Inzicht in de wachtwoordkrakende technieken die hackers gebruiken om je online accounts wijd open te blazen is een goede manier om ervoor te zorgen dat het jou nooit overkomt.
Je zult zeker regelmatig je wachtwoord moeten wijzigen, en soms dringender dan je denkt, maar het tegengaan van diefstal is een geweldige manier om op de hoogte te blijven van de beveiliging van jouw accounts. Je kunt altijd naar www.haveibeenpwned.com gaan om te controleren of je een risico loopt, maar gewoon denken dat je wachtwoord veilig genoeg is om niet gehackt te worden is een riskante aanname.
Dus, om je te helpen te begrijpen hoe hackers jouw wachtwoorden bemachtigen, al dan niet beveiligd, hebben we een lijst samengesteld van de top tien van populairste wachtwoordkraaktechnieken die op het internet worden gebruikt. Sommige van de onderstaande methoden zijn zeker ouderwets, maar dat heeft hun populariteit niet doen verminderen.
De top tien van de door hackers gebruikte technieken voor het kraken van wachtwoorden:
1. Dictionary attack
De dictionary attack is, zoals de naam al aangeeft, een methode die gebruik maakt van een index van woorden die het meest gebruikt worden als wachtwoorden. Dit is een iets minder verfijnde versie van de brute force attack (zie hieronder), maar het is nog steeds afhankelijk van hackers die een systeem bombarderen met gissingen totdat het juiste wachtwoord geraden is.
Als je denkt dat door het samenvoegen van woorden, zoals “superadministratorguy”, je tegen zo’n aanval zal verdedigen, denk dan nog eens goed na. De dictionary attack kan dit opvangen, en zal als zodanig een hack slechts enkele seconden doen verlengen.
2. Brute force attack
Vergelijkbaar in functie met de dictionary attack, wordt de brute force attack beschouwd als een beetje geraffineerder. In plaats van een lijst met woorden te gebruiken, zijn brute force aanvallen in staat om termen te detecteren die geen bestaande woorden zijn, zoals alfanumerieke combinaties. Dit betekent dat wachtwoorden die strings bevatten zoals “aaa1” of “zzz10” het risico kunnen lopen op een brute force aanval.
Het nadeel is dat deze methode daardoor veel langzamer is, vooral wanneer er langere wachtwoorden worden gebruikt. Deze stijl van aanvallen wordt echter meestal ondersteund door extra rekenkracht om de hackingtijd te verkorten, of dat nu is door meer CPU-resources aan de taak toe te wijzen of door een gedistribueerde processing farm te creëren, vergelijkbaar met die door cryptocurrency miners worden gebruikt.
3. Rainbow table attack
Rainbow table attacks klinken misschien onschuldig, maar ze zijn in feite ongelooflijk bruikbare tools in het arsenaal van een hacker.
Wanneer wachtwoorden op een computersysteem worden opgeslagen , worden ze gehasht met behulp van encryptie – de eenrichingsaard van dit proces betekent dat het onmogelijk is om te zien wat het wachtwoord is zonder de bijbehorende hash.
Simpel gezegd, rainbow table attacks functioneren als een voorgecompileerde database van wachtwoorden en de bijbehorende hashwaarden. Dit wordt dan gebruikt als een index om hashes die op een computer zijn gevonden te vergelijken met de hashes die al in de rainbow table zijn voorgecompileerd. Vergeleken met een brute force aanval, die veel van de berekening tijdens de operatie doet, beperken rainbow tabellen de aanval tot slechts een zoektocht door een tabel.
Echter, rainbow tabellen zijn enorme, logge dingen. Ze vereisen een serieuze hoeveelheid opslagruimte en een tabel wordt nutteloos als de hash die het probeert te vinden “salted” is door de toevoeging van willekeurige karakters aan het wachtwoord voor de hashing van het algoritme.
Er is sprake van bestaande salted rainbow tabellen, maar deze zouden zo groot zijn dat ze in de praktijk moeilijk te gebruiken zijn. Ze zouden waarschijnlijk alleen werken met een vooraf gedefinieerde “random character” set en wachtwoordstrings onder de 12 karakters, omdat de grootte van de tabel anders zelfs voor staatshackers onbetaalbaar zou zijn.
4. Phishing
Er is een gemakkelijke manier om te hacken: vraag de gebruiker om zijn of haar wachtwoord. Een phishing-e-mail leidt de nietsvermoedende lezer naar een vervalste inlogpagina die verband houdt met de dienst waartoe de hacker toegang wil hebben, en vraagt de gebruiker om een vreselijk probleem met zijn of haar beveiliging op te lossen. Die pagina skimt dan hun wachtwoord en de hacker kan het gebruiken voor hun eigen doeleinden.
Waarom zou je de moeite nemen om het wachtwoord te kraken, terwijl de gebruiker het toch graag aan je geeft?
5. Social engineering
Social engineeringKlik op het woord voor de betekenis neemt het hele “ask the user” concept mee buiten de inbox waar phishingKlik op het woord voor de betekenis de neiging heeft om zich te verblijven.
Een favoriet van de social engineer is om een kantoor te bellen dat zich voordoet als een IT security techneut en simpelweg te vragen naar het wachtwoord voor toegang tot het netwerk. Het zou je verbazen hoe vaak dit werkt. Sommigen hebben zelfs het lef om een pak en naambadge aan te trekken voordat ze een bedrijf binnenlopen om de receptionist dezelfde vraag ter plekke te stellen.
6. Malware
Een keyloggerKlik op het woord voor de betekenis kan worden geïnstalleerd door malwareKlik op het woord voor de betekenis die alles wat je typt registreert of screenshots maakt tijdens een inlogproces en vervolgens een kopie van dit bestand doorstuurt naar de hacker.
Sommige malware zoekt naar het bestaan van het wachtwoordbestand van de browser en kopieert dit bestand, dat, tenzij het goed gecodeerd is, gemakkelijk toegankelijke opgeslagen wachtwoorden uit de browsegeschiedenis van de gebruiker zal bevatten.
7. Offline cracking
Het wordt nu beschouwd als de industriestandaard om het aantal gissingen te beperken die een persoon mag doen bij het invoeren van zijn of haar wachtwoord, meestal om een legitieme accounteigenaar in staat te stellen typefouten te corrigeren of een aantal regelmatig gebruikte wachtwoorden te proberen, voor het geval hij of zij even op dat moment het wachtwoord vergeten is. Hoewel dit een effectieve manier is om te voorkomen dat een ongeautoriseerde gebruiker zich op een account met een brute force aanval stort, wordt er niets gedaan om te voorkomen dat er offline wordt gehackt – dat is waar het grootste deel van het hacken van wachtwoorden tegenwoordig plaatsvindt.
Het proces komt meestal voort uit een recente data-inbreuk in de systemen van een bedrijf, waardoor hackers toegang kunnen krijgen tot hash-bestanden van gebruikers. Met deze in de hand kan een hacker zo lang zijn tijd nemen als nodig om in een rustig tempo wachtwoorden te ontcijferen, wat ze in staat stelt zich voor te doen als een legitieme accounteigenaar die de eerste keer met succes inlogt.
8. Shoulder surfing
Het idee van een crimineel die vermomd als koerier of werknemer een kantoorgebouw binnensluipt om geheimen te stelen, is een idee waarvan je misschien denkt dat het alleen in TV en films voorkomt. Echter, dit soort van diefstal is nog steeds een zeer reële bedreiging in 2020.
In het geval van aanvallen op bedrijven biedt het “uniform” van het servicepersoneel een soort vrijbrief om ongehinderd rond te dwalen, waardoor ze de kans krijgen om letterlijk over de schouders van echte personeelsleden te snuffelen om een glimp op te vangen van wachtwoorden die worden ingevoerd of om wachtwoorden te herkennen die minder beveiligingsbewuste werknemers hebben opgeschreven op post-its of in notitieboekjes.
Natuurlijk, hoe robuuster een beveiligingssysteem is, hoe gemakkelijker het is om dergelijke aanvallen te voorkomen. Grotere organisaties zullen waarschijnlijk niet het slachtoffer worden van deze vorm van hacken, maar kleinere bedrijven, met name bedrijven zonder frontdeskbeveiliging, zouden nog steeds vatbaar ervoor kunnen zijn. Er is ook het probleem van consumentenfraude, aangezien shoulder surfing vaak in verband wordt gebracht met diefstal van pincodes, bijvoorbeeld bij geldautomaten of terwijl men bij de kassa staat – in wezen overal waar een crimineel dicht bij zijn potentiële slachtoffer zou kunnen blijven staan.
9. Spidering
Sommige hackingtechnieken berusten op het intiem leren kennen van het slachtoffer, wat met name geldt voor spidering. Veel organisaties gebruiken bedrijfswachtwoorden die op een bepaalde manier betrekking hebben op hun bedrijf, bijvoorbeeld door een variatie van hun merknaam te gebruiken als wachtwoord voor hun Wi-Fi-netwerk.
Sommige slimme hackers hebben zich gerealiseerd dat ze door het bestuderen van de bedrijfsliteratuur van een bedrijf, of dat nu een mission statement is of hun marketingbrochure, een zeer effectieve woordenlijst kunnen samenstellen die gebruikt kan worden als onderdeel van een brute force attack. Om deze techniek echt te perfectioneren hebben sommige hackers zelfs geautomatiseerde tools ingezet die enorme hoeveelheden trefwoordenlijsten die aan een doelwit zijn gekoppeld, doorlopen en zo de efficiëntie van het proces helpen verbeteren.
10. Raden
De beste vriend van de wachtwoordkrakers is natuurlijk de voorspelbaarheid van de gebruiker. Tenzij een echt willekeurig wachtwoord is gemaakt met behulp van software die aan de taak is gewijd, is het onwaarschijnlijk dat een door de gebruiker willekeurig wachtwoord iets van die aard is.
In plaats daarvan, dankzij de emotionele verbondenheid van onze hersenen met dingen die we leuk vinden, is de kans groot dat die willekeurige wachtwoorden gebaseerd zijn op onze interesses, hobby’s, huisdieren, familie, enzovoort. In feite zijn wachtwoorden meestal gebaseerd op alle dingen waar we graag over praten op sociale media en zelfs in onze profielen opnemen. Wachtwoordkrakers kijken zeer waarschijnlijk naar deze informatie en maken een paar – vaak correcte – goed onderbouwde gissingen wanneer ze proberen een wachtwoord op consumentenniveau te kraken zonder hun toevlucht te nemen tot een woordenboek of brute force-aanvallen.