‘Brute-force attack’ klinkt misschien als een militaire term, maar dat is het niet. Het is juist een oude en niet erg geavanceerde methode die hackers tot op de dag van vandaag met succes gebruiken om wachtwoorden te kraken. Leer hier meer over brute-force attacks en hoe je je online accounts kunt beschermen.
Een brute-force attack (of een brute-force-aanval) is een cyberaanval waarbij de hacker gebruik maakt van ‘brute kracht’ om een wachtwoord of encryptiesleutel te forceren. Hij doet dit door razendsnel wachtwoordcombinaties uit te proberen tot er eentje werkt. Hackers passen deze aanval toe om toegang te krijgen tot persoonlijke accounts (bijvoorbeeld Facebook en e-mail), om gegevens te ontsleutelen, om de beveiliging van een organisatie te omzeilen of om netwerken of systemen te hacken.
In de digitale wereld is dit een van de meer ‘simpele’ aanvallen. Het vereist niet veel intellect of complexe algoritmen – het is eigenlijk een simpel raadspel. Een brute-force-aanval vereist echter wel tijd en rekenkracht. Hoe complexer het wachtwoord, hoe moeilijker het is om het te kraken. Hier zullen we verderop wat voorbeelden van geven.
Stel je voor dat je wachtwoord maar uit twee cijfers bestaat. Dat betekent dat er 100 mogelijke wachtwoordcombinaties zijn die een hacker zou kunnen proberen. Ze zouden deze mogelijkheden handmatig kunnen invoeren, wat tijdrovend is, maar niet onmogelijk. Moderne websites vragen echter om complexere wachtwoorden van minimaal 8 tekens, inclusief hoofdletters en kleine letters. Dit garandeert namelijk miljoenen combinatiemogelijkheden, waardoor het bijna onmogelijk is deze wachtwoorden willekeurig te ‘raden’.
Maar hackers zijn natuurlijk niet voor één gat te vangen – ze gebruiken gespecialiseerde software die duizenden wachtwoordcombinaties per seconde kan proberen.
De meeste websites voegen daarom tegenwoordig extra beveiligingsstappen toe, zoals wachtwoord-hashing en encryptie om je gegevens te beschermen. Dit betekent dat je wachtwoorden nooit in platte tekst worden opgeslagen en dat zelfs als je wachtwoord wordt onderschept, hackers alsnog een astronomisch aantal pogingen moeten doen om de coderingssleutel te raden om je wachtwoord te kunnen lezen.
Een complex wachtwoord van zeven tekens kan in ongeveer 31 seconden worden gekraakt, terwijl een wachtwoord met zes of minder tekens onmiddellijk kan worden gekraakt. Als je wachtwoord echter uit 9 tekens bestaat (waarvan 2 hoofdletters, 3 kleine letters, 2 cijfers, 2 speciale tekens), zijn er 949 = 572,994,802,228,616,704 combinaties mogelijk, waar hackers jarenlang over kunnen doen. Het is het dus zeker waard om een teken of twee extra toe te voegen!
Als je met de volgende situaties wordt geconfronteerd, is je account waarschijnlijk gehackt:
Hackers kunnen verschillende soorten brute-force methodes gebruiken:
Hoe veilig je wachtwoord is, hangt in grote mate af van hoe websitebeheerders je gegevens opslaan en hoe kwetsbaar servers zijn voor inbreuken en lekken. Websitebeheerders kunnen het werk van een hacker moeilijker maken door accounts na een bepaald aantal mislukte pogingen te vergrendelen, wachtwoorden te versleutelen, het aantal inlogpogingen te verlagen of salt-hashing te gebruiken. Helaas heb je geen controle over de veiligheid van de websites die je gebruikt, maar gelukkig zijn er een paar dingen die je zelf kunt doen om je accounts te beschermen.
Dat waren tips voor individuele gebruikers, maar netwerkbeheerders van bedrijven en grotere infrastructuren krijgen ook vaak met brute-force attacks te maken. Met name het SSH-protocol, dat externe toegang tot servers biedt via een beveiligd kanaal, is een populair target voor hackers. Door een SSH-protocol te hacken, kunnen hackers toegang tot belangrijke informatie op het netwerk krijgen (gebruikersnamen, wachtwoorden, bedrijfsinformatie, etc) .
Gelukkig kunnen netwerkbeheerders ook stappen ondernemen om deze aanvallen te voorkomen. Dit kunnen ze onder andere doen door: