Het internet staat vol met gevoelige informatie, zoals financiële gegevens en persoonlijke identiteitsgegevens. Om deze informatie te beschermen, zijn sterke en unieke wachtwoorden van groot belang. Toch gaat het regelmatig fout, helaas zijn zwakke wachtwoorden nog een veelvoorkomend probleem en worden wachtwoorden vaak gerecycled voor meerdere accounts. Dit maakt het kraken van wachtwoorden een lucratieve en gemakkelijke taak voor cybercriminelen. Maar welke technieken passen zij toe en hoe kun jij jezelf of je klanten/werknemers hier beter tegen beschermen?

Welke technieken gebruiken hackers voor het kraken van wachtwoorden?

Er zijn verschillende manieren om wachtwoorden te kraken. Vroeger was een van de meest voorkomende methodes het gebruik van een brute-force aanval. Hierbij worden automatisch miljoenen combinaties van cijfers, letters en symbolen gegenereerd totdat het juiste wachtwoord wordt gevonden. Echter wordt deze methode steeds minder succesvol, aangezien er bij steeds meer bedrijven al een wachtwoordbeleid wordt toegepast die werknemers helpt de complexiteit van hun wachtwoorden te verbeteren. Dit is een positieve ontwikkeling, een wachtwoord van acht tekens met alleen kleine letters en hoofdletters heeft al 200 miljard mogelijke combinaties wat niet meer haalbaar is door middel van alle mogelijke combinaties brute-forcen.

Een andere methode die tegenwoordig populairder is voor het kraken van wachtwoorden is het gebruik van een dictionary-based aanval, waarbij een aanvaller een lijst met bekende wachtwoorden, woorden uit woordenboeken, namenlijsten, etc. gebruikt. Deze lijsten kunnen van alles zijn, maar vaak zijn dit lijsten van online gelekte wachtwoorden uit datalekken. Zo zijn er online lijsten te vinden die een verzameling van in totaal circa 2 miljard e-mailadressen en wachtwoorden zijn. Het heeft ongeveer een grootte van 845 Gigabytes (GB). Om een gevoel te krijgen hoe groot deze collectie is, is de volgende vergelijking gemaakt: de meeste nieuwe laptops hebben een harde schijf ruimte van tussen de 250 GB en de 500 GB. Er kan dus vanuit gegaan worden dat deze collectie ongeveer 2 harde schijven bij elkaar zijn, met alleen maar e-mails en wachtwoorden! Doordat veel mensen vrij eenvoudige wachtwoorden gebruiken met standaard woorden uit hun taal erin, kunnen dit soort aanvallen erg effectief zijn. Daarnaast zijn er vele tricks die hackers kunnen gebruiken om een woordenlijst zo aan te passen dat deze meer slagingskans heeft voor een bepaald slachtoffer. Bijvoorbeeld door te zoeken naar eerder gelekte wachtwoorden en hier variaties op te maken, of variaties met behulp van persoonlijke details te maken, denk aan namen van huisdieren, familie, geboortedatums etc. gegevens die vaak verwerkt worden in wachtwoorden.

Er zijn nog meer manieren waarop cybercriminelen aan wachtwoorden kunnen komen zonder deze per se te hoeven kraken, zoals het gebruik van phishing. Vooral richting bedrijven maar ook individuen blijft phishing een ontzettend populaire methode voor het bemachtigen van toegang tot verschillende online accounts en data. Waarbij een aanvaller bijvoorbeeld een vervalsing maakt van een betrouwbare website en via een e-mail probeert gebruikers te overtuigen om hun wachtwoord/gegevens ergens in te voeren. Hoe phishing mails en tactieken beter herkend kunnen worden zal zeker nog eens behandeld worden in een toekomstige blogpost!

Bent u nou benieuwd of u ook ooit in een datalek bent voorgekomen met uw e-mailadres? Neem eens een kijkje op https://haveibeenpwned.com en voer uw e-mailadres in, deze website houdt een grote collectie van datalekken bij en kan laten zien of een bepaald email adres ooit betrokken is bij een datalek. En ja, dit is veilig!

Welke acties kan jij nemen om jezelf te beschermen tegen password cracking?

Er zijn verschillende stappen die ondernomen kunnen worden om accounts beter te beschermen tegen aanvallers. Ten eerste is het belangrijk om sterke en unieke wachtwoorden te gebruiken voor elk online account. Gebruik een combinatie van letters, cijfers en symbolen in plaats van eenvoudige woorden of maak bijvoorbeeld gebruik van wachtwoordzinnen. Schakel daarnaast tweefactor-authenticatie in waar mogelijk, waarbij een extra stap nodig is, zoals het invoeren van een code die naar de telefoon wordt verzonden, om toegang tot een account te krijgen. Mocht een aanvaller in bezit komen van het wachtwoord van een account, zorgt de 2^de factor authenticatie ervoor dat hij/zij hier alsnog niet bij komt en blijft het account veilig!

Het aantal online accounts dat we allemaal gebruiken voor verschillende diensten blijft constant groeien. Hierdoor kan het lastig zijn om alle verschillende wachtwoorden te onthouden, zeker als deze ook nog eens allemaal sterk en uniek moeten zijn. Het is dan ook aan te raden om een wachtwoordmanager te gebruiken. Dit is een softwareoplossing die is ontworpen om, onder andere wachtwoorden, veilig op te slaan en te beheren. Het stelt gebruikers in staat om unieke en sterke wachtwoorden te genereren voor elk van hun online accounts en deze op te slaan in een versleutelde kluis. De gebruiker kan vervolgens toegang krijgen tot de kluis met behulp van één enkel hoofdwachtwoord. Zorg dan wel dat dit hoofdwachtwoord heel moeilijk te raden is!

Een wachtwoordmanager biedt meestal de volgende functies:

• Automatisch invullen van inloggegevens: de wachtwoordmanager kan automatisch gebruikersnaam en wachtwoord invullen op de juiste plek op een website of in een app;
• Wachtwoordgeneratie: het kan willekeurige, sterke wachtwoorden genereren die voldoen aan bepaalde veiligheidsvereisten;
• Veilige opslag: het slaat de gegevens op in een versleutelde kluis op het apparaat van de gebruiker of in een veilige cloudomgeving;
• Synchronisatie: het kan de wachtwoorden synchroniseren tussen meerdere apparaten van de gebruiker;
• Beveiligingsaudit: het kan controleren of er zwakke of dubbele wachtwoorden zijn en deze aanbevelingen geven om ze te verbeteren.

Een aantal populaire opties voor wachtwoordmanagers die u kunt overwegen zijn bijvoorbeeld:

• NordPass
• 1Password
• Bitwarden
• Lastpass

Geschreven door Robin Tabak, gepost op 1 Maart 2023

Het blijft erg lastig om u of uw klanten/werknemers volledig te beschermen tegen wachtwoord-aanvallen, in deze blog zijn enkele tips gegeven om hiermee verder te helpen. Wilt u weten hoe veilig uw (cloud)omgeving, (web)applicatie of interne IT-infrastructuur is? Neem dan contact op met nSEC/Resilience en vraag een penetratietest aan!