OfflineAngriffen

OfflineAngriffen bezeichnet in der Informationssicherheit Angriffe auf Passwort- oder Authentifizierungssysteme, bei denen der Angreifer Zugriff auf gespeicherte Hash-Werte oder andere Anmeldeinformationen erlangt hat und diese außerhalb des Zielsystems auswertet. Im Gegensatz zu Online-Angriffen erfolgt die Prüfung von Anmeldeinformationen lokal auf einem Angreifergerät, wodurch Live-Rate-Limits oder Abwehrmechanismen des Zielsystems umgangen werden können. Ziel ist es, Klartext-Passwörter oder gültige Anmeldeinformationen aus den Hash-Werten abzuleiten. Typische Methoden umfassen Brute-Force-, Wörterbuch- und Maskenangriffe, oft unterstützt durch moderne GPU-Beschleunigung. Vorhersehbare Muster oder geringe Passwortlänge erhöhen die Erfolgschancen erheblich. Historisch wurden auch Rainbow Tables verwendet, um vorkompensierte Hash-Were-Werte abzurufen, doch deren Wirksamkeit sinkt deutlich, wenn salting oder moderne Hash-Verfahren eingesetzt werden. Zu den verbreiteten Werkzeugen gehören Hashcat und John the Ripper, die verschiedene Hash-Algorithmen unterstützen und umfangreiche Konfigurationsmöglichkeiten bieten. Die Angriffe setzen voraus, dass Angreifer Zugang zu den Hash-Werten oder zu einer Datenbank mit Hashes erlangt haben. Die Schwierigkeit eines Offline-Angriffs hängt stark von der verwendeten Hash-Funktion, der Anwendung von Salts, dem Entropiegrad der Passwörter und der Kostenstufe der Hash-Funktion ab. Unsalted Hashes wie MD5 oder SHA-1 sind deutlich anfälliger als starke, salzbasierte und speicherharten Funktionen wie bcrypt, Argon2 oder scrypt. Salt reduziert wirksam die Effizienz von Rainbow Tables und erhöht den Aufwand pro Passwort. Verteidigung gegen OfflineAngriffe umfasst den Einsatz starker Passworthashing-Algorithmen mit ausreichenden Kostenparametern, die Verwendung von Salts und, wo möglich, Peppering, sowie lange, zufällige Passwörter. Zusätzlich ist die Mehrfachfaktoren-Authentifizierung (MFA) sinnvoll, ebenso wie sichere Datenlecküberwachung, regelmäßige Sicherheitsreviews und der Einsatz von Passwortmanagern. Rechtlich ist die Durchführung solcher Angriffe ohne ausdrückliche Genehmigung illegal und kann strafrechtliche Folgen haben; verantwortungsbewusste Penetrationstests erfordern klare Berechtigungen und ggf. Disclosure-Verfahren.