Was ist ein Brute-Force-Angriff einfach erklärt?

Ein Brute-Force-Angriff ist der Versuch, in ein Konto einzudringen, indem das Passwort durch schieres Ausprobieren erraten wird — automatisierte Software testet enorme Mengen möglicher Passwörter, bis eines funktioniert. Es gibt keinen cleveren Trick; alles beruht auf Geschwindigkeit und Masse. Erfolg hat er vor allem gegen schwache, kurze oder wiederverwendete Passwörter und gegen Anmeldesysteme, die nicht begrenzen, wie viele Versuche ein Angreifer unternehmen darf. Lange, einzigartige Passwörter und Zwei-Faktor-Authentifizierung machen ihn undurchführbar.

Wie lange dauert ein Brute-Force-Angriff?

Das hängt vollständig von der Länge und Zufälligkeit des Passworts ab. Jedes zusätzliche Zeichen vervielfacht die Zahl der möglichen Kombinationen, sodass ein kurzes oder gängiges Passwort in Sekunden fallen kann, während ein langes, zufälliges mehr Versuche erfordert, als in einem realistischen Zeitrahmen machbar sind. Genau das ist der Sinn der Länge: Sie macht das Erraten theoretisch nicht unmöglich, aber so langwierig, dass es sich nicht lohnt. Wiederverwendete oder geleakte Passwörter umgehen die Rechnerei komplett, weshalb auch Einzigartigkeit zählt.

Was ist der Unterschied zwischen Brute Force und einem Wörterbuchangriff?

Es sind Varianten derselben Idee. Ein reiner Brute-Force-Angriff probiert jede mögliche Zeichenkombination durch, beginnend mit der kürzesten. Ein Wörterbuchangriff ist schlauer und schneller: Er testet zuerst eine vorbereitete Liste wahrscheinlicher Passwörter — gängige Wörter, Namen, geleakte Passwörter und vorhersehbare Muster — weil die meisten schwachen Passwörter aus einer kleinen, erratbaren Menge stammen. Credential Stuffing geht noch weiter und verwendet echte Benutzername-Passwort-Paare wieder, die bei anderen Datenlecks abhandengekommen sind.

Stoppt die Zwei-Faktor-Authentifizierung Brute-Force-Angriffe?

Weitgehend ja — und genau deshalb ist sie so wertvoll. Selbst wenn ein Angreifer dein Passwort irgendwann errät, verlangt die Zwei-Faktor-Authentifizierung (2FA) einen zweiten Nachweis — einen Code aus einer App, einen Sicherheitsschlüssel oder einen Passkey — den der Angreifer nicht besitzt. Ein korrektes Passwort allein reicht also nicht zum Einloggen. 2FA macht dein Passwort nicht stark, aber sie sorgt dafür, dass ein erratenes oder geleaktes Passwort meist allein scheitert. Aktiviere sie überall, wo sie angeboten wird, idealerweise mit einer Authentifizierungs-App oder einem Passkey statt per SMS.

Wie schütze ich mich vor Brute-Force-Angriffen?

Drei Dinge decken den Großteil des Risikos ab. Verwende lange, einzigartige Passwörter — ein Passwort-Manager kann für jedes Konto ein zufälliges erzeugen und speichern, sodass nichts kurz, erratbar oder wiederverwendet ist. Aktiviere die Zwei-Faktor-Authentifizierung, damit ein erratenes Passwort nicht genügt. Und verwende Passwörter nicht über mehrere Seiten hinweg wieder, denn sonst öffnet ein einziges Leck jedes Konto, das es teilt. Starke Länge plus Einzigartigkeit plus 2FA machen das Knacken deiner Konten undurchführbar.

Was ist ein Brute-Force-Angriff? Wie er funktioniert und wie man ihn stoppt (2026)

Ein Brute-Force-Angriff ist die grundlegendste Hacking-Methode überhaupt — und noch immer eine der häufigsten, weil sie gegen schwache Passwörter weiterhin funktioniert. Kein Exploit, keine Täuschung: nur ein Computer, der sehr schnell Passwörter errät, bis eines passt. Dieser Leitfaden erklärt, wie Brute-Force-Angriffe funktionieren, die wichtigsten Typen, warum sie weiterhin Erfolg haben und welche Abwehrmaßnahmen sie tatsächlich stoppen.

Die kurze Definition

Ein Brute-Force-Angriff versucht, ein Passwort (oder einen Schlüssel) zu erraten, indem er systematisch riesige Mengen an Kombinationen durchprobiert, bis er die richtige findet. Angreifer automatisieren das, sodass ein Programm Tausende oder Millionen Versuche weit schneller machen kann als jeder Mensch. Es nutzt keinen Softwarefehler aus — es nutzt schwache Passwörter und Anmeldesysteme aus, die einen Angreifer endlos raten lassen.

Wie es funktioniert

Der Angreifer richtet Software auf eine Anmeldeseite oder eine gestohlene Datei mit verwürfelten (gehashten) Passwörtern und lässt sie Kandidaten durchackern. Die Stärke des Zielpassworts entscheidet alles: Jedes zusätzliche Zeichen vervielfacht die Zahl der Möglichkeiten, sodass die Rätselzeit mit der Länge explosionsartig wächst. Ein kurzes oder gängiges Passwort kann fast augenblicklich fallen; ein langes, zufälliges kann mehr Versuche erfordern, als realistisch erreichbar sind.

Die wichtigsten Typen

„Brute Force“ ist eigentlich eine Familie verwandter Techniken:

Einfache Brute Force — jede mögliche Zeichenkombination ausprobieren, von der kürzesten aufwärts. Gründlich, aber langsam gegen lange Passwörter.
Wörterbuchangriff — zuerst eine vorbereitete Liste wahrscheinlicher Passwörter testen (gängige Wörter, Namen, geleakte Passwörter, vorhersehbare Muster), weil die meisten schwachen Passwörter aus einer kleinen Menge stammen.
Credential Stuffing — echte Benutzername-Passwort-Paare wiederverwenden, die bei anderen Datenlecks abhandengekommen sind, in der Wette, dass Menschen sie wiederverwenden. Schnell und wirksam gegen Passwort-Wiederverwendung.
Password Spraying — wenige sehr gängige Passwörter gegen viele Konten testen, um unter Sperrgrenzen zu bleiben, die bei wiederholten Fehlversuchen für ein Konto auslösen.

Nahaufnahme der Buchstabentasten einer Computertastatur — ein Brute-Force-Angriff arbeitet sich durch Zeichenkombinationen wie diese, bis eine das Konto entsperrt.

Warum Brute Force immer noch funktioniert

Wenn es so grob ist, warum hält es sich? Weil das schwache Glied selten die Mathematik ist — es sind menschliche Gewohnheiten und nachlässige Systeme:

Kurze oder gängige Passwörter fallen einem Wörterbuchangriff in Augenblicken zum Opfer.
Wiederverwendete Passwörter bedeuten, dass ein Datenleck Angreifern einen funktionierenden Schlüssel für deine anderen Konten in die Hand gibt.
Anmelde-Endpunkte ohne Ratenbegrenzung oder Sperren lassen einen Angreifer endlos raten.

Brute Force schlägt keine starken, einzigartigen Passwörter — es erntet schwache und wiederverwendete.

Was ein Passwort brute-force-resistent macht

Zwei Eigenschaften: Länge und Zufälligkeit. Zusammen erzeugen sie hohe Entropie — so viele mögliche Kombinationen, dass das Erraten rechnerisch undurchführbar wird. Ein langes, zufällig erzeugtes Passwort ist theoretisch nicht „unmöglich“ per Brute Force zu knacken; es dauert nur so astronomisch lange, dass sich kein Angreifer die Mühe macht. Vorhersehbarkeit ist der Feind: Ein langes Passwort aus einem Zitat oder einem Muster ist weit schwächer, als seine Länge vermuten lässt.

Wie du dich verteidigst

Die Abwehrmaßnahmen sind unkompliziert und sie ergänzen sich:

Verwende lange, einzigartige Passwörter. Der praktische Weg ist ein Passwort-Manager, der für jedes Konto ein zufälliges Passwort erzeugt und speichert — nichts Kurzes, Erratbares oder Wiederverwendetes. Diese eine Gewohnheit besiegt Wörterbuchangriffe und Credential Stuffing auf einen Schlag.
Aktiviere die Zwei-Faktor-Authentifizierung. Selbst ein korrekt erratenes Passwort scheitert ohne den zweiten Faktor. Bevorzuge eine Authentifizierungs-App oder einen Passkey gegenüber SMS.
Verwende Passwörter niemals wieder. Wiederverwendung verwandelt das Datenleck einer Seite in einen Generalschlüssel für den Rest deiner Konten.

Auf der Dienstseite schwächen Ratenbegrenzung, Kontosperren und ordentlich gehashte-und-gesalzene Passwortspeicherung diese Angriffe weiter ab — aber als Nutzer ist es Länge + Einzigartigkeit + 2FA, was das Knacken deiner Konten den Versuch nicht wert macht.

Das Fazit

Ein Brute-Force-Angriff ist einfaches, automatisiertes Raten — und er bleibt nur wirksam, weil schwache und wiederverwendete Passwörter ihn weiter füttern. Mach jedes Passwort lang, zufällig und einzigartig (ein Passwort-Manager erledigt das für dich), füge Zwei-Faktor-Authentifizierung hinzu, und die Mathematik kippt entschieden zu deinen Gunsten: Dein Passwort zu erraten wird zu einer Aufgabe, die kein Angreifer realistisch zu Ende bringen kann.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Sichere deine Konten ab → NordPassStarke, einzigartige Passwörter · Leck-Scanner · Gratis-Tarif→