Hoe worden wachtwoorden gehackt?

Handboek IT-securityHet boek van de maand augustus is Handboek IT-security van Tom de Mulder. Dit boek is bedoeld voor zowel MKB’ers als zzp’ers die een actuele stand van zaken willen hebben over IT-security en hoe dat hun eigen IT-omgeving kan raken. Het boek biedt een overzicht en uitleg van de verschillende domeinen binnen IT-security en de gevaren die daar potentieel achter verscholen zitten. We publiceren deze maand wat voorproefjes uit het boek en interviewen auteur Tom de Mulder. Dit is het 2de voorproefje uit het boek: hoe worden wachtwoorden gehackt? Het 1ste voorproefje behandelde antivirussoftware: moet je naast Windows Defender nog extra antivirussoftware installeren? Een bespreking van het Handboek vind je HIER.

Hoe worden wachtwoorden gehackt?

Hoe slim je ook denkt je wachtwoord zelf te hebben gekozen, er zijn bijna 10 miljard mensen op de wereld, en het zal niet uniek zijn.

Mensen zijn immers heel erg slecht in het bedenken van willekeurige karakters, en de meeste wachtwoorden die mensen zelf kiezen zijn heel zwak en gemakkelijk te kraken. Elk jaar vallen verscheidene grote websites aan krakers ten prooi, en daarbij worden lijsten van miljoenen wachtwoorden gepubliceerd. Daaruit blijkt altijd dat het merendeel van de wachtwoorden die mensen gebruiken, gebaseerd zijn op bestaande woorden of namen,met slechts eenvoudige aanpassingen zoals het veranderen van enkele letters, of het toevoegen van een leesteken. Dit is echt onvoldoende, en je wachtwoord moet echt willekeurig gekozen zijn (random in het Engels).

Duizend wachtwoorden per seconden

Computers kunnen heel snel wachtwoorden uitproberen, en hiervoor worden speciale programma’s geschreven. Wanneer deze programma’s gebruikt worden om online accounts te hacken, dan werken ze op hun traagst: ze moeten dan immers een verbinding maken met de website waarop wordt ingelogd, en wachten op een antwoord om te weten of het wachtwoord al dan niet correct was. Desalniettemin kunnen zo een duizendtal wachtwoorden per seconde uitgeprobeerd worden, meestal door meerdere computers tegelijk parallel aan het probleem te laten werken. Bij niet-gerichte aanvallen, waarbij kwetsbare computers worden gezocht en niet één bepaald doelwit wordt benaderd, zullen de meest gebruikte gebruikersnamen en wachtwoorden worden uitgeprobeerd op elke server die kan worden bereikt. Om dit soort aanvallen te temperen zullen zoals gezegd veel servers de verificatie van wachtwoorden doelbewust vertragen wanneer veel foute inlogpogingen worden ondernomen. Soms slagen hackers er echter in de volledige databank met alle wachtwoorden van een website of andere online dienst te bemachtigen.

Versleutelde wachtwoorden

De meeste sites zullen in dat geval de wachtwoorden in deze databank wel versleuteld hebben. Om de wachtwoorden terug te vinden moeten alle mogelijke wachtwoorden uitgetest worden door ze te versleutelen en dan te vergelijken met de waarde in de databank. Omdat de hackers echter rechtstreeks over de databank beschikken hoeft dit niet via internet te gebeuren, en kan dit enorm snel. Men gebruikt de enorme kracht van 3D grafische kaarten in moderne computers, omdat deze geoptimaliseerd zijn om snel miljoenen beeldelementen per seconde te berekenen voor computerspellen. Dit gebeurt parallel: de grafische chips zijn onderverdeeld in honderden eenheden, die elk een ander stukje van het scherm berekenen. In dit geval worden echter, in plaats van beelden, letters en andere tekens berekend—voor de chips zijn het tenslotte toch allemaal getallen. Op deze manier kunnen tientallen miljarden mogelijke wachtwoorden per seconde worden getest.

Populaire wachtwoorden

Eerst zal men de populairste wachtwoorden proberen, die gekend zijn door geanonimiseerde analyses van online systemen en analyse van gelekte wachtwoorddatabanken. Hieronder zie je enkele van de populairste wachtwoorden, en je weet nu genoeg om onmiddellijk te besluiten dat geen enkel wachtwoord op de lijst ook maar enigszins veilig is. (Door de internationale aard van het internet zijn de meest gebruikte wachtwoorden vaak gebaseerd op Engelse woorden of toetsenborden; de Nederlandse tegenhangers zijn echter net zo onveilig.)

De 25 populairste online wachtwoorden van 2014
1. 123456 2. password 3. 12345 4. 12345678 5. qwerty 6. 123456789 7. 1234 8. baseball 9. dragon 10. football 11. 123456712. monkey 13. letmein 14. abc123 15. 111111 16. mustang 17. access 18. shadow 19. master 20. michael 21. superman 22. 696969 23. 123123 24. batman 25. trustno1

Dan zullen zij wachtwoorden proberen die gebaseerd zijn op bestaande woorden of eigennamen, in verschillende talen en van verschillende regio’s, waarbij alle volgordes van hoofdletters en kleine letters automatisch worden uitgeprobeerd, net als de toevoeging van wat leestekens, of het vervangen van sommige letters door cijfers. Hackers weten immers dat dit populaire methodes zijn waarmee gebruikers denken wachtwoorden veiliger te maken en daarmee wordt deze aanpak dan ook snel tenietgedaan.

Inloggen van de ene site op de andere

Soms kun je veilig inloggen op één website om toegang te krijgen op een andere. Het gaat dan om gedecentraliseerde authenticatie, wat je de mogelijkheid geeft om met Google, Facebook of dergelijke in te loggen op een andere website. De andere site heeft niets met Google of Facebook te maken, zij gebruiken enkel een cryptografisch protocol dat hen toelaat Google of Facebook te vertrouwen voor authenticatie, in plaats van het wiel zelf opnieuw uit te vinden en zelf je wachtwoord te beheren. Ook sommige programma’s of mobiele apps gebruiken dit systeem van authenticatie wanneer ze de gebruiker willen identificeren, bijvoorbeeld om gegevens uit te wisselen.

Algemeen gesproken is deze aanpak veilig. Google, bijvoorbeeld, is een internetgigant met een sterke reputatie op het vlak van gebruikersgegevens en identificatie.

Een typisch voorbeeld van een site die je laat inloggen met Google of Facebook.

Zij bieden 2-factor authenticatie aan, zodat je een wachtwoord kunt combineren met een authenticator of SMS-berichtjes naar je telefoon. Je Google-account is zo goed als zeker veiliger dan deze van een kleinere website, en wanneer je Google kunt gebruiken om op die site in te loggen dan is dat vaak een goede keuze.

Eerst naar Google!

Let er echter wel op dat het hier niet gaat om een complexe poging je Google-wachtwoord te stelen! Zorg er altijd voor dat je eerst naar een Google-website surft en daar inlogt, zodat je je wachtwoord niet opnieuw hoeft in te tikken wanneer je de keuze maakt op de andere site om met Google in te loggen. En hetzelfde geldt voor Facebook, of andere websites die op deze manier gebruikt worden. Wanneer je inlogt zullen Google, Facebook enzovoort een cookie in je webbrowser opslaan dat de browser kan gebruiken om te bewijzen dat je identificatie bij deze site geldig is. Wanneer je ‘Log in met Google’ aanklikt, dan wordt ditzelfde cookie gebruikt om je identiteit met Google te verifiëren, waarna de webserver van de site die je bezoekt ook een verbinding met Google maakt voor een gelijkaardige verificatie. Is dit alles succesvol dan aanvaardt de site je identiteit, en zal ze je ook in de toekomst herkennen.

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.