Een wachtwoord wordt gecompromitteerd wanneer het is gelekt bij een datalek en beschikbaar wordt gesteld op het dark web. Hierdoor kunnen anderen ongeautoriseerde toegang krijgen tot
Bijgewerkt op 14 november 2022.
Bij het kraken van wachtwoorden worden programma’s en tools gebruikt om wachtwoorden te achterhalen die zijn opgeslagen in een computersysteem of die worden verzonden via een netwerk. Het kraken van een wachtwoord lijkt misschien zo goed als onmogelijk, maar het is verbazingwekkend hoe eenvoudig het kan zijn. Lees verder voor meer informatie over hoe het kraken van wachtwoorden in zijn werk gaat, welke technieken er worden gebruikt en hoe u uzelf kunt beschermen.
Zo worden wachtwoorden gekraakt
Er zijn tientallen programma’s op de markt om wachtwoorden te kraken, elk met zijn eigen methode, maar ze handelen in principe allemaal op een van de volgende twee manieren: ofwel maken ze variaties van veelgebruikte wachtwoorden uit een woordenboek, ofwel proberen ze elke mogelijke combinatie door middel van een zogenaamde brute force-aanval.
U moet begrijpen dat professionele wachtwoordkrakers er niet op uit zijn om in te loggen op uw PayPal-account. Dat proces is al traag en de meeste services zullen herhaalde inlogpogingen sowieso blokkeren. De echte krakers werken liever met wachtwoordbestanden die ze downloaden van gehackte servers. Wachtwoordbestanden bevatten de essentiële gegevens die u nodig hebt om in te loggen, zoals uw accountgegevens. Deze bestanden zijn meestal eenvoudig toegankelijk vanaf het basisniveau van de meeste serversystemen of worden bijgehouden door afzonderlijke applicaties. Mogelijk worden de bestanden beveiligd door zwakke versleutelingsalgoritmen die niet bepaald een obstakel vormen voor vastberaden cybercriminelen.
Zodra criminelen een lijst met wachtwoorden hebben, kunnen ze zoveel pogingen ondernemen als ze willen om deze te kraken. Hun doel is meestal niet om een afzonderlijk wachtwoord te kraken, maar om tests uit te voeren voor het volledige bestand, waarbij ze hun doelwitten één voor één uitschakelen. Met moderne grafische hardware kan dit enorm snel. Sommige commerciële producten kunnen bijvoorbeeld biljoenen wachtwoorden per seconde testen op een standaard desktopcomputer met behulp van een geavanceerde grafische processor.
Technieken voor het kraken van wachtwoorden
Hier zijn de twee meest gebruikte technieken om wachtwoorden te kraken.
Woordenboekaanval
Een woordenboekaanval is een techniek die gebruikmaakt van lijsten met gekende wachtwoorden, woordlijstvervanging en patrooncontrole om veelgebruikte wachtwoorden te vinden. Het is niet moeilijk om lijsten met gecompromitteerdewachtwoorden te vinden. Bepaalde websites publiceren ze en er zijn lijsten beschikbaar op het dark web voor een kleine prijs.
Nadat het wachtwoordbestand is ontcijferd, worden bij een woordenboekaanval tekenreeksen en variaties gebruikt om verschillende combinaties te testen. Veel mensen voegen bijvoorbeeld cijfers aan hun namen of gebruikersnamen toe die in een platte tekst kunnen worden opgeslagen. Als een gebruiker genaamd Robert het wachtwoord ‘Robert123’ gebruikt, wordt dit bij een woordenboekaanval binnen enkele seconden achterhaald. De software doorloopt gewoon elke mogelijke combinatie om de juiste te identificeren.
Het is zelfs nog eenvoudiger als er weinig informatie bekend is over de personen in de database. Zo gebruiken mensen vaak de namen van kinderen, adressen, telefoonnummers, sportteams en verjaardagen als wachtwoord, alleen of in combinatie met andere tekens. Aangezien de meeste mensen tekens toevoegen aan het einde van het wachtwoord, kunnen deze waarschijnlijke mogelijkheden eenvoudig worden doorzocht bij woordenboekaanvallen.
Sociale media zijn het paradijs voor elke aanvaller. Mensen plaatsen vrijwillig persoonlijke gegevens op hun profiel of tweeten regelmatig over sportteams of beroemdheden die ze volgen. Dit zijn vanzelfsprekende paden die een woordenboekaanval kan volgen.
Brute force-aanval
Een brute force-aanval is precies zoals het klinkt: een techniek om hardnekkige wachtwoorden te achterhalen die niet via een woordenboek kunnen worden ontcijferd. Met de multi-core processors en grafische verwerkingseenheden van tegenwoordig is het eenvoudiger om brute force-tactieken uit te voeren.
Machines die minder dan 1000 dollar kosten, kunnen miljarden wachtwoorden per seconde testen. Korte wachtwoorden zijn het eenvoudigst te raden, waardoor aanvallers meestal brute force-tactieken gebruiken om wachtwoorden met vijf of zes tekens te ontcijferen die niet konden worden achterhaald via een woordenboekaanval, een klus die na slechts enkele uren al geklaard kan zijn.
Voor langere wachtwoorden worden brute force- en woordenboekaanvallen gecombineerd om het aantal mogelijke combinaties te beperken. Sommige software voor brute force-aanvallen gebruiken ook regenboogtabellen. Dit zijn lijsten met bekende codes die soms nuttig kunnen zijn bij reverse-engineering van versleutelde tekst.
Is het kraken van wachtwoorden illegaal?
Het kraken van wachtwoorden voor uw eigen wachtwoord is niet illegaal als u werkt met lokale gegevens die in uw bezit zijn, toestemming hebt van de rechtmatige eigenaar of optreedt als wetsdienaar en de lokale wetten naleeft. Aan de andere kant kan het kraken van het wachtwoord van iemand anders illegaal zijn, maar het is een grijs gebied.
Programma’s voor het kraken van wachtwoorden zijn ook niet illegaal, omdat er volstrekt gegronde en legale redenen zijn om ze te gebruiken. Beveiligingsprofessionals gebruiken deze tools om de sterkte van hun eigen wachtwoorden te testen en wetshandhavingsinstanties maken er gebruik van om misdaad te bestrijden. Zoals met elke technologie kunnen deze tools zowel ten goede als ten kwade worden ingezet.
Blijf beschermd tegen wachtwoordkrakers
Het grootste probleem met wachtwoordbeveiliging is dat veel mensen geen sterke wachtwoorden gebruiken. Bij het creëren van wachtwoorden zijn langere wachtwoorden moeilijker te kraken dan korte wachtwoorden. Ook zijn wachtwoorden met willekeurige tekencombinaties veiliger dan wachtwoorden die een bekend patroon volgen. Een wachtwoord met 13 cijfers dat alfanumerieke tekens en interpunctietekens combineert, is niet eenvoudig te kraken met de huidige technologie.
Helaas zijn er maar weinig mensen die een willekeurige tekenreeks van 13 cijfers kunnen onthouden, laat staan meerdere tekenreeksen voor verschillende logins. Vanuit het oogpunt van beveiliging worden computers helaas ook steeds sneller en het kraken van wachtwoorden nog eenvoudiger. Vijf jaar geleden was een wachtwoord met acht cijfers nog sterk genoeg. Over vijf jaar zijn 18 cijfers misschien wel te zwak.
Daarom is wachtwoordbeheer een waardevolle oplossing. Met wachtwoordbeheerders zoals Keeper kunt u wachtwoorden, bestanden en meer opslaan. Keeper kan ook nieuwe sterke, unieke wachtwoorden genereren en opslaan in uw kluis. Eenmaal in uw kluis opgeslagen, zijn uw wachtwoorden beveiligd en krijgt u alleen toegang met een hoofdwachtwoord. Wachtwoordbeheerders kunnen ook worden beveiligd door tweefactorauthenticatie (2FA), een zo goed als feilloze en sterk aanbevolen methode voor alle toepassingen.
Bescherm uzelf tegen wachtwoordkrakers: begin vandaag nog uw gratis proefabonnement van Keeper.