Inzicht in de technieken voor het kraken van wachtwoorden die hackers gebruiken om uw online accounts wijd open te blazen, is een geweldige manier om ervoor te zorgen dat dit u nooit overkomt.
U zult zeker altijd uw wachtwoord moeten wijzigen, en soms dringender dan u denkt, maar het voorkomen van diefstal is een geweldige manier om de beveiliging van uw account in de gaten te houden. U kunt altijd naar www.haveibeenpwned.com gaan om te controleren of u risico loopt, maar denken dat uw wachtwoord veilig genoeg is om niet te worden gehackt, is een slechte instelling.
Om u te helpen begrijpen hoe hackers aan uw wachtwoorden komen, al dan niet veilig, hebben we een lijst samengesteld met de tien beste technieken voor het kraken van wachtwoorden die door hackers worden gebruikt. Sommige van de onderstaande methoden zijn zeker verouderd, maar dat betekent niet dat ze niet nog steeds worden gebruikt. Lees aandachtig en leer wat u kunt verminderen.
De tien beste technieken om wachtwoorden te kraken die door hackers worden gebruikt
1. Woordenboekaanval
De woordenboekaanval maakt gebruik van een eenvoudig bestand met woorden die in een woordenboek kunnen worden gevonden, vandaar de vrij eenvoudige naam. Met andere woorden, deze aanval gebruikt precies het soort woorden dat veel mensen als hun wachtwoord gebruiken.
Het slim groeperen van woorden zoals "letmein" of "superadministratorguy" zal niet voorkomen dat uw wachtwoord op deze manier wordt gekraakt - nou ja, niet langer dan een paar extra seconden.
2. Brute krachtaanval
Net als bij de woordenboekaanval, komt de brute force-aanval met een toegevoegde bonus voor de hacker. In plaats van alleen woorden te gebruiken, kunnen ze met een brute force-aanval niet-woordenboekwoorden detecteren door alle mogelijke alfanumerieke combinaties van aaa1 tot zzz10 te doorlopen.
Het is niet snel, op voorwaarde dat uw wachtwoord meer dan een handvol tekens lang is, maar het zal uw wachtwoord uiteindelijk onthullen. Brute force-aanvallen kunnen worden verkort door extra rekenkracht te gebruiken, zowel in termen van verwerkingskracht - inclusief het benutten van de kracht van uw videokaart-GPU - als machinenummers, zoals het gebruik van gedistribueerde computermodellen zoals online bitcoin-mijnwerkers.
3. Regenboogtafelaanval
Rainbow-tabellen zijn niet zo kleurrijk als hun naam doet vermoeden, maar voor een hacker zou je wachtwoord er wel eens aan kunnen staan. Op de meest eenvoudige manier kunt u een regenboogtabel samenvatten in een lijst met vooraf berekende hashes - de numerieke waarde die wordt gebruikt bij het versleutelen van een wachtwoord. Deze tabel bevat hashes van alle mogelijke wachtwoordcombinaties voor een bepaald hash-algoritme. Rainbow-tabellen zijn aantrekkelijk omdat het de tijd die nodig is om een wachtwoordhash te kraken, vermindert door simpelweg iets op te zoeken in een lijst.
Regenboogtafels zijn echter enorme, onhandige dingen. Ze vereisen serieuze rekenkracht om te draaien en een tabel wordt nutteloos als de hash die het probeert te vinden is "gezouten" door willekeurige tekens aan het wachtwoord toe te voegen voordat het algoritme wordt gehasht.
Er is sprake van gezouten regenboogtafels, maar deze zouden zo groot zijn dat ze in de praktijk moeilijk te gebruiken zijn. Ze zouden waarschijnlijk alleen werken met een vooraf gedefinieerde set "willekeurige tekens" en wachtwoordreeksen van minder dan 12 tekens, omdat de grootte van de tabel anders onbetaalbaar zou zijn voor zelfs hackers op staatsniveau.
4. Phishing
Er is een eenvoudige manier om te hacken, vraag de gebruiker om zijn of haar wachtwoord. Een phishing-e-mail leidt de nietsvermoedende lezer naar een vervalste inlogpagina die is gekoppeld aan de service die de hacker wil gebruiken, meestal door de gebruiker te vragen een vreselijk probleem met hun beveiliging op te lossen. Die pagina skimt vervolgens hun wachtwoord en de hacker kan het voor zijn eigen doel gaan gebruiken.
Waarom zou u de moeite nemen om het wachtwoord te kraken als de gebruiker het u toch graag wil geven?
5. Sociale techniek
Social engineering haalt het hele "vraag het de gebruiker"-concept buiten de inbox waar phishing vaak bij blijft en in de echte wereld.
Een favoriet van de social engineer is om een kantoor te bellen dat zich voordoet als een IT-beveiligingstechneut en gewoon om het wachtwoord voor netwerktoegang te vragen. Je zou versteld staan hoe vaak dit werkt. Sommigen hebben zelfs de nodige geslachtsklieren om een pak en een naambadge aan te trekken voordat ze een bedrijf binnenlopen om de receptioniste dezelfde vraag persoonlijk te stellen.
6. Malware
Een keylogger of schermschraper kan worden geïnstalleerd door malware die alles wat u typt of screenshots maakt tijdens een inlogproces registreert en vervolgens een kopie van dit bestand doorstuurt naar Hacker Central.
Sommige malware zoekt naar het bestaan van een wachtwoordbestand voor een webbrowserclient en kopieert dit dat, tenzij correct gecodeerd, gemakkelijk toegankelijke opgeslagen wachtwoorden uit de browsegeschiedenis van de gebruiker zal bevatten.
7. Offline kraken
Het is gemakkelijk voor te stellen dat wachtwoorden veilig zijn wanneer de systemen die ze beschermen, gebruikers na drie of vier verkeerde gissingen buitensluiten, waardoor geautomatiseerde goktoepassingen worden geblokkeerd. Nou, dat zou waar zijn als het niet zo was dat het hacken van wachtwoorden offline plaatsvindt, met behulp van een set hashes in een wachtwoordbestand dat is 'verkregen' van een gecompromitteerd systeem.
Vaak is het betreffende doelwit gecompromitteerd via een hack op een derde partij, die vervolgens toegang geeft tot de systeemservers en die uiterst belangrijke hashbestanden voor gebruikerswachtwoorden. De wachtwoordkraker kan dan zo lang duren als nodig is om de code te kraken zonder het doelsysteem of de individuele gebruiker te waarschuwen.
8. Schoudersurfen
Een andere vorm van social engineering, schoudersurfen, houdt, zoals het impliceert, in dat je over iemands schouders gluurt terwijl ze inloggegevens, wachtwoorden, enz. invoeren. Hoewel het concept erg low-tech is, zou je verbaasd zijn hoeveel wachtwoorden en gevoelige informatie wordt op deze manier gestolen, dus blijf op de hoogte van uw omgeving wanneer u onderweg toegang krijgt tot bankrekeningen, enz.
De meest zelfverzekerde hackers nemen de gedaante aan van een pakketkoerier, een aircoservicemonteur of iets anders dat hen toegang geeft tot een kantoorgebouw. Eenmaal binnen, biedt het servicepersoneel "uniform" een soort gratis pas om ongehinderd rond te dwalen en te noteren dat wachtwoorden worden ingevoerd door echte medewerkers. Het biedt ook een uitstekende gelegenheid om al die post-it-notities te bekijken die aan de voorkant van LCD-schermen zijn geplakt met inloggegevens die erop zijn gekrabbeld.
9. Spinnen
Slimme hackers hebben zich gerealiseerd dat veel bedrijfswachtwoorden bestaan uit woorden die verband houden met het bedrijf zelf. Het bestuderen van bedrijfsliteratuur, website-verkoopmateriaal en zelfs de websites van concurrenten en beursgenoteerde klanten kan de munitie opleveren om een aangepaste woordenlijst op te bouwen voor gebruik bij een brute force-aanval.
Echt slimme hackers hebben het proces geautomatiseerd en laten een spider-applicatie, vergelijkbaar met de webcrawlers die door toonaangevende zoekmachines worden gebruikt, trefwoorden identificeren, de lijsten voor hen verzamelen en sorteren.
10. Raad eens
De beste vriend van de wachtwoordcrackers is natuurlijk de voorspelbaarheid van de gebruiker. Tenzij er een echt willekeurig wachtwoord is gemaakt met behulp van software die speciaal voor de taak is gemaakt, is het onwaarschijnlijk dat een door de gebruiker gegenereerd 'willekeurig' wachtwoord iets dergelijks is.
In plaats daarvan, dankzij de emotionele gehechtheid van onze hersenen aan dingen die we leuk vinden, is de kans groot dat die willekeurige wachtwoorden zijn gebaseerd op onze interesses, hobby's, huisdieren, familie, enzovoort. In feite zijn wachtwoorden meestal gebaseerd op alle dingen waarover we graag chatten op sociale netwerken en zelfs opnemen in onze profielen. Wachtwoordcrackers zullen zeer waarschijnlijk naar deze informatie kijken en een paar – vaak correcte – weloverwogen gissingen doen wanneer ze proberen een wachtwoord op consumentenniveau te kraken zonder toevlucht te nemen tot woordenboek- of brute force-aanvallen.
Andere aanvallen om voor op te passen
Als hackers iets missen, is het geen creativiteit. Met behulp van een verscheidenheid aan technieken en door zich aan te passen aan steeds veranderende beveiligingsprotocollen, blijven deze indringers slagen.
Iedereen op sociale media heeft bijvoorbeeld waarschijnlijk de leuke quizzen en sjablonen gezien waarin je wordt gevraagd om te praten over je eerste auto, je favoriete eten, het nummer één nummer op je 14e verjaardag. Hoewel deze spellen ongevaarlijk lijken en zeker leuk zijn om te posten, zijn ze eigenlijk een open sjabloon voor beveiligingsvragen en antwoorden op accounttoegangsverificatie.
Probeer bij het opzetten van een account misschien antwoorden te gebruiken die niet echt op u van toepassing zijn, maar die u gemakkelijk kunt onthouden. "Wat was jouw eerste auto?" In plaats van naar waarheid te antwoorden, zet u in plaats daarvan uw droomauto. Post anders gewoon geen beveiligingsantwoorden online.
Een andere manier om toegang te krijgen, is door simpelweg uw wachtwoord opnieuw in te stellen. De beste verdediging tegen een indringer die uw wachtwoord opnieuw instelt, is het gebruik van een e-mailadres dat u regelmatig controleert en het up-to-date houden van uw contactgegevens. Schakel, indien beschikbaar, altijd 2-factor authenticatie in. Zelfs als de hacker uw wachtwoord te weten komt, heeft hij geen toegang tot het account zonder een unieke verificatiecode.
Veel Gestelde Vragen
Waarom heb ik voor elke site een ander wachtwoord nodig?
U weet waarschijnlijk dat u uw wachtwoorden niet moet vrijgeven en dat u geen inhoud moet downloaden die u niet kent, maar hoe zit het met de accounts waarop u zich elke dag aanmeldt? Stel dat u voor uw bankrekening hetzelfde wachtwoord gebruikt als voor een willekeurige rekening zoals Grammarly. Als Grammarly wordt gehackt, heeft de gebruiker ook uw bankwachtwoord (en mogelijk uw e-mailadres, waardoor het nog gemakkelijker wordt om toegang te krijgen tot al uw financiële middelen).
Wat kan ik doen om mijn accounts te beschermen?
Het gebruik van 2FA op alle accounts die de functie bieden, het gebruik van unieke wachtwoorden voor elk account en het gebruik van een combinatie van letters en symbolen is de beste verdedigingslinie tegen hackers. Zoals eerder vermeld, zijn er veel verschillende manieren waarop hackers toegang krijgen tot uw accounts, dus andere dingen die u regelmatig moet doen, zijn uw software en apps up-to-date houden (voor beveiligingspatches) en het vermijden van downloads die u niet kent.
Wat is de veiligste manier om wachtwoorden te bewaren?
Het bijhouden van verschillende unieke vreemde wachtwoorden kan ongelooflijk moeilijk zijn. Hoewel het veel beter is om het proces voor het opnieuw instellen van het wachtwoord te doorlopen dan om uw accounts te laten compromitteren, is het tijdrovend. Om uw wachtwoorden veilig te houden, kunt u een service zoals Last Pass of KeePass gebruiken om al uw accountwachtwoorden op te slaan.
U kunt ook een uniek algoritme gebruiken om uw wachtwoorden te bewaren en ze gemakkelijker te onthouden. PayPal kan bijvoorbeeld zoiets zijn als hwpp+c832. In wezen is dit wachtwoord de eerste letter van elke onderbreking in de URL (//www.paypal.com) met het laatste nummer in het geboortejaar van iedereen in uw huis (als voorbeeld). Wanneer u naar uw account gaat, bekijkt u de URL die u de eerste paar letters van dit wachtwoord geeft.
Voeg symbolen toe om het hacken van uw wachtwoord nog moeilijker te maken, maar organiseer ze zodat ze gemakkelijker te onthouden zijn. Het "+"-symbool kan bijvoorbeeld voor alle accounts zijn die verband houden met entertainment, terwijl het "!" kan worden gebruikt voor financiële rekeningen.