Wat is een brute force-aanval en hoe bescherm je jezelf

Een brute force-aanval is een cyberaanval waarbij hackers grote aantallen mogelijke wachtwoord- of inlogcombinaties proberen tot ze de juiste vinden. Hoewel deze methode al lang bestaat, wordt brute force nog steeds veel gebruikt om accounts, netwerken en systemen binnen te dringen. In dit artikel lees je hoe een brute force-aanval werkt, welke soorten er zijn en hoe je jezelf ertegen beschermt.

29 juni 2026

10 minuten leestijd

Wat is een brute force-aanval en hoe bescherm je jezelf

Wat is een brute force-aanval? 

Een brute force-aanval (brute force attack) is een cyberaanval waarbij software automatisch grote aantallen wachtwoord- of inlogcombinaties probeert totdat de juiste is gevonden. Deze eenvoudige gis- en mismethode vertrouwt op rekenkracht in plaats van kwetsbaarheden in een systeem. 

De term brute force betekent letterlijk brute kracht. In de cybersecurity verwijst dat niet naar fysieke kracht, maar naar het inzetten van rekenkracht om zoveel mogelijk combinaties uit te proberen, in plaats van een slimmere aanvalsmethode te gebruiken.

Een brute force-aanval kan worden ingezet tegen online accounts, wifi-netwerken, versleutelde bestanden en andere systemen die met een wachtwoord of encryptiesleutel zijn beveiligd. Dankzij moderne hardware en geautomatiseerde software kunnen hackers miljoenen wachtwoordpogingen per seconde uitvoeren. Daarom blijven brute force-aanvallen, ondanks hun eenvoudige aanpak, nog altijd een veelgebruikte methode onder cybercriminelen.

Hoe werkt brute force?

Bij een brute force-aanval probeert software automatisch grote aantallen wachtwoordcombinaties totdat de juiste is gevonden. De methode is eenvoudig: hoe meer combinaties de aanvaller kan testen, hoe groter de kans op succes. In tegenstelling tot phishing of social engineering is brute force een gis- en mismethode: de aanvaller probeert simpelweg zoveel mogelijk combinaties totdat er één werkt.

Zo werkt dat in de praktijk:

  • Een eenvoudig wachtwoord is snel gekraakt. Bestaat een wachtwoord uit twee cijfers, dan zijn er slechts 100 mogelijke combinaties (00 tot en met 99). Een computer kan die vrijwel direct uitproberen.
  • Complexe wachtwoorden kosten veel meer tijd. Moderne wachtwoorden bestaan meestal uit minimaal acht tekens en bevatten een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens. Daardoor groeit het aantal mogelijke combinaties explosief.
  • Aanvallers gebruiken speciale software. Die kan duizenden of zelfs miljoenen wachtwoordpogingen per seconde uitvoeren, afhankelijk van de gebruikte hardware en de aanvalsmethode.

Er is ook een belangrijk verschil tussen twee soorten brute force-aanvallen:

  • Online brute force-aanvallen richten zich op een live inlogscherm. Ze zijn relatief langzaam, omdat websites vaak beveiligingen gebruiken, zoals een limiet op het aantal inlogpogingen, wachttijden of tijdelijke accountvergrendeling.
  • Offline brute force-aanvallen vinden plaats nadat een aanvaller bijvoorbeeld een database met gestolen wachtwoordhashes heeft buitgemaakt. Zonder de beperkingen van een live inlogsysteem kunnen miljoenen of zelfs miljarden combinaties per seconde worden getest.

Gelukkig slaan websites wachtwoorden vrijwel nooit als platte tekst op. In plaats daarvan gebruiken ze hashing om wachtwoorden om te zetten in een unieke tekenreeks. Soms worden gegevens daarnaast beschermd met encryptie, zodat alleen bevoegde partijen ze kunnen lezen. Bij een offline brute force attack berekent de aanvaller de hash van elke wachtwoordgok en vergelijkt die met de gestolen hash. Komt de uitkomst overeen, dan is het juiste wachtwoord gevonden.

Hoe lang duurt het om een wachtwoord te kraken?

Hoe lang het duurt om een wachtwoord te kraken, hangt vooral af van de lengte van het wachtwoord, de gebruikte tekens (zoals hoofdletters, cijfers en symbolen) en de rekenkracht van de aanvaller. Moderne grafische kaarten (GPU's) kunnen bij offline brute force-aanvallen miljarden wachtwoordcombinaties per seconde testen. 

Sommige online password checkers laten zien hoe sterk een wachtwoord is en geven een indicatie van hoe lang een brute force-aanval erover zou doen om het te kraken. Zie zo’n indicatie vooral als richtlijn: de werkelijke kraaktijd hangt af van de gebruikte hardware, software en beveiligingsmethode.

De onderstaande tabel geeft een indicatie van hoe lang een offline brute force attack ongeveer kan duren met moderne hardware. 

Wachtwoord

Geschatte kraaktijd*

6 kleine letters

8 kleine letters

Enkele seconden

8 tekens (hoofdletters, kleine letters en cijfers)

Enkele minuten tot uren

10 tekens (letters, cijfers en symbolen)

Jaren tot duizenden jaren

12 tekens (letters, cijfers en symbolen)

Miljoenen jaren

14+ willekeurige tekens (letters, cijfers en symbolen)

Praktisch onkraakbaar met de huidige technologie

*De bovenstaande tijden zijn indicatief. De werkelijke kraaktijd hangt af van de gebruikte hardware, hashingmethode en software.

De belangrijkste les is dat elk extra teken een enorm verschil maakt. Elke extra letter, cijfer of speciaal teken vergroot het aantal mogelijke combinaties exponentieel. Een wachtwoord van twaalf of meer willekeurige tekens is daardoor vele miljoenen keren moeilijker te kraken dan een wachtwoord van acht tekens.

Verschillende soorten brute force-aanvallen

Hackers gebruiken verschillende soorten brute force-aanvallen om wachtwoorden te kraken of toegang te krijgen tot accounts. Dit zijn de meest voorkomende brute force attacks:

  • Eenvoudige brute force-aanval. De aanvaller probeert systematisch alle mogelijke wachtwoordcombinaties totdat de juiste is gevonden. Deze aanpak werkt vooral bij korte of eenvoudige wachtwoorden, maar is minder effectief bij sterke wachtwoorden.
  • Credential stuffing. Bij credential stuffing gebruiken hackers gebruikersnamen en wachtwoorden die bij een datalek zijn buitgemaakt. Ze proberen die inloggegevens vervolgens op andere websites of apps. Als je hetzelfde wachtwoord voor meerdere accounts gebruikt, kan één lek dus genoeg zijn om ook andere accounts in gevaar te brengen.
  • Woordenboekaanval. Bij een woordenboekaanval (ook bekend als dictionary attack) probeert de aanvaller wachtwoorden uit een vooraf samengestelde lijst, zoals woorden uit een woordenboek, veelgebruikte wachtwoorden en bekende varianten zoals ‘Welkom123’.
  • Reverse brute force attack. Bij een reverse brute force attack kiest de hacker één populair wachtwoord en probeert dat op zoveel mogelijk accounts. De aanvaller richt zich dus niet op één specifiek persoon, maar zoekt naar een willekeurig account waarbij dat wachtwoord werkt.
  • Hybrid brute force attack. Een hybrid brute force attack combineert een dictionary attack met een klassieke brute force-aanval. Hackers gebruiken bijvoorbeeld woorden uit een lijst en voegen daar automatisch cijfers, symbolen of jaartallen aan toe om veelgebruikte wachtwoordpatronen te raden.
  • Password spraying. Bij password spraying probeert de aanvaller één of enkele veelgebruikte wachtwoorden op veel verschillende accounts. Door het aantal pogingen per account laag te houden, probeert de aanvaller accountvergrendeling of andere beveiligingsmaatregelen te omzeilen.
  • Rainbow table attack. Bij een rainbow table brute force attack vergelijkt de aanvaller een gestolen wachtwoordhash met een vooraf berekende tabel vol hashes van mogelijke wachtwoorden. Als er een match is, kan het originele wachtwoord snel worden achterhaald. Moderne websites beschermen zich hiertegen met salting, waardoor rainbow tables veel minder effectief zijn.

Tools en hardware achter brute force-aanvallen

Vrijwel iedere moderne brute force-aanval maakt gebruik van gespecialiseerde software en krachtige hardware. De aanval zelf is vaak simpel: zoveel mogelijk wachtwoordcombinaties testen. Wat het risico groot maakt, is de schaal waarop dat tegenwoordig kan. Daarbij spelen vooral de volgende onderdelen een rol:

  • Tools voor brute force-aanvallen. Aanvallers maken gebruik van software om grote aantallen wachtwoorden automatisch uit te proberen. Bekende voorbeelden zijn Hashcat, John the Ripper en Hydra (beter bekend als Hydra brute force). Deze tools kunnen ook legitiem worden ingezet door beveiligingsonderzoekers om wachtwoordsterkte te testen, maar worden regelmatig misbruikt door cybercriminelen.
  • GPU-acceleratie. Moderne grafische kaarten (GPU's) kunnen dezelfde berekening op grote schaal tegelijk uitvoeren. Daardoor kunnen aanvallers bij offline brute force-aanvallen miljarden, en soms zelfs biljoenen, wachtwoordpogingen per seconde testen. Dat maakt oud advies over korte wachtwoorden, zoals acht tekens, steeds minder betrouwbaar.
  • Botnets en gedistribueerde aanvallen. Soms gebruiken aanvallers botnets: netwerken van gekaapte computers die samen rekenkracht leveren. Door duizenden apparaten tegelijk in te zetten, kunnen wachtwoorden sneller worden getest dan met één computer.

Door snellere hardware en geautomatiseerde tools zijn vooral korte wachtwoorden kwetsbaar. Lange, willekeurige wachtwoorden en multifactorauthenticatie (MFA) bieden veel betere bescherming tegen brute force-aanvallen.

Hoe herken je een brute force-aanval?

Een brute force-aanval is niet altijd direct zichtbaar, maar er zijn wel duidelijke signalen die kunnen wijzen op verdachte inlogpogingen of een gehackt account. Let vooral op deze waarschuwingssignalen:

  • Je wordt plotseling uitgelogd. Als je onverwacht uit een account wordt uitgelogd, kan dat betekenen dat iemand anders toegang tot je account heeft gekregen.
  • Je ontvangt onverwachte meldingen. Denk aan loginmeldingen, wachtwoordresetmails of 2FA-codes die je niet zelf hebt aangevraagd.
  • Je ziet onbekende apparaten of locaties. Controleer regelmatig de actieve sessies van je accounts. Onbekende apparaten, IP-adressen of landen kunnen wijzen op een brute force-aanval of accountovername.
  • Vrienden ontvangen vreemde berichten van jou. Als contacten berichten, links of verzoeken krijgen die jij niet hebt verstuurd, is je account mogelijk gehackt.
  • Je ziet veel mislukte inlogpogingen. Voor website-eigenaren en beheerders zijn plotselinge pieken in mislukte logins een belangrijk alarmsignaal.
  • Je logs vertonen afwijkend gedrag. Herhaalde verzoeken vanaf onbekende IP-adressen, veel loginpogingen op korte tijd of verdachte patronen in serverlogs kunnen wijzen op een brute force attack.

Hoe bescherm je jezelf tegen brute force-aanvallen?

Bescherming tegen brute force-aanvallen begint bij sterke wachtwoorden en goede accountbeveiliging. Dit kun je zelf doen om de kans op een succesvolle aanval te verkleinen:

  1. 1.Schakel 2FA en MFA in. Met tweefactorauthenticatie (2FA) of multifactorauthenticatie (MFA) voeg je extra beveiligingslagen toe aan je account. Zelfs als iemand je wachtwoord weet, heeft diegene een extra verificatiestap nodig om in te loggen.
  2. 2.Gebruik sterke, lange wachtwoorden. Kies wachtwoorden van minimaal twaalf tekens en gebruik een combinatie van hoofdletters, kleine letters, cijfers en symbolen. Nog beter is een lange, willekeurige wachtwoordzin die moeilijk te raden is.
  3. 3.Gebruik passkeys waar mogelijk. Passkeys zijn een veilig alternatief voor traditionele wachtwoorden. Als je passkeys gebruikt, is er geen wachtwoord dat een aanvaller kan raden of kraken.
  4. 4.Gebruik elk wachtwoord maar één keer. Hergebruik geen wachtwoorden voor meerdere accounts. Als één website wordt gehackt, kunnen criminelen dezelfde gegevens anders ook op andere platforms proberen.
  5. 5.Gebruik een wachtwoordmanager. Een wachtwoordmanager zoals NordPass kan sterke, unieke wachtwoorden voor je maken en veilig opslaan.
  6. 6.Vervang zwakke of gelekte wachtwoorden. Controleer regelmatig of je oude, zwakke of hergebruikte wachtwoorden gebruikt en pas ze aan. Zeker na een datalek is het verstandig om je wachtwoord direct te wijzigen.

Ook websitebeheerders spelen een belangrijke rol. Zij kunnen accounts tijdelijk blokkeren na te veel mislukte inlogpogingen, het aantal loginpogingen beperken, CAPTCHA-tests gebruiken en verdachte patronen in logbestanden monitoren. Daarnaast moeten wachtwoorden veilig worden opgeslagen met sterke hashingalgoritmen, zoals bcrypt, en unieke salts.

Bescherming tegen SSH- en WordPress brute force attacks

SSH- en WordPress-inlogpagina's zijn populaire doelwitten voor brute force-aanvallen, omdat ze vaak direct vanaf het internet bereikbaar zijn. Met een paar gerichte maatregelen kun je het risico op een succesvolle aanval sterk verkleinen.

SSH brute force-bescherming

Bij SSH brute force proberen aanvallers automatisch in te loggen op een server via SSH. Beheerders kunnen dit beperken door:

  • het aantal toegestane authenticatiepogingen te verlagen;
  • mislukte inlogpogingen actief te monitoren;
  • wachtwoordlogin voor SSH uit te schakelen;
  • private-key authentication te gebruiken;
  • verdachte IP-adressen tijdelijk te blokkeren met fail2ban-tools;
  • IP-bandbreedtebeperking of rate limiting toe te passen.

Controleer ook andere externe toegangspunten, zoals het SMB-protocol, zodat onbevoegde toegang niet via een andere route mogelijk is.

Wp-login brute force-bescherming

Bij WordPress richten aanvallers zich vaak op de standaard inlogpagina, zoals wp-login.php. Goede wp-login brute force-bescherming bestaat uit meerdere lagen:

  • gebruik sterke admin-inloggegevens en vermijd standaard gebruikersnamen zoals ‘admin’;
  • beperk het aantal inlogpogingen;
  • voeg MFA toe aan het WordPress-dashboard;
  • gebruik CAPTCHA om geautomatiseerde bots af te remmen;
  • bescherm of wijzig de login-URL;
  • gebruik een beveiligingsplugin, firewall of rate limiting via je hostingprovider.

Voor beheerders geldt in het algemeen: beperk herhaalde inlogpogingen, vergrendel accounts tijdelijk na een bepaald aantal mislukte inlogpogingen, monitor afwijkend gedrag en gebruik meerdere verdedigingslagen. Zo maak je het voor aanvallers veel moeilijker om met brute force toegang te krijgen.

Online beveiliging begint met een klik

Surf veilig online met de meest geavanceerde VPN ter wereld

Veelgestelde vragen

Ook beschikbaar in: Deutsch,English,Español,Suomi,Français,Italiano,日本語,‪한국어‬,Polski,Português Brasileiro,Svenska,繁體中文 (台灣).

Arwen Kok | NordVPN

Arwen Kok

Arwen leert graag over cybersecurity en de nieuwste technologieën. Het is haar doel om complexe onderwerpen benaderbaar en interessant te maken voor haar publiek. Als ze niet schrijft, traint ze martial arts en brengt ze tijd door met haar dochtertje.