Hoe je een woordenboekaanval begrijpt uitgelegd

📅
🕑 5 minuten lezen

Praten over wachtwoordauthenticatie is een beetje saai, maar superbelangrijk, vooral gezien hoe vaak datalekken voorkomen. Je hebt waarschijnlijk wel eens meldingen gezien over gehackte websites, waarbij gebruikersgegevens – met name gebruikersnamen en wachtwoorden – openbaar werden gemaakt. Dat is een groot probleem, want als ze in platte tekst zijn opgeslagen, kan iedereen met toegang tot die database die inloggegevens zomaar pakken en gebruiken. Niet bepaald ideaal. Begrijpen wat er achter de schermen gebeurt, kan je inlogsystemen een stuk veiliger maken, of in ieder geval helpen bij het beter beschermen van je eigen accounts.

Het belangrijkste punt is dat goede beveiligingspraktijken suggereren om een ​​gehashte versie van wachtwoorden op te slaan – niet de daadwerkelijke versie. Hashing is als het invoeren van een wachtwoord in een eenrichtingsverkeer: je krijgt een hash, maar je kunt het originele wachtwoord niet gemakkelijk terughalen. Wanneer iemand inlogt, hasht het systeem alles wat hij typt en vergelijkt het met de opgeslagen hash. Als ze overeenkomen, is het wachtwoord correct. Maar als hackers erin slagen de database te kraken, staren ze alleen naar hashes, die vrijwel nutteloos zijn tenzij ze gekraakt worden. Maar hier is het addertje onder het gras: hashes zijn niet volledig onbreekbaar, vooral niet als ze niet correct gehasht zijn of als er zwakke algoritmen worden gebruikt. Daarom hangt een groot deel van het zware werk af van hoe je die wachtwoorden hasht – en van de kant van de aanvaller, of hij die hashes probeert te kraken of niet.

Wachtwoordhashes kraken met slimme trucjes

Het kraken van een hash is een beetje vreemd, omdat je technisch gezien een hash niet direct in het oorspronkelijke wachtwoord kunt omzetten. In plaats daarvan proberen aanvallers wachtwoorden te raden totdat hun hash overeenkomt met de opgeslagen hash. Het komt er in feite op neer dat je elke sleutel probeert totdat er eentje het slot opent. Dit kan een bruteforce-aanval zijn: probeer allerlei wachtwoorden, van “a” tot “zzz”, inclusief cijfers en symbolen. Omdat de mogelijke combinaties exponentieel toenemen naarmate het wachtwoord langer wordt, duurt het kraken van lange, complexe wachtwoorden met bruteforce erg lang. GPU’s helpen om dit te versnellen, maar zelfs dan zijn echt lange wachtwoorden nog steeds redelijk veilig.

Om de tijd die nodig is om een ​​wachtwoord te raden te verkorten, kijken aanvallers vaak naar de wachtwoordregels van de site. Als een site een minimale lengte hanteert of een cijfer en hoofdletter vereist, slaan ze het proberen van “wachtwoord” over en kiezen ze direct voor veelgebruikte wachtwoorden die aan die regels voldoen. Bruteforce is echter traag, vooral bij sterkere wachtwoorden. Een andere manier om dit te doen is met woordenboekaanvallen. In plaats van alles te proberen, gebruiken ze lijsten met veelgebruikte wachtwoorden – zie het als een slimmere manier. Deze lijsten, woordenboeken genoemd, zijn samengesteld uit gelekte wachtwoorden, dus ze bevatten vaak “wachtwoord123”, “qwerty” of “letmein”.Als je wachtwoord in een van die lijsten staat, is het waarschijnlijk mislukt.

Een truc die woordenboekaanvallen succesvoller maakt, is woordverminking: letters vervangen door symbolen (zoals “e” vervangen door “3”), cijfers toevoegen aan het einde of letters herschikken. Deze kleine aanpassingen kunnen het slagingspercentage verhogen tot boven de 70%, soms zelfs boven de 90%, vooral als de aanvaller een goed woordenboek gebruikt met ingebouwde verminkingsalgoritmen. Dus ja, als je wachtwoord een eenvoudig woord of een zin is, is het mogelijk kwetsbaar – deze tactieken zijn vergelijkbaar met cheatcodes om wachtwoorden te kraken.

Gefundeerde gissingen maken

Hier spelen gebruikersgewoonten een rol. Mensen hebben de neiging om wachtwoorden te hergebruiken voor meerdere websites en kiezen vaak dingen die met hun leven te maken hebben: huisdieren, verjaardagen, favoriete sporten of veelgebruikte woorden zoals “wachtwoord”.Aanvallers maken hier misbruik van door grote lijsten met veelgebruikte wachtwoorden te gebruiken of hun woordenboeken te hacken. Het is behoorlijk verontrustend, maar de meeste wachtwoorden zijn makkelijk te raden als ze vaste patronen volgen of in de lijst voorkomen. Daarom is het essentieel om wachtwoorden te creëren die onvoorspelbaar zijn en niet gekoppeld zijn aan je persoonlijke gegevens.

Variaties toevoegen – zoals het vervangen van letters door cijfers of symbolen – is standaard.”Wachtwoord” wordt bijvoorbeeld “w@ssw0rd!”, enzovoort. Deze kleine wijzigingen maken het kraken van een wachtwoord via traditionele woordenboeken lastiger, maar niet onmogelijk. De combinatie van lengte en onvoorspelbaarheid is het beste; een wachtwoord van meer dan 10 tekens met willekeurige woorden (geen echte zinnen, maar eerder losse woorden die aan elkaar zijn geregen) is een goede vuistregel. Streef in principe naar dingen die niet op een lijst zouden staan, idealiter langer en echt willekeurig. Want uiteindelijk geldt: hoe langer en complexer, hoe kleiner de kans op een snelle kraak.

Conclusie

De kern? Woordenboekaanvallen zijn slimmer dan bruteforceaanvallen omdat ze gericht zijn. Ze voeden zich met gissingen uit eerdere lekken of lijsten met veelgebruikte wachtwoorden, dus ze zijn sneller en effectiever – als je wachtwoord op de lijst staat of voorspelbare patronen volgt. Jezelf beschermen betekent lange, niet-gerelateerde wachtwoorden aanmaken die niet in een database met veelgebruikte wachtwoorden staan. Wachtwoordmanagers helpen daarbij, omdat ze complexe, unieke wachtwoorden voor elke site kunnen genereren en opslaan, zodat je al die dingen niet hoeft te onthouden.

Controleer bovendien altijd de beveiligingsinstellingen van uw site. Gebruik tweefactorauthenticatie wanneer deze beschikbaar is en overweeg hashing-algoritmen die speciaal voor wachtwoorden zijn ontwikkeld, zoals bcrypt of Argon2, in plaats van de verouderde MD5 of SHA-1. Natuurlijk moet Windows het soms moeilijker maken dan nodig is, maar slimme wachtwoorden en goede gewoonten kunnen voor u echt een verschil maken.

Samenvatting

  • Wachtwoorden moeten worden gehasht met een sterk, langzaam algoritme (zoals bcrypt).
  • Gebruik lange, ongerelateerde en complexe wachtwoorden, bij voorkeur langer dan 10 tekens.
  • Vermijd het gebruik van veelvoorkomende woorden of zinnen die in een woordenboek zouden kunnen staan.
  • Maak gebruik van wachtwoordbeheerders om lastige wachtwoorden te genereren en op te slaan.
  • Schakel indien beschikbaar tweefactorauthenticatie in om een ​​extra beveiligingslaag toe te voegen.

Afronding

Hopelijk werpt dit wat licht op waarom het kraken van wachtwoorden niet zo eenvoudig is als het lijkt en waarom goede gewoontes belangrijk zijn. Uiteindelijk draait het erom dingen zo moeilijk te maken dat aanvallers zich gaan vervelen of verdergaan. Gewoon wat dingen die in een paar situaties hebben gewerkt – hopelijk helpt het, en misschien bespaart het iemand later hoofdpijn.