Wat is een aanval met grof geweld?

Een aanval met grof geweld is een poging om een wachtwoord of gebruikersnaam te kraken, of een verborgen webpagina of de encryptiesleutel voor een bericht te vinden, door heel veel mogelijkheden uit te proberen in de hoop uiteindelijk goed te gokken. Het is een oude aanvalsmethode, die echter vaak door hackers wordt gebruikt en nog steeds effectief is.

Afhankelijk van de lengte en complexiteit van een wachtwoord kan het ergens tussen een paar seconden en vele jaren duren om het te kraken. Er zijn dan ook hackers die hun pijlen maandenlang, en soms jaren, elke dag op dezelfde systemen richten.

Tools ondersteunen aanvallen met grof geweld

Het kan veel tijd kosten om het wachtwoord van een bepaalde gebruiker te raden, dus hebben hackers tools ontwikkeld om de klus te versnellen.

Woordenboeken vormen hierbij het eenvoudigste hulpmiddel. Sommige hackers doorlopen complete woordenboeken en voegen speciale tekens en cijfers aan de woorden toe, of ze gebruiken specialistische woordenboeken. Deze sequentiële aanvallen zijn echter zeer omslachtig.

Een typische aanval bestaat eruit dat de hacker een doel kiest en mogelijke wachtwoorden bij de gebruikersnaam uitprobeert. Zo’n aanval wordt een woordenboekaanval genoemd.

Bij een omgekeerde aanval met grof geweld, de naam zegt het al, wordt de aanvalsstrategie omgedraaid. Deze aanval begint met een bekend wachtwoord – bijvoorbeeld met een eerder uitgelekt wachtwoord dat online is gezet – en koppelt dat aan miljoenen gebruikersnamen totdat de juiste is gevonden.

Er zijn ook geautomatiseerde tools beschikbaar die brute-krachtaanvallen ondersteunen, met namen als Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng en Rainbow. Veel van deze tools kunnen een wachtwoord dat als trefwoord in een woordenboek staat binnen één seconde achterhalen.

Dergelijke tools kunnen veel computerprotocollen aan (waaronder FTP, MySQL, SMPT en Telnet) en stellen hackers in staat om draadloze modems te kraken, zwakke wachtwoorden te identificeren, versleutelde wachtwoorden te ontcijferen, woorden in leetspeak te vertalen – bijvoorbeeld "don'thackme" wordt "d0n7H4cKm3" – alle mogelijke tekencombinaties uit te proberen en woordenboekaanvallen uit te voeren.

Sommige tools scannen in vooraf berekende regenboogtabellen de in- en uitvoer van bekende hashfuncties – de encryptiemethode die zich baseert op algoritmen om wachtwoorden om te zetten in lange letter- en cijferreeksen met een vaste lengte.

GPU versnelt brute-krachtaanvallen

Door de CPU en de graphics processing unit (GPU) te combineren, worden de duizenden processoren in de GPU aan het computervermogen toegevoegd, waardoor het systeem meerdere taken tegelijk kan uitvoeren. De GPU wordt normaal voor rekenintensieve applicaties ingezet, bijvoorbeeld voor het maken van analyses en technische berekeningen, en kan wachtwoorden ongeveer 250 keer sneller kraken dan een CPU alleen.

Om de orde van grootte aan te geven: voor een wachtwoord dat uit zes tekens bestaat en zowel letters als cijfers bevat, zijn er zo’n 2 miljard verschillende combinaties mogelijk. Een krachtige CPU, die 30 wachtwoorden per seconde uitprobeert, heeft ruim twee jaar nodig om het te kraken. Door een enkele, krachtige GPU-kaart toe te voegen, kan dezelfde computer 7.100 wachtwoorden per seconde testen en zal het wachtwoord in 3,5 dag zijn achterhaald.

Hoe IT-specialisten wachtwoorden kunnen beschermen

Systeembeheerders moeten ervoor zorgen dat de wachtwoorden voor hun systemen zijn versleuteld met de hoogst mogelijk encryptiesnelheid, bijvoorbeeld met 256-bits encryptie, zodat brute-krachtaanvallen minder kans van slagen hebben. Hoe meer bits het encryptiealgoritme tot zijn beschikking heeft, hoe moeilijker het is om het wachtwoord te kraken.

Beheerders moeten liefst ook de hash zouten, dat wil zeggen wachtwoordhashes vervormen door een willekeurige reeks letters en cijfers (het zout) aan het wachtwoord zelf toe te voegen. Deze reeks moet in een apart bestand worden opgeslagen en, voordat het wachtwoord wordt gehasht, worden opgehaald en aan het wachtwoord worden toegevoegd. Hierdoor krijgen gebruikers met hetzelfde wachtwoord verschillende hashes. Daarnaast kunnen beheerders dubbele verificatie eisen en een inbraakdetectiesysteem installeren dat alarm slaat bij brute-krachtaanvallen.

Het beperken van het toegestane aantal pogingen om je wachtwoord in te voeren, vermindert ook de gevoeligheid voor brute-krachtaanvallen. Wanneer een gebruiker na bijvoorbeeld drie mislukte pogingen gedurende een paar minuten wordt geblokkeerd, lopen hackers veel vertraging op en zoeken ze wellicht een gemakkelijker doelwit.

Hoe gebruikers sterkere wachtwoorden kunnen maken

Indien mogelijk moeten gebruikers altijd een wachtwoord met 10 tekens kiezen dat ook symbolen of cijfers bevat. Hierdoor ontstaan er 171,3 quintiljoen (1,71 x 10²⁰) mogelijkheden. Met een GPU-processor die 10,3 miljard hashes per seconde probeert, zou het ongeveer 526 jaar duren om het wachtwoord te kraken, hoewel een supercomputer het in een paar weken zou kunnen.

Maar niet alle websites accepteren zo’n lang wachtwoord. In dat geval kunnen gebruikers beter voor een ingewikkelde wachtzin (passphrase) kiezen dan voor een los woord. Het is belangrijk om de meest voorkomende wachtwoorden te vermijden en om ze vaak te wijzigen.

Installing a password manager automates password management, allowing users to access all their accounts by first logging into the password manager. They can then create extremely long and complex passwords for all the sites they visit, store them safely, and they only have to remember the one password to the password manager.

Gebruikers kunnen op https://password.kaspersky.com de sterkte van hun passphrase testen.

Gerelateerde artikelen:

• Wat is adware?
• Wat is een trojan?
• Feiten en veelgestelde vragen over computervirussen en malware
• Spam en phishing

Gerelateerde producten:

• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Anti-Virus
• Kaspersky Internet Security for Mac
• Kaspersky Internet Security for Android