02 — Brute-Force

Was ist Brute-Force?

Der Hacker versucht tausende Passwörter pro Sekunde gegen einen Login. Er hat eine Liste mit den 14 Millionen häufigsten Passwörtern (heißt „rockyou.txt", gibt's gratis im Internet).

Wenn dein Passwort darunter ist – und das gilt für ~30% aller Menschen – ist er in unter 1 Sekunde drin.

🎮 Sieh dem Hacker live zu

Das echte Passwort ist sommer2024. Drück auf „Angriff starten" und sieh, wie das Tool es findet.

⚠ Hydra-Simulation

$ warte auf Start...

Wie ein Hacker das macht

hydra (echtes Tool)

hydra -l opfer@mail.de \
      -P rockyou.txt \
      shop.de https-post-form \
      "/login:user=^USER^&pass=^PASS^"

Auf einem Server ohne Schutz schafft Hydra ~10.000 Versuche pro Sekunde. Die 14 Mio häufigsten Passwörter durch in unter 24 Minuten.

🔍 Scanne deine echte Seite

Wir suchen Login-Seiten auf deiner Domain und prüfen Rate-Limits, Default-Credentials und User-Enumeration.

🔍 Live-Scan: Login & Brute-Force

Findet Login-Seiten, prüft Rate-Limits, Default-Credentials und User-Enumeration. ⚠ aktive Tests.

Diese Domain gehört mir – ich darf aktive Tests (Login-Probes, SQL/XSS-Probes) ausführen.Pflicht. Aktive Tests gegen fremde Seiten sind in Deutschland strafbar (§202c StGB).

✅ Wie schützt du dich?

Drei Maßnahmen – alle drei zusammen:

🔒 Rate-Limit: Nach 5 falschen Versuchen → 15 Min Sperre
🛡️ HIBP-Check: Verbiete bekannte geleakte Passwörter bei Registrierung
🔑 2FA: Code per App, selbst wenn Passwort geklaut → kommt er nicht rein

Moderne Auth-Anbieter (Supabase Auth, Auth0, Clerk) haben HIBP-Check und 2FA eingebaut – ein Klick in den Auth-Settings.

Test: Versuch dich auf deiner Seite 10x mit falschem Passwort einzuloggen. Wirst du nicht gesperrt? Dann hast du keinen Brute-Force-Schutz.