Brute Force -aanvallen: wachtwoordbescherming

Wat is een Brute force-aanval?

Een brute force-aanval maakt gebruik van een gis- en mismethode om inloggegevens en coderingssleutels te raden of een verborgen webpagina te vinden. Hackers doorlopen alle mogelijke combinaties in de hoop correct te raden.

Deze aanvallen worden uitgevoerd door 'brute force'. Dit betekent dat ze brute kracht gebruiken om te proberen zich een weg te banen naar jouw privéaccounts.

Het is een oude aanvalsmethode, die echter vaak door hackers wordt gebruikt en nog steeds effectief is. Afhankelijk van de lengte en complexiteit van een wachtwoord kan het ergens tussen een paar seconden en vele jaren duren om het te kraken.

Wat kunnen hackers winnen bij brute force-aanvallen?

Brute force-aanvallers moeten wat moeite doen om hier voordeel uit te halen. Hoewel technologie het gemakkelijker maakt, kun je jezelf nog steeds afvragen waarom iemand dit zou doen?

Dit is hoe hackers profiteren van brute force-aanvallen:

Winst halen uit advertenties of activiteitsgegevens verzamelen
Persoonlijke gegevens en waardevolle spullen stelen
Malware verspreiden om verstoringen te veroorzaken
Je systeem kapen om er kwaadaardige activiteiten mee uit te voeren
De reputatie van een website verpesten

Winst halen uit advertenties of activiteitsgegevens verzamelen.

Hackers kunnen samen met anderen een website misbruiken om commissies te verdienen aan advertenties. Populaire manieren om dit te doen zijn:

Het plaatsen van spamadvertenties op een goed bezochte site om geld te verdienen elke keer dat een advertentie wordt aangeklikt of bekeken door bezoekers.
Het verkeer van een website omleiden naar advertentiesites in opdracht.
Het infecteren van een site of de bezoekers ervan met malware voor het volgen van activiteiten, meestal spyware. Gegevens worden zonder jouw toestemming verkocht aan adverteerders om hen te helpen hun marketing te verbeteren.

Persoonlijke gegevens en waardevolle spullen stelen.

Inbreken in online accounts kan zijn als het openbreken van een bankkluis: alles is online te vinden, van bankrekeningen tot belastinginformatie. Het enige dat een crimineel hoeft te doen, is inbreken om je identiteit en geld te stelen of je privégegevens met winst te verkopen. Soms zijn de databases met gevoelige gegevens van hele organisaties het doelwit van datalekken op bedrijfsniveau.

Malware verspreiden louter om verstoringen te veroorzaken.

Als een hacker problemen wil veroorzaken of zijn vaardigheden wil oefenen, kan hij het verkeer van een website omleiden naar kwaadaardige sites. Als alternatief kan hij een site rechtstreeks infecteren met verborgen malware die op de computers van bezoekers kan worden geïnstalleerd.

Je systeem kapen om er kwaadaardige activiteiten mee uit te voeren.

Wanneer één machine niet genoeg is, schakelen hackers een leger van nietsvermoedende apparaten in om hun inspanningen te versnellen. Dit heet een botnet. Malware kan je computer, mobiele apparaat of online accounts infiltreren voor spam, phishing, verbeterde brute force-aanvallen en meer. Als je geen antivirussysteem hebt, loop je mogelijk meer risico op infectie.

De reputatie van een website verpesten.

Als je een website hebt en het doelwit wordt van vandalisme, kan een cybercrimineel besluiten je site te infecteren met obscene inhoud. Dit kan tekst, afbeeldingen en audio zijn van gewelddadige, pornografische of racistische aard.

Types brute force-aanvallen

Elke brute force-aanval kan verschillende methoden gebruiken om je gevoelige gegevens bloot te leggen. Je kunt worden blootgesteld aan een van de volgende populaire brute force-methoden:

Eenvoudige brute force-aanvallen
Woordenboek-aanvallen
Hybride brute force-aanvallen
Omgekeerde brute force-aanvallen
Credential stuffing

Eenvoudige brute force-aanvallen: hackers proberen je inloggegevens logisch te raden, zonder hulp van softwaretools of andere middelen. Op deze manier kunnen uiterst eenvoudige wachtwoorden en pincodes worden achterhaald. Bijvoorbeeld een wachtwoord dat is ingesteld als "gast12345".

Woordenboek-aanvallen: Bij een typische aanval kiest de hacker een doelwit uit en probeert mogelijke wachtwoorden bij de gebruikersnaam. Zo’n aanval wordt een woordenboek-aanval genoemd. Woordenboekaanvallen zijn de eenvoudigste vorm van een brute force-aanval. Hoewel het op zichzelf niet noodzakelijkerwijs brute force-aanvallen zijn, wordt deze methode vaak gebruikt als een belangrijk onderdeel voor het kraken van wachtwoorden. Sommige hackers doorlopen volledige woordenboeken en voegen speciale tekens en cijfers aan de woorden toe, of ze gebruiken gespecialiseerde woordenboeken. Deze aanvallen zijn echter zeer omslachtig.

Hybride brute force-aanvallen: Deze hackers mengen externe middelen met hun logische gissingen om een inbraak te plegen. Een hybride aanval combineert meestal woordenboek- en brute force-aanvallen. Deze aanvallen worden gebruikt om gecombineerde wachtwoorden te achterhalen waarin gewone woorden worden gebruikt samen met willekeurige tekens. Een voorbeeld van een brute force-aanval van deze aard kan wachtwoorden achterhalen zoals NewYork1993 of Spike1234.

Omgekeerde brute force-aanvallen: zoals de naam al aangeeft, keert een omgekeerde brute force-aanval de aanvalsstrategie om door te beginnen met een bekend wachtwoord. Vervolgens doorzoeken hackers miljoenen gebruikersnamen tot ze een match vinden. Veel van deze criminelen beginnen met gelekte wachtwoorden die online beschikbaar zijn van bestaande datalekken.

Credential stuffing: als een hacker een combinatie van gebruikersnaam en wachtwoord heeft die voor één website werkt, proberen ze diezelfde combinatie op tal van andere websites. Het is algemeen geweten dat gebruikers dezelfde inloggegevens gebruiken op verschillende websites. Deze mensen zijn dan ook het exclusieve doelwit van dit soort aanvallen.

Tools helpen brute force-aanvallen

Het kan veel tijd kosten om het wachtwoord van een bepaalde gebruiker te raden, dus hebben hackers tools ontwikkeld om de klus te versnellen.

Geautomatiseerde tools helpen bij brute force-aanvallen. Deze maken gebruik van snelle gissingen om elk mogelijk wachtwoord te maken en proberen te gebruiken. Brute force-hackingsoftware kan een wachtwoord dat als trefwoord in een woordenboek staat binnen één seconde achterhalen.

Tools zoals deze hebben workarounds geprogrammeerd om het volgende te doen:

Werken tegen veel computerprotocollen (zoals FTP, MySQL, SMPT en Telnet)
Hackers toe te staan om draadloze modems te kraken.
Zwakke wachtwoorden te achterhalen
Wachtwoorden te ontsleutelen in een versleutelde opslag.
Woorden te vertalen in leetspeak - "don'thackme" wordt bijvoorbeeld "d0n7H4cKm3".
Alle mogelijke combinaties van tekens uit te voeren.
Woordenboek-aanvallen uit te voeren.

Sommige hulpprogramma's scannen pre-compute regenboogtabellen voor de inputs en outputs van bekende hash-functies. Deze "hash-functies" zijn de op algoritmen gebaseerde coderingsmethoden die gebruikt worden om wachtwoorden te vertalen naar lange reeksen letters en cijfers met een vaste lengte. Regenboogtabellen verwijderen het moeilijkste deel van brute force-aanvallen om het proces te versnellen.

GPU versnelt brute force-aanvallen

Er is enorm veel computerdenkvermogen voor nodig om brute force-wachtwoordsoftware uit te voeren. Helaas hebben hackers hardware-oplossingen uitgewerkt om dit deel van het werk een stuk eenvoudiger te maken.

Door de CPU en de grafische verwerkingseenheid te combineren (GPU), wordt het rekenvermogen verhoogd. Door de duizenden rekenkernen in de GPU toe te voegen voor verwerking, kan het systeem meerdere taken tegelijk uitvoeren. GPU-verwerking wordt gebruikt voor analyse, engineering en andere computerintensieve toepassingen. Hackers die deze methode gebruiken, kunnen wachtwoorden ongeveer 250 keer sneller kraken dan een CPU alleen.

Dus, hoe lang zou het duren om een wachtwoord te kraken? Om de orde van grootte aan te geven: voor een wachtwoord dat uit zes tekens bestaat en zowel letters als cijfers bevat, zijn er zo’n 2 miljard verschillende combinaties mogelijk. Een krachtige CPU, die 30 wachtwoorden per seconde uitprobeert, heeft ruim twee jaar nodig om het te kraken. Door een enkele, krachtige GPU-kaart toe te voegen, kan dezelfde computer 7.100 wachtwoorden per seconde testen en zal het wachtwoord in 3,5 dag zijn achterhaald.

Stappen om wachtwoorden te beschermen voor professionals

Om jezelf en je netwerk veilig te houden, moet je voorzorgsmaatregelen nemen en anderen helpen dit ook te doen. Zowel het gebruikersgedrag als de netwerkbeveiligingssystemen moeten versterkt worden.

Het is zowel voor IT-specialisten als gebruikers verstandig om een paar algemene adviezen in acht te nemen:

Gebruik een geavanceerde gebruikersnaam en wachtwoord. Bescherm jezelf met inloggegevens die sterker zijn dan admin of wachtwoord1234 om deze aanvallers buiten te houden. Hoe sterker de combinatie, hoe moeilijker het voor iemand zal zijn om het wachtwoord te achterhalen.
Verwijder alle ongebruikte accounts met machtigingen op hoog niveau. Dit is het cyberequivalent van een deur met een slecht slot die makkelijk te openen is. Slecht onderhouden accounts zijn een kwetsbaarheid die je je niet kunt veroorloven. Verwijder ze zo snel mogelijk.

Als je eenmaal de basis onder de knie hebt, moet je je beveiliging versterken en gebruikers aan boord krijgen.

We beginnen met wat je aan de backend kunt doen en geven vervolgens tips om veilige gewoonten aan te moedigen.

Passieve backend-beveiliging voor wachtwoorden

Hoge encryptiesnelheden: Systeembeheerders moeten ervoor zorgen dat de wachtwoorden voor hun systemen versleuteld zijn met de hoogst mogelijk encryptiesnelheid, bijvoorbeeld met 256-bits encryptie, zodat brute force-aanvallen minder kans van slagen hebben. Hoe meer bits het encryptiealgoritme tot zijn beschikking heeft, hoe moeilijker het is om het wachtwoord te kraken.

De hash zouten: Dit wil zeggen wachtwoordhashes vervormen door een willekeurige reeks letters en cijfers (het zout) aan het wachtwoord zelf toe te voegen. Deze reeks moet in een apart bestand worden opgeslagen en, voordat het wachtwoord wordt gehasht, worden opgehaald en aan het wachtwoord worden toegevoegd. Hierdoor krijgen gebruikers met hetzelfde wachtwoord verschillende hashes.

Tweefactorverificatie (2FA): Daarnaast kunnen beheerders dubbele verificatie eisen en een inbraakdetectiesysteem installeren dat alarm slaat bij brute force-aanvallen. Hiervoor moeten gebruikers het inloggen opvolgen met een tweede factor, zoals een fysieke USB-sleutel of biometrische scan van vingerafdrukken.

Beperk het aantal toegestane inlogpogingen: het beperken van het aantal pogingen vermindert ook de gevoeligheid voor brute force-aanvallen. Wanneer een gebruiker na bijvoorbeeld drie mislukte pogingen gedurende een paar minuten wordt geblokkeerd, lopen hackers veel vertraging op en zoeken ze wellicht een gemakkelijker doelwit.

Accountvergrendeling na teveel inlogpogingen: Als een hacker zelfs na een tijdelijke vergrendeling eindeloos wachtwoorden kan uitproberen, kan hij blijven terugkeren om het opnieuw te proberen. Dit wordt verhinderd door het account te vergrendelen en de gebruiker te verplichten contact op te nemen met IT voor een ontgrendeling. Korte vergrendelingstimers zijn handiger voor gebruikers, maar gemak kan een kwetsbaarheid zijn. Om dit in evenwicht te brengen, kun je een langere vergrendeling overwegen als er na de korte vergrendeling teveel mislukte inlogpogingen zijn.

Interval tussen herhaalde inlogpogingen: je kunt de inspanningen van een aanvaller verder vertragen door meer tijd te vereisen tussen afzonderlijke inlogpogingen. Zodra een inlogpoging mislukt, kan een timer het inloggen weigeren totdat er een korte tijd is verstreken. Dit geeft je real-time monitoringteam tijd om deze dreiging op te sporen en te stoppen. Sommige hackers stoppen misschien met proberen als het wachten niet de moeite waard is.

Vereis Captcha na herhaalde inlogpogingen: Handmatige verificatie voorkomt dat robots zich via brute-force een weg banen naar je gegevens. Er zijn veel soorten Captcha, waaronder het invoeren van de tekst uit een afbeelding, het aanvinken van een selectievakje of het identificeren van objecten in afbeeldingen. Wat je ook gebruikt, je kunt dit instellen vóór de eerste inlogpoging en na elke mislukte poging om verder te beschermen.

Gebruik een IP-denylist om bekende aanvallers te blokkeren. Zorg ervoor dat deze lijst voortdurend wordt bijgewerkt door degenen die hem beheren.

Actieve IT-ondersteuning voor wachtwoorden

Instructies geven over wachtwoorden: gebruikersgedrag is essentieel voor wachtwoordbeveiliging. Informeer gebruikers over veilige praktijken en tools om hen te helpen hun wachtwoorden te beheren. Met services zoals Kaspersky Password Manager kunnen gebruikers hun complexe, moeilijk te onthouden wachtwoorden opslaan in een versleutelde "kluis" in plaats van ze onveilig op plakbriefjes te schrijven. Aangezien gebruikers de neiging hebben om hun veiligheid voor het gemak in gevaar te brengen, is het jouw taak om ze handige hulpmiddelen te geven die hen veilig houden.

Bewaak accounts in realtime: vreemde inloglocaties, teveel inlogpogingen enz. Zoek trends in ongebruikelijke activiteiten en neem maatregelen om potentiële aanvallers in realtime te blokkeren. Let op voor IP-adresblokkeringen, accountvergrendeling en neem contact op met gebruikers om te bepalen of de accountactiviteit legitiem is (als deze er verdacht uitziet).

Hoe gebruikers wachtwoorden kunnen versterken tegen brute force-aanvallen

Als gebruiker kun je veel doen om je bescherming in de digitale wereld te ondersteunen. De beste verdediging tegen wachtwoordaanvallen is je wachtwoorden zo sterk mogelijk maken.

Om je wachtwoord te kraken via brute force-aanvallen is er tijd nodig. Zorg er dus voor dat je wachtwoord deze aanvallen zoveel mogelijk vertraagt, want als het langer duurt dan de moeite waard is... zullen de meeste hackers het opgeven en verder gaan.

Hier zijn een paar manieren om wachtwoorden te beveiligen tegen brute force-aanvallen:

Langere wachtwoorden met verschillende tekentypen. Indien mogelijk moeten gebruikers altijd een wachtwoord met 10 tekens kiezen dat ook symbolen of cijfers bevat. Hierdoor ontstaan er 171,3 quintiljoen (1,71 x 1020) mogelijkheden. Met behulp van een GPU-processor die 10,3 miljard hashes per seconde probeert, zou het kraken van het wachtwoord ongeveer 526 jaar duren. Een supercomputer zou het wel binnen een paar weken kunnen kraken. Volgens deze logica maakt het opnemen van meer tekens je wachtwoord nog moeilijker op te lossen.

Uitgebreide wachtwoordzinnen. Maar niet alle websites accepteren zo’n lang wachtwoord. In dat geval kies je beter voor een ingewikkelde wachtzin (passphrase) in de plaats van een los woord. Woordenboekaanvallen zijn speciaal gebouwd voor wachtwoorden bestaande uit één woord en maken een inbreuk bijna moeiteloos. Wachtwoordzinnen (wachtwoorden die uit meerdere woorden of segmenten bestaan) moeten worden aangevuld met extra tekens en speciale tekentypen.

Maak regels voor je wachtwoorden. De beste wachtwoorden zijn de wachtwoorden die je gemakkelijk kunt onthouden, maar die niet logisch zijn voor iemand anders die ze leest. Als je de wachtwoordzinroute neemt, overweeg dan om afgekapte woorden te gebruiken, zoals het vervangen van "wood" door "wd" om een tekenreeks te maken die alleen voor jou logisch is. Andere voorbeelden zijn het weglaten van klinkers of het gebruik van alleen de eerste twee letters van elk woord.

Vermijd veelgebruikte wachtwoorden. Het is belangrijk om de meest voorkomende wachtwoorden te vermijden en om ze vaak te wijzigen.

Gebruik unieke wachtwoorden voor elke site die je gebruikt. Om te voorkomen dat je het slachtoffer wordt van credential stuffing, mag je wachtwoorden nooit opnieuw gebruiken. Als je je beveiliging nog verder wil versterken, gebruik dan ook voor elke site een andere gebruikersnaam. Je kunt voorkomen dat er in andere accounts wordt ingebroken als een van je accounts wordt geschonden.

Gebruik een wachtwoordmanager. Door een wachtwoordmanager te installeren, wordt het aanmaken en bijhouden van je online inloggegevens geautomatiseerd. Hiermee heb je toegang tot al je accounts door eerst in te loggen op de wachtwoordmanager. Zo kun je voor elke website die je bezoekt extreem lange en ingewikkelde wachtwoorden creëren en veilig bewaren. Vervolgens hoef je alleen maar het wachtwoord voor de wachtwoordmanager te onthouden.

Als je je afvraagt hoe lang het duurt voordat je wachtwoord is gekraakt, kun je de sterkte van de wachtwoordzin testen op .

Kaspersky Internet Security ontving twee AV-TEST-prijzen voor de beste prestaties en bescherming van een internetbeveiligingsproduct in 2021. In alle tests toonde Kaspersky Internet Security fantastische prestaties en bescherming tegen cyberbedreigingen.

Gerelateerde artikelen: