Wat is een brute-force aanval en hoe deze te voorkomen

What is a brute-force attack?

We moeten allemaal zo nu en dan CAPTCHA's oplossen, maar heb je er ooit aan gedacht wat het doel van deze soms vervelende tests is? En wat betekent CAPTCHA eigenlijk? Het staat voor C ompletely A utomated P penbare T ijdens proef C omputers en H Umans Een deel vertellen, en één van de hoofddoelen is voor een succesvolle brute-force aanvallen te voorkomen. Tijd voor nog wat vragen.

Wat is een brute-force aanval?

Denk aan een cijferslot. Je kent de viercijferige code niet die hem ontgrendelt, dus probeer hem gewoon te raden. U begint met "0000" en als het niet werkt, probeert u "0001", "0002", "0003", enz. Totdat u de combinatie bereikt die het slot opent. Dit is, eenvoudig gezegd, een brute-force aanval en hetzelfde principe kan worden toegepast op wachtwoorden.

Natuurlijk is het niet zo eenvoudig als het klinkt. Gewoonlijk bestaan wachtwoorden uit meer dan vier tekens, en meestal zitten er letters in, wat, zoals we zo dadelijk zullen ontdekken, betekent dat het aantal mogelijke combinaties veel hoger is. Al met al is een brute-force aanval in zijn traditionele vorm geen briljant effectieve manier om een wachtwoord te breken. Daarom komt tegenwoordig een evolutie van de brute-force aanval, een woordenboekaanval, veel vaker voor.

Wat is een woordenboekaanval?

In een woordenboekaanval proberen hackers het wachtwoord nog steeds te raden. Het verschil is dat ze in een brute-force poging in het donker schieten terwijl ze hier gefundeerde gissingen maken. Deze aanval wordt mogelijk gemaakt door het feit dat gebruikers gewoon niet zo goed zijn met wachtwoorden.

Het is moeilijk om meerdere complexe wachtwoorden te onthouden. Daarom gebruiken veel mensen hun account met eenvoudige woorden zoals "wachtwoord" of toetsenbordpatronen zoals "qwerty". Door lange lijsten met veelgebruikte wachtwoorden samen te stellen, zullen hackers veel sneller het wachtwoord raden met veel minder pogingen.

Offline en online aanvallen

Zowel de traditionele brute-force aanval als de woordenboekvariëteit kunnen online of offline worden uitgevoerd. Bij een online aanval proberen de hackers het wachtwoord op de inlogpagina te raden. Als ze offline zijn, hebben ze de serviceprovider overtreden en de database met uw hash-wachtwoord gedownload. Nadat ze het hash-mechanisme lokaal opnieuw hebben gemaakt, proberen ze het wachtwoord te raden zonder verbinding te maken met de inlogpagina.

Waar komt CAPTCHA in dit alles?

Het is een mechanisme om online brute-force en woordenboekaanvallen te stoppen. Zoals je misschien al hebt geraden, zitten de aanvallers niet voor een toetsenbord en proberen ze verschillende wachtwoorden uit totdat "Toegang verleend" op het scherm verschijnt. Ze gebruiken geautomatiseerde tools en software, en hoe geavanceerd deze tools ook zijn, ze zijn niet in staat om een goede CAPTCHA-test op te lossen. Er zijn meestal andere voorzorgsmaatregelen, zoals limieten voor het aantal mislukte inlogpogingen en het blokkeren van IP-adressen die verdacht verkeer genereren, maar een CAPTCHA-test is de eenvoudigste (hoewel niet volledig waterdichte) oplossing.

Bij een offline aanval is een CAPTCHA-test echter helemaal niet relevant. Dat is waar je moet ingrijpen.

Jezelf beschermen tegen brute-force aanvallen

De enige manier om ervoor te zorgen dat uw wachtwoord niet gevoelig is voor een woordenboekaanval, is om ervoor te zorgen dat het niet in de woordenboeken van hackers staat. Er is geen sprake van toetsenbordpatronen, zelfs als u denkt dat ze niet gemakkelijk te raden zijn. Als het wachtwoord een zinvol woord is, kunt u ook kwetsbaar zijn. Vergeet niet dat bij een offline aanval de hackers zich geen zorgen hoeven te maken dat ze worden betrapt of dat hun inlogpogingen opraken, dus kunnen ze in theorie de hele vocabulaire van een taal laden en wachten op het juiste woord. Een willekeurige reeks tekens die nergens op slaan, beschermt u niet alleen tegen woordenboekaanvallen, maar maakt ook brute-force-pogingen aanzienlijk moeilijker.

Afhankelijk van de lengte en het type tekens dat wordt gebruikt, is er een eindig aantal mogelijke combinaties voor elk wachtwoord. Voor een numerieke code van vier tekens hebt u bijvoorbeeld in totaal 10 duizend mogelijke combinaties. Als u kleine letters aan de vergelijking toevoegt, verhoogt u het getal echter onmiddellijk tot bijna 1,7 miljoen. Voeg hoofdletters toe en u ziet bijna 14,8 miljoen combinaties.

Het klinkt misschien als veel, maar moderne tools voor het kraken van wachtwoorden zullen al deze combinaties binnen enkele seconden doornemen. Daarom zeggen experts, naast het aanbevelen van een zo groot mogelijk aantal tekens, ook dat een goed wachtwoord op zijn minst 8 tekens lang.

Sommigen van jullie lezen misschien dit denken "gemakkelijker gezegd dan gedaan". Welnu, we denken dat het dwarsbomen van brute-force pogingen nog nooit zo eenvoudig is geweest. Met Cyclonis Password Manager is het maken van meerdere sterke wachtwoorden een fluitje van een cent. De automatische wachtwoordgenerator maakt willekeurige wachtwoorden die bestaan uit cijfers, letters en speciale tekens, en het is aan jou om te beslissen hoe lang je ze wilt hebben. Je hoeft je ook geen zorgen te maken om ze te onthouden. Cyclonis Password Manager plaatst al uw wachtwoorden in een gecodeerde kluis waartoe u toegang hebt via uw hoofdwachtwoord.

January 13, 2020

Laat een antwoord achter