Wat is wachtwoordkraken?
Wachtwoordkraken is het proces waarbij het wachtwoord van een gebruiker wordt onthuld. Websites gebruiken versleuteling om wachtwoorden op te slaan, zodat derden wachtwoorden niet kunnen achterhalen. Kwaadwillende hackers en cybercriminelen gebruiken methoden voor het kraken van wachtwoorden om versleutelingstechnologieën te omzeilen, wachtwoorden te achterhalen en toegang te krijgen tot persoonsgegevens.
Veelgebruikte technieken voor het kraken van wachtwoorden
Uw wachtwoord wordt op de server van een website bewaard als een gecodeerde tekenreeks die een hash wordt genoemd. Hackers kunnen hashalgoritmes niet decoderen en uw wachtwoord achterhalen. Maar er zijn veel technieken voor het kraken van wachtwoorden die ze kunnen gebruiken om de informatie te krijgen. Ze kunnen u zelfs zover krijgen dat u uw wachtwoord invoert op een ongeautoriseerde, gevaarlijke website.
Bepaalde vormen van wachtwoordaanvallen en andere manieren om wachtwoorden te kraken en versleuteling te omzeilen worden steeds verfijnder en gevarieerder. Hieronder gaan we dieper in op enkele van de meest gebruikte methoden om wachtwoorden te kraken en hoe u zich daartegen kunt beschermen.
Wachtwoorden raden
Wachtwoorden moeten moeilijk te kraken, maar gemakkelijk te onthouden zijn. Helaas onderschatten veel mensen de risico’s en kiezen ze meestal een wachtwoord dat ze kunnen onthouden. Vaak kan eenvoudig toegang worden gekregen tot gegevens door te raden dat het wachtwoord inderdaad ‘wachtwoord’ is.
Andere veel voorkomende wachtwoorden zijn verjaardagen en hobby’s, waardoor wachtwoorden gemakkelijk te raden zijn. Gebruik bij het instellen van uw wachtwoorden geen termen die gemakkelijk kunnen worden geraden of online kunnen worden gevonden. Gebruik in plaats daarvan lange en moeilijk te raden wachtwoorden of wachtwoordzinnen waarin meerdere willekeurige woorden worden gecombineerd.
Hoe kunt u een sterk wachtwoord maken dat u niet vergeet? Het kan riskant zijn om uw wachtwoord uit het hoofd te leren of op te schrijven. Daarom kunt u beter een programma voor wachtwoordbeheer gebruiken. Dat is een veel veiligere manier om uw wachtwoorden op te slaan.
Met een programma voor wachtwoordbeheer kunt u uw wachtwoorden op een veilige manier opslaan.
Brute-force-aanvallen
Bij brute-force-aanvallen wordt elke denkbare tekencombinatie geprobeerd. Bij het kraken van wachtwoorden met behulp van brute rekenkracht worden miljoenen mogelijke wachtwoorden omgezet in hashes die worden vergeleken met de hash die bij uw wachtwoord hoort.
Dit proces kan heel lang duren. Hoe complexer het wachtwoord, hoe langer het duurt om het te kraken. Als een wachtwoord complex genoeg is, doet een krachtige computer er honderden of zelfs duizenden jaren over om het te kraken. Hoewel sommige van deze aanvallen gebruikmaken van de kracht van botnets, kan een goed wachtwoord nog steeds een brute-force-aanval afslaan.
Bij brute-force-aanvallen kunnen hackers ook inloggegevens recyclen. Daarbij worden eerdere combinaties van gekraakte gebruikersnamen en wachtwoorden gebruikt. Omgekeerde brute-force-aanvallen bestaan ook. Dan wordt een algemeen wachtwoord (zoals ‘wachtwoord’) gebruikt om gebruikersnamen te achterhalen.
Aangezien de methoden om wachtwoorden te kraken steeds geavanceerder zijn geworden, is het heel belangrijk om software te gebruiken waarmee gegevenslekken in de gaten worden gehouden. AVG BreachGuard waarschuwt u wanneer een van uw wachtwoorden wordt gelekt. Ook krijgt u advies over hoe u uw wachtwoordbeveiliging kunt verbeteren.
Woordenboekaanval
Bij woordenboekaanvallen wordt een enorme tabel met redelijk gebruikelijke wachtwoorden en hun hashes gebruikt. Met software voor een woordenboekaanval kan bijvoorbeeld een versleutelde hash op de server van Facebook worden vergeleken met een hash in de database. En de kans op een match is aanwezig.
Deze voorbeeldwachtwoorden bevatten zinnen of woorden uit woordenboeken met kleine aanpassingen. Een wachtwoord waarbij in het midden een willekeurig teken of cijfer is toegevoegd of is weggelaten, kan op die manier toch worden achterhaald.
Als u zich afvraagt hoe het kan dat er een lijst met honderden miljoenen mogelijke wachtwoorden bestaat, luidt het antwoord dat een tekstbestand met zoveel tekst slechts een paar gigabyte in beslag neemt en gemakkelijk te downloaden is.
De lijst voor woordenboekaanvallen doet ook dienst als een database voor eerder gekraakte wachtwoorden. Daardoor lopen mensen die wachtwoorden meerdere malen hergebruiken een groter risico. Woordenboekaanvallen maken duidelijk hoe belangrijk het is om altijd unieke wachtwoorden te gebruiken.
Social engineering
Bij social engineering worden mensen zo gemanipuleerd dat ze privacygevoelige informatie doorgeven. Hackers weten precies wat voor e-mails mensen al snel gedachteloos openen. Als u een e-mail ontvangt waarin u wordt gewaarschuwd voor een dreigend beveiligingsprobleem met uw account, klik dan niet op een koppeling en voer geen wachtwoord of persoonsgegevens in.
Andere tactieken zijn het gebruik van frauduleuze e-mailadressen, zoals admin [@] paypa|.com. Het zal u verbazen hoeveel mensen het verschil niet zien tussen de kleine letter L en het symbool |.
Klik nooit op een koppeling in een e-mail die u niet zelf hebt gegenereerd (bevestigingsmails voor inloggen) of die niet is verzonden door iemand die u kent, hoe betrouwbaar het adres er ook uitziet. Phishing-aanvallen nemen vele vormen aan, maar in alle gevallen hopen hackers dat u iets verdachts niet opmerkt.
Rainbow-table-aanval
Bij rainbow-table-aanvallen hoeven er geen honderden miljoenen combinaties van wachtwoorden en hashes te worden opgeslagen. Rainbow tables oftewel regenboogtabellen bevatten vooraf berekende hashes waardoor relatief snel de hele tekenreeks kan worden gekraakt. Dit betekent dat er minder volume nodig is en elke wachtwoord-hashcombinatie veel gemakkelijker te vinden is.
Terwijl brute-force-aanvallen veel tijd kosten en woordenboekaanvallen veel ruimte innemen (omdat enorme bestanden moeten worden doorzocht), worden er bij rainbow-table-aanvallen bepaalde afwegingen gemaakt, waardoor er minder tijd en ruimte nodig is. Dit blijkt zeer doeltreffend en met name het populaire hulpprogramma RainbowCrack is effectief.
Maskeraanval
Bij maskeraanvallen wordt ervan uitgegaan dat een wachtwoord een veel voorkomende vorm heeft, zoals één hoofdletter aan het begin gevolgd door verschillende kleine letters, en wordt niet elke mogelijke iteratie doorlopen. Met maskeraanvallen kunnen wachtwoorden dan ook in enkele minuten worden gekraakt in tegenstelling tot de jaren die brute-force-aanvallen kunnen vergen.
Spidering
Spidering houdt in dat de interne of externe communicatie van een bedrijf wordt doorgelicht om zinnen of jargon te vinden die werknemers als wachtwoord zouden kunnen gebruiken. Net als individuele wachtwoorden weerspiegelen bedrijfswachtwoorden vaak de dagelijkse activiteiten van de werknemers die ze gebruiken. Hoe meer trainingsdocumenten en promotiemateriaal een bedrijf heeft, hoe groter de kans dat wachtwoorden kunnen worden gekraakt.
Offline kraken
Bij offline kraken krijgt een hacker een reeks gehashte wachtwoorden van een gehackte server in handen en vergelijkt vervolgens de wachtwoorden in platte tekst offline met de hashes. De beheerder van de hostwebsite heeft niet door dat er iets aan de hand is en de hacker heeft genoeg tijd om het wachtwoord te kraken.
Hulpprogramma’s voor het hacken van wachtwoorden
Netwerkanalysatoren en packet-capture-programma's zijn twee soorten hulpprogramma's voor het kraken van wachtwoorden. Hiermee worden gegevenspakketten gecontroleerd en onderschept. Voor deze hulpprogramma's is een netwerkverbinding nodig. Zodra die tot stand is gebracht, kunnen de bits van de gegevens die in en uit gaan echter in platte tekst worden omgezet. Gelukkig kunnen diezelfde programma's een bedrijf ook helpen beveiligingslekken op te sporen.
Wachtwoordkrakers
Veel van de populairste wachtwoordkrakers gebruiken een combinatie van bovenstaande technieken. Het feit dat ze gemakkelijk in het gebruik zijn en de vraag van consumenten naar krachtige pc's toeneemt, betekent dat steeds meer mensen gaan hacken.
Voorkom met AVG BreachGuard dat uw wachtwoorden worden gekraakt. Met deze software worden de nieuwste gegevensinbreuken in de gaten gehouden en wordt u onmiddellijk gewaarschuwd als een van uw wachtwoorden uitlekt. U kunt dan snel uw wachtwoorden wijzigen voordat iemand ze kan gebruiken om uw accounts te hacken.
Malware
Ook met malware kunnen wachtwoorden worden gekraakt. Keyloggers zijn een vorm van malware waarmee heimelijk al uw toetsaanslagen worden vastgelegd en worden teruggestuurd naar de persoon die de keylogger op uw systeem heeft geplaatst.
Gebruik de beste antivirussoftware die u kunt vinden om u te beschermen tegen keyloggers en andere schadelijke software. Door een sterk antimalwareprogramma te installeren, weert u software voor het kraken van wachtwoorden van uw apparaat.
Brutus
Brutus is een brute-force-wachtwoordkraker die gebruikmaakt van een uitgebreide, op woordenboeken gebaseerde aanvalsmethode die oneindig veel gissingen toelaat. Brutus is niet alleen populair bij cybercriminelen, maar kent ook legitieme toepassingen. Bijvoorbeeld wanneer iemand het wachtwoord van zijn eigen router niet kent.
RainbowCrack
RainbowCrack helpt hackers bij het kraken van wachtwoorden door regenboogtabellen te genereren. Deze bevatten sets van vooraf berekende hashes die het kraken van wachtwoorden versnellen. Gelukkig kan het gebruik van regenboogtabellen worden tegengegaan met een veelgebruikte techniek die bekend staat als salt. Dit is een proces waarbij hostwebsites willekeurige tekenreeksen toevoegen aan wachtwoorden in platte tekst. Vervolgens wordt de salt samen met de hash in de database bewaard.
Cain and Abel
Met Cain and Abel worden alle wachtwoorden geëxtraheerd die op een computer worden gevonden. Tenzij u al uw systeembestanden volledig wist, kan een Windows 10-wachtwoordkraker zoals Cain and Abel wachtwoorden achterhalen voor onder meer e-mailadressen, besturingssystemen en wifi-verbindingen.
Door Word- en Excel-bestanden met een wachtwoord te beveiligen, kunt u zeer gevoelige informatie vergrendelen.
Medusa
Met Medusa worden wachtwoorden aan de hand van een woordenlijst gecontroleerd. Het kan zelfs worden gebruikt om wachtwoorden te achterhalen van andere apparaten in hetzelfde wifi-netwerk. Medusa vereist een beetje technische kennis, maar gebruiksaanwijzingen zijn gemakkelijk te vinden.
Door de toename van software zoals de Medusa-wachtwoordkraker is het nu belangrijker dan ooit om lange, unieke en moeilijk te raden wachtwoorden of wachtwoordzinnen te gebruiken.
Is het kraken van wachtwoorden illegaal?
Het kraken van wachtwoorden bij een online dienst is illegaal, tenzij u toestemming hebt om de veiligheid van een systeem te testen. Ook al gaat het om uw eigen wachtwoord, inbreken bij een dienst als Facebook blijft inbreken. U begaat een misdaad, zelfs als uw bedoelingen goed zijn.
Zowel in de VS als in andere landen zijn mensen gearresteerd wegens het aanbieden van diensten voor het kraken van wachtwoorden. In 2014 werd ontdekt dat exploitanten van een dergelijke dienst hadden ingebroken bij e-mailaccounts en vervolgens losgeld vroegen om de toegang te herstellen.
Hoe kan ik voorkomen dat mijn wachtwoorden worden gehackt?
Wachtwoordprivacy lijkt vaak heel ingewikkeld. Maar u hebt de touwtjes in handen. De wachtwoorden die het vaakst worden gekraakt, zijn niet volgens de basisbeginselen voor wachtwoordbeveiliging gemaakt. Zo moet een wachtwoord niet gewoon ‘wachtwoord’ zijn of een eenvoudige reeks cijfers bevatten zoals ‘123456’.
Hier leest u hoe u kunt voorkomen dat uw wachtwoorden worden gehackt.
Maak een lang, uniek en moeilijk te raden wachtwoord
-
Gebruik verschillende hoofdletters, kleine letters, cijfers en speciale tekens.
-
Gebruik eventueel een wachtwoordzin die uit willekeurige en ongerelateerde woorden bestaat.
-
Verspreid de speciale tekens. Gebruik niet slechts één hoofdletter aan het begin van uw wachtwoord.
-
Maak een wachtwoord van minimaal 16 tekens.
Gebruik moeilijk te raden wachtwoordzinnen die uit willekeurige woorden bestaan om uw accounts veilig te houden.
Zelfs met de meest geavanceerde methoden op de krachtigste computers zouden hackers er jaren over doen om een wachtwoord te kraken dat aan al die voorwaarden voldoet. Een goed programma voor wachtwoordbeheer kan sterke wachtwoorden voor u genereren, zodat u deze niet zelf hoeft te verzinnen.
Gebruik antivirussoftware
Solide antimalwaresoftware spoort een keylogger op voordat deze gevoelige gegevens kan vastleggen. AVG AntiVirus FREE detecteert en blokkeert automatisch alle malware die uw kant opkomt. Daarnaast scant en verwijdert het malware die al op uw apparaat staat.
Schakel tweefactorauthenticatie in
Als u uw telefoon altijd bij u hebt, kan dit in uw voordeel werken. Tweefactorauthenticatie (2FA) voegt een extra beveiligingslaag toe voor inloggen bij accounts. Vaak gaat dit via een mobiele app of sms-dienst. Hoewel sommige hackers 2FA-sms'jes hebben vervalst, zijn verificatie-apps een zeer veilige methode voor accountverificatie en -bescherming.
Gebruik een VPN
Met een VPN (Virtual Private Network) wordt zowel uw inkomende als uitgaande internetverkeer versleuteld. Wachtwoordkrakers vangen soms stukjes gegevens op tijdens de overdracht en dit is waar de voordelen van VPN’s echt van pas kunnen komen.
Bescherm uw wachtwoorden en gegevens met AVG BreachGuard
AVG BreachGuard doet meer dan alleen de laatste wachtwoorddumps scannen om te controleren of die van u zijn gelekt. Het meldt u ook af voor de verzameling van uw gegevens door derden, waardoor gegevenshandelaren uw gegevens niet langer op hun servers kunnen opslaan. Houd uw wachtwoorden veilig met AVG BreachGuard.