Brute-Force ist eine Angriffsmethode, bei der systematisch alle möglichen Passwortkombinationen (oder Schlüssel) ausprobiert werden, bis die richtige gefunden ist. Varianten sind Dictionary Attacks (mit Wortlisten), Credential Stuffing (mit geleakten Zugangsdaten) und Hybrid-Angriffe.
Im ISMS adressieren ISO 27001 Annex A Controls A.8.5 (Sichere Authentifizierung) und A.5.17 (Authentifizierungsinformationen) dieses Risiko. Gegenmaßnahmen umfassen starke Passwortrichtlinien (Länge vor Komplexität), Account-Lockout nach mehreren Fehlversuchen, Multi-Faktor-Authentifizierung (MFA), Rate Limiting und die Überwachung von Anmeldefehlversuchen. CAPTCHAs können automatisierte Angriffe zusätzlich erschweren. Moderne Brute-Force-Angriffe nutzen GPU-Cluster und können Milliarden Kombinationen pro Sekunde testen.