De meeste mensen zijn op de hoogte van goede gewoontes voor online veiligheid. Vaak leven mensen ze echter niet volledig na, waardoor ze kwetsbaar worden voor woordenboekaanvallen. Ondanks het feit dat mensen weten dat ze hun online accounts moeten beschermen, slagen ze er niet in om simpele regels te volgen, zoals het aanmaken van sterke wachtwoorden. Uit een onderzoek van Google bleek zelfs dat gemiddeld 65% van de mensen dezelfde wachtwoorden gebruikt voor verschillende accounts. Daarnaast gebruikt 59% van de mensen persoonlijke gegevens in hun wachtwoorden die gemakkelijk te raden of te achterhalen zijn, zoals namen van huisdieren en geboortedatums.
Ook gebruiken mensen vaak eenvoudige, voor de hand liggende wachtwoorden die heel gemakkelijk te kraken zijn. Onderzoeken hebben uitgewezen dat toetsenbordreeksen als '123456', 'qwerty' en zinnen als 'wachtwoord', 'ikhouvanje' en 'welkom' het vaakst worden gebruikt. Deze komen dan ook vaak voor in lekken van gegevensbreuken.
Hieruit kan worden opgemaakt dat deze aanvallen erg vaak voorkomen en succesvol zijn, simpelweg omdat mensen het voorkomen van woordenboekaanvallen niet serieus nemen.
Kort gezegd is een woordenboekaanval een type brute-force-aanval waarbij hackers proberen het wachtwoord van het online account van een gebruiker te raden door snel door een lijst met veelvoorkomende woorden, zinnen en cijfercombinaties te bladeren. Als een wachtwoord succesvol is gekraakt door middel van een woordenboekaanval, kan een hacker dit opnieuw gebruiken om toegang te krijgen tot bankrekeningen, sociale-mediaprofielen en zelfs bestanden die beschermd zijn met een wachtwoord. Dat is hoe een woordenboekaanval een echt probleem kan vormen voor het slachtoffer.
Bij dit type hacking wordt gebruik gemaakt van een systemische aanpak om wachtwoorden te kraken. In wezen zijn er drie stappen voor het succesvol uitvoeren van deze hacks. Leren hoe deze werken kan nuttig zijn om een woordenboekaanval te helpen voorkomen.
Om een lijst samen te stellen van mogelijke wachtwoorden, gebruikt de aanvaller vaak gebruikelijke namen van huisdieren, herkenbare personages uit de popcultuur of bekende sportclubs en sporters, bijvoorbeeld. Veel mensen gebruiken dit soort woorden als wachtwoord omdat deze een betekenis voor hen hebben en het wachtwoord zo gemakkelijker te onthouden is. De lijst bevat gewoonlijk een aantal variaties hierop, zoals verschillende combinaties van woorden of met toegevoegde speciale tekens.
Het gebruik van geautomatiseerde tools om door deze lijst heen te bladeren zorgt ervoor dat woordenboekaanvallen vaker succesvol kunnen zijn. Door een wachtwoordlijst en geautomatiseerde tool tegelijkertijd te gebruiken kunnen hackers veel sneller een wachtwoord kraken en een online account hacken. Als dit met de hand gedaan moest worden, zou de aanval veel te lang duren en zou de eigenaar van het account of de systeembeheerder het in de gaten kunnen krijgen en de aanval kunnen proberen tegen te houden.
Door de werkwijze van de aanvallen, worden deze vaak niet op een specifiek doelwit gericht. Ze worden in plaats daarvan uitgevoerd in de hoop dat een van de wachtwoorden op de lijst juist is. Als de aanvaller echter een specifieke plek of organisatie als doelwit heeft, maakt hij een meer gerichte en gelokaliseerde woordenlijst. Als de aanvaller bijvoorbeeld de aanval wil plegen in Spanje, gebruikt hij waarschijnlijk veelvoorkomende Spaanse woorden in plaats van Nederlandse. Of als de aanvaller een bepaalde organisatie als doelwit heeft, gebruikt hij waarschijnlijk woorden die bij dat bedrijf horen.
Hoewel woordenboek-hacking een type brute-force-aanval is, bestaat er een belangrijk verschil tussen. Hoewel er bij woordenboekaanvallen een vooraf gedefinieerde woordenlijst wordt gebruikt om systematisch wachtwoorden van accounts te hacken, wordt er bij brute-force-aanvallen geen lijst gebruikt. In plaats daarvan wordt er door elke willekeurige combinatie van letters, symbolen en cijfers gebladerd die in een wachtwoord kunnen zitten. Om deze reden zijn woordenboekaanvallen vaak efficiënter en bestaat er hierbij een hogere kans op succes, simpelweg omdat er minder combinaties zijn om te proberen.
Aangezien er 26 letters in het alfabet zitten en er 10 één-cijferige nummers zijn (een totaal van 36 tekens), is het aantal mogelijke combinaties om doorheen te bladeren bij een brute-force-aanval enorm. Het is daarom bijna niet haalbaar om de aanval te laten slagen. Om alles in context te plaatsen: Om een wachtwoord te hacken dat uit 10 tekens bestaat door middel van een brute-force-aanval, zou er door 3,76 quadriljoen mogelijke alfanumerieke wachtwoorden gebladerd moeten worden.
Het voordeel van brute-force-aanvallen is echter dat de hacker hierbij makkelijker moeilijke en unieke wachtwoorden kan kraken dankzij de trial-and-error-aanpak. Omdat er door zo een uitgebreide lijst van mogelijke wachtwoorden wordt gebladerd, bestaat er een grotere kans dat de hacker uiteindelijk de juiste combinatie vindt van tekens van een willekeurig wachtwoord.
De eerste stap bij het voorkomen van een woordenboekaanval is leren wat een woordenboekaanval is en hoe het werkt. Maar voor degenen die het voorkomen van woordenboekaanvallen erg belangrijk vinden, zijn de volgende tips handig:
Wachtwoordmanagers kunnen helpen om je accountgegevens veilig te beheren en de kans verminderen dat je slachtoffer wordt van woordenboek-hacking. Apps als Kaspersky Password Manager bieden een reeks voordelen die je wachtwoorden veilig houden. Hier zijn een aantal redenen waarom je zou moeten overwegen om er een te gebruiken:
Woordenboek-hacking is een veelvoorkomend type cybercriminaliteit dat hackers gebruiken om toegang te krijgen tot iemands persoonlijke accounts, waaronder bankrekeningen, sociale-mediaprofielen en e-mails. Als ze deze toegang eenmaal hebben, kunnen hackers allerlei acties uitvoeren, van financiële fraude plegen, tot schadelijke posts plaatsen op sociale media, tot verdere cybercriminaliteiten uitvoeren, zoals phishing. Het voorkomen van woordenboekaanvallen kan echter heel makkelijk zijn door bepaalde veiligheidsmaatregelen te nemen en zo de kans te verkleinen dat je slachtoffer wordt van deze aanvallen. Door bijvoorbeeld slimme gewoontes voor het beheren van wachtwoorden, verschillende vormen van authenticatie en beschikbare wachtwoordmanagers te gebruiken, kun je je wachtwoorden en accounts veilig houden.
Kaspersky Endpoint Security ontving in 2021 drie prijzen van AV-TEST voor de beste prestaties, bescherming en bruikbaarheid voor zakelijke eindpuntbeveiliging. In alle tests toonde Kaspersky Endpoint Security uitstekende prestaties, bescherming en bruikbaarheid voor bedrijven.
Gerelateerde artikels en links:
Gerelateerde producten en diensten: