Dictionary Attacke

Was ist eine Dictionary Attacke?

Eine Dictionary Attacke ist eine Methode zum Knacken von Passwörtern, bei der systematisch Begriffe aus einer vorgegebenen Wortliste ausprobiert werden. Diese Listen enthalten häufig genutzte Passwörter, Tastaturmuster oder typische Varianten, die auf Nutzergewohnheiten basieren. Ziel ist es, mit möglichst wenigen Versuchen Zugangsdaten zu erraten.

Technischer Aufbau & Varianten

Merkmale typischer Dictionary-Attacken:

• Wortlisten – vorgefertigte Sammlungen häufiger Passwörter, z. B. „123456“, „Passwort“, „admin“

• Kombinationsregeln (Rules) – Erweiterung der Liste durch Ersetzungen (z. B. „P@ssw0rd“ statt „Password“)

• Wortstammanalyse – Ableitung verwandter Begriffe durch Präfixe, Suffixe oder Zahlenanhänge

• Tool-Einsatz – gängige Tools wie John the Ripper, Hydra oder Hashcat ermöglichen automatisierte Versuche

Abgrenzung zu anderen Methoden:

• Brute-Force-Angriff: testet alle möglichen Zeichenkombinationen

• Credential Stuffing: verwendet zuvor geleakte Zugangsdaten

Relevanz in der Praxis

Dictionary Attacken sind besonders relevant für:

• Schwache oder wiederverwendete Passwörter

• Systeme ohne Rate-Limiting oder Lockout-Mechanismen

• Login-Portale ohne Multi-Faktor-Authentifizierung (MFA)

• APIs mit offenen Authentifizierungsendpunkten

Standards & regulatorische Anforderungen

• ISO 27001 – A.9.2.3: Passwortsicherheit und Authentifizierungsmechanismen

• BSI IT-Grundschutz (SYS.1.2.A18): Mindestanforderungen an Passwortkomplexität

• NIS-2 & DORA: Schutzmaßnahmen gegen unautorisierte Zugriffe erforderlich

• DSGVO – Art. 32: technische Maßnahmen zum Schutz personenbezogener Daten

Verwandte Begriffe

• Brute-Force-Angriff

• Multi-Factor Authentication

• Credential Stuffing

• Password Blacklist

• Endpoint Protection Platform

• Authentication Protocol

Beispiel aus der Praxis

Ein KMU ohne Passwortregeln stellte fest, dass mehrere E-Mail-Konten kompromittiert wurden.
Die Analyse ergab: Ein Angreifer hatte durch eine Dictionary Attacke das Passwort „Sommer2023“ erraten.
Im Nachgang wurden Passwort-Richtlinien verschärft, MFA eingeführt und eine zentrale Passwort-Blacklist aktiviert.