Wat is een brute-force attack en hoe voorkom je ze

Een brute-force attack (of een brute-force-aanval) is een cyberaanval waarbij de hacker gebruik maakt van ‘brute kracht’ om een wachtwoord of encryptiesleutel te forceren. Hij doet dit door razendsnel wachtwoordcombinaties uit te proberen tot er eentje werkt. Hackers passen deze aanval toe om toegang te krijgen tot persoonlijke accounts (bijvoorbeeld Facebook en e-mail), om gegevens te ontsleutelen, om de beveiliging van een organisatie te omzeilen of om netwerken of systemen te hacken.

In de digitale wereld is dit een van de meer ‘simpele’ aanvallen. Het vereist niet veel intellect of complexe algoritmen – het is eigenlijk een simpel raadspel. Een brute-force-aanval vereist echter wel tijd en rekenkracht. Hoe complexer het wachtwoord, hoe moeilijker het is om het te kraken. Hier zullen we verderop wat voorbeelden van geven.

Stel je voor dat je wachtwoord maar uit twee cijfers bestaat. Dat betekent dat er 100 mogelijke wachtwoordcombinaties zijn die een hacker zou kunnen proberen. Ze zouden deze mogelijkheden handmatig kunnen invoeren, wat tijdrovend is, maar niet onmogelijk. Moderne websites vragen echter om complexere wachtwoorden van minimaal 8 tekens, inclusief hoofdletters en kleine letters. Dit garandeert namelijk miljoenen combinatiemogelijkheden, waardoor het bijna onmogelijk is deze wachtwoorden willekeurig te ‘raden’.

Maar hackers zijn natuurlijk niet voor één gat te vangen – ze gebruiken gespecialiseerde software die duizenden wachtwoordcombinaties per seconde kan proberen.

De meeste websites voegen daarom tegenwoordig extra beveiligingsstappen toe, zoals wachtwoord-hashing en encryptie om je gegevens te beschermen. Dit betekent dat je wachtwoorden nooit in platte tekst worden opgeslagen en dat zelfs als je wachtwoord wordt onderschept, hackers alsnog een astronomisch aantal pogingen moeten doen om de coderingssleutel te raden om je wachtwoord te kunnen lezen.

Hoe lang duurt het om een wachtwoord te kraken?

Een complex wachtwoord van zeven tekens kan in ongeveer 31 seconden worden gekraakt, terwijl een wachtwoord met zes of minder tekens onmiddellijk kan worden gekraakt. Als je wachtwoord echter uit 9 tekens bestaat (waarvan 2 hoofdletters, 3 kleine letters, 2 cijfers, 2 speciale tekens), zijn er 949 = 572,994,802,228,616,704 combinaties mogelijk, waar hackers jarenlang over kunnen doen. Het is het dus zeker waard om een teken of twee extra toe te voegen!

Als je met de volgende situaties wordt geconfronteerd, is je account waarschijnlijk gehackt:

• Je bent opeens uitgelogd uit je online accounts (social media, e-mail, enz.) of probeert in te loggen en merkt dat je wachtwoorden niet meer werken.
• Je ontvangt meldingen over inlogpogingen, wachtwoordresets of twee-factorauthenticatie waar je niet om hebt gevraagd.
• In je accountactiviteit zie je meldingen van apparaten en locaties die je niet herkent.
• Vrienden of familieleden ontvangen vreemde berichten van je e-mail of social media-accounts.

Hackers kunnen verschillende soorten brute-force methodes gebruiken:

• Credential recycling. Hierbij worden gebruikersnamen en wachtwoorden gebruikt, die ofwel gehackt zijn of op het dark web gekocht zijn. De hacker zal ze op verschillende platforms proberen te gebruiken. Als ze bijvoorbeeld je logingegevens van Facebook hebben, proberen ze hiermee toegang tot je e-mail of bankrekening te krijgen. Daarom is het zo belangrijk om niet hetzelfde wachtwoord voor meerdere accounts te gebruiken.
• Dictionary attack. Bij dit type aanval gebruikt de hacker woorden uit het woordenboek. Het komt vaak voor dat mensen namen, steden, objecten, enz. als hun wachtwoord gebruiken. Dit maakt het echter relatief makkelijk om ze te raden. Hackers kunnen ook populaire wachtwoord- en cijfercombinaties zoals ‘Password’ of ‘12345678’ aan dergelijke databases toevoegen.
• Reverse brute-force attack. Deze aanval maakt, zoals de naam al doet vermoeden, gebruik van een omgekeerde techniek. Een hacker neemt één wachtwoord, meestal een populaire, en probeert deze uit op zoveel mogelijk accounts. Een hacker richt zich in dit geval dus niet op een bepaald individu, maar probeert op een willekeurig account in te breken.

Hoe veilig je wachtwoord is, hangt in grote mate af van hoe websitebeheerders je gegevens opslaan en hoe kwetsbaar servers zijn voor inbreuken en lekken. Websitebeheerders kunnen het werk van een hacker moeilijker maken door accounts na een bepaald aantal mislukte pogingen te vergrendelen, wachtwoorden te versleutelen, het aantal inlogpogingen te verlagen of salt-hashing te gebruiken. Helaas heb je geen controle over de veiligheid van de websites die je gebruikt, maar gelukkig zijn er een paar dingen die je zelf kunt doen om je accounts te beschermen.

1. Gebruik tweefactorauthenticatie. Zonder toegang tot je apparaat kunnen hackers geen toegang tot je account krijgen.
2. Gebruik sterke wachtwoorden door hoofdletters en kleine letters met cijfers en symbolen te combineren. Tip: gebruik de NordPass-generator om sterke wachtwoorden te maken.
3. Verander je wachtwoorden regelmatig.
4. Gebruik wachtwoorden niet opnieuw voor verschillende accounts, omdat dit je kwetsbaar maakt voor hackers die inloggegevens recyclen, zoals hierboven beschreven.
5. Bescherm je wachtwoorden door een wachtwoordbeheerder zoals NordPass te gebruiken. Het bewaart je wachtwoorden in een gecodeerde kluis en biedt extra functies zoals automatisch aanvullen. Op deze manier hoef je je geen zorgen meer te maken dat je je wachtwoorden vergeet.

Bescherming tegen SSH brute-force attacks

Dat waren tips voor individuele gebruikers, maar netwerkbeheerders van bedrijven en grotere infrastructuren krijgen ook vaak met brute-force attacks te maken. Met name het SSH-protocol, dat externe toegang tot servers biedt via een beveiligd kanaal, is een populair target voor hackers. Door een SSH-protocol te hacken, kunnen hackers toegang tot belangrijke informatie op het netwerk krijgen (gebruikersnamen, wachtwoorden, bedrijfsinformatie, etc) .

Gelukkig kunnen netwerkbeheerders ook stappen ondernemen om deze aanvallen te voorkomen. Dit kunnen ze onder andere doen door:

• Het aantal authenticatiepogingen dat door een verbinding is toegestaan, te verminderen;
• Geen SSH-wachtwoorden toe te staan, maar in plaats daarvan private key authenticatie te gebruiken.