Eine Brute-Force-Attacke ist ein Angriff, bei dem alle möglichen Kombinationen ausprobiert werden, bis das Ziel erreicht ist. Bei Passwörtern bedeutet das: das Programm versucht jede denkbare Buchstaben- und Ziffernkombination, oft mit hoher Geschwindigkeit. Verbreitete Varianten sind Wörterbuch-Attacken (mit Listen häufiger Passwörter) und Credential-Stuffing (mit aus früheren Datenlecks bekannten Kombinationen).
Wie schnell ein Brute-Force-Angriff Erfolg hat, hängt von Passwortlänge, Zeichenraum und der Geschwindigkeit ab, mit der ein System Anmeldungen prüft. Online-Angriffe gegen Web-Logins sind durch Rate Limiting und Account-Sperren gut zu bremsen. Offline-Angriffe gegen geleakte Passwort-Hashes dagegen können auf moderner GPU-Hardware Milliarden Versuche pro Sekunde durchführen.
Schutz besteht aus mehreren Schichten. Lange, einzigartige Passwörter (idealerweise aus einem Passwort-Manager) erhöhen den Aufwand exponentiell. 2-Faktor-Authentifizierung macht Brute-Force gegen Login praktisch unbrauchbar. Auf Server-Seite sind starke Hash-Verfahren wie Argon2 oder bcrypt mit hohem Cost-Faktor Pflicht, ergänzt um Rate Limiting und Lockout nach mehreren Fehlversuchen.