sind:

  1. Offline-Zugriff auf verschlüsselte Daten: Wenn ein Passwort-Tresor kopiert und lokal bearbeitet werden kann, besteht keine Möglichkeit, den Angriff zu erkennen oder zu stoppen.
  2. Technische Ressourcen: Günstige Hardware und spezialisierte Software ermöglichen es, selbst komplexe Master-Passwörter vergleichsweise schnell zu knacken.
  3. Design des Systems: Systeme, die keine Begrenzung der Versuche oder keine zusätzlichen Schutzmaßnahmen implementieren, sind anfälliger.

Ein erschwerender Faktor ist, dass Angriffe offline stattfinden können, wenn der verschlüsselte Tresor einmal entwendet wurde. Dies macht herkömmliche Passwort-Manager zu einem attraktiven Ziel.

Typische Schwachstellen herkömmlicher Passwort-Manager

Herkömmliche Passwort-Manager basieren häufig auf einem zentralen Master-Passwort, das den Zugriff auf alle gespeicherten Daten erlaubt. Dabei ergeben sich einige Schwachstellen:

  • Unbegrenzte Versuche: Da der Tresor offline bearbeitet werden kann, gibt es keine Möglichkeit, die Anzahl der Versuche zu begrenzen.
  • Hohe Attraktivität für Angreifer: Ein einmal entwendeter Tresor kann dauerhaft angegriffen werden, ohne dass der Anbieter eingreifen kann.
  • Kosten für Angreifer: Schon mit überschaubaren Ressourcen können Angreifer ein 12-stelliges Master-Passwort durch systematisches Ausprobieren knacken.

Diese Schwächen führen dazu, dass Angriffe oft skaliert werden können, was das Risiko für Nutzer erhöht.

Schutzmaßnahmen gegen Brute-Force-Angriffe

Um Brute-Force-Angriffe zu erschweren, setzen manche Systeme auf alternative Ansätze:

  1. Multi-Faktor-Authentifizierung (MFA): Der Zugriff erfordert nicht nur ein Passwort, sondern auch einen zweiten Faktor wie ein Gerät, eine PIN oder biometrische Daten.
  2. Begrenzte Versuche: Systeme, die nur eine bestimmte Anzahl von Eingabeversuchen erlauben, erschweren systematisches Ausprobieren.
  3. Physischer Zugriff: Lösungen, die den Zugang an registrierte Geräte koppeln, schützen davor, dass Angreifer ohne physischen Zugriff erfolgreich sind.

Beispiel: Sicherheitsansatz von heylogin

Ein konkretes Beispiel für eine alternative Lösung ist heylogin. Statt eines zentralen Master-Passworts setzt dieses System auf registrierte Geräte und eine zusätzliche PIN. Um Zugriff zu erhalten, müsste ein Angreifer nicht nur die PIN erraten, sondern auch physisch das registrierte Gerät – beispielsweise das Smartphone – in seinen Besitz bringen. Diese physische Barriere macht Brute-Force-Angriffe äußerst unattraktiv, da sie nicht aus der Ferne (remote) durchgeführt werden können und somit nicht skalierbar sind.

Selbst wenn ein Gerät gestohlen wird, gibt es zusätzliche Schutzmechanismen: Nach maximal 9 fehlgeschlagenen PIN-Eingaben (zum Beispiel bei iOS) wird der Zugriff gesperrt. Damit wird der Aufwand für einen Angreifer unverhältnismäßig hoch, während der potenzielle Nutzen gering bleibt. Dieses Design sorgt dafür, dass sich ein Angriff für den Angreifer schlichtweg nicht lohnt.

Fazit

Die Widerstandsfähigkeit eines Passwort-Managers gegen Brute-Force-Angriffe hängt maßgeblich von seinem Design ab. Systeme, die auf zentrale Passwörter verzichten, Angriffsversuche begrenzen und den Zugriff an physische Geräte binden, bieten einen höheren Schutz. Nutzer sollten diese Aspekte bei der Wahl eines Passwort-Managers berücksichtigen.

Jetzt effektiv vor Brute-Force-Angriffen schützen

Kostenlos startenDemo buchenKostenlos starten