Het is niet verrassend dat succesvolle datalekken herleiden naar zwakke of gestolen wachtwoorden. Onderzoek toont aan dat slechts 31% van de volwassen werknemers handmatig een uniek wachtwoord invoert voor zakelijke accounts. Sterker nog, 8% gaf zelfs hun wachtwoorden in dreigende situaties. Deze verontrustende statistieken benadrukken de risico's die slecht wachtwoordbeheer teweegbrengen. Wanneer gebruikers wachtwoordveiligheid niet serieus nemen, wordt het aanvalsoppervlak van een organisatie exponentieel groter. Dus hoe kunnen organisaties dit risico op dataverlies en het compromitteren van accounts verkleinen? Hieronder hebben we een lijst samengesteld met de meest voorkomende technieken die gebruikt worden voor het kraken van wachtwoorden, hoe cybercriminelen te werk gaan en een aantal tips om de organisatie veilig te houden.
Wat is wachtwoord kraken?
Het kraken van wachtwoorden verwijst naar het proces waarbij versleutelde wachtwoorden hersteld worden. Bijvoorbeeld bij het herstellen van een versleuteld wachtwoord, of om een systeembeheerder te helpen bij het controleren van zwakke wachtwoorden. Kwaadwillenden gebruiken ook steeds vaker deze technieken om ongeautoriseerde toegang te krijgen tot systemen en informatie.
Het kraken van wachtwoorden is een heel gevarieerde techniek. Cybercriminelen gebruiken gespecialiseerde tools, verschillende technieken en combineren deze om hun kans op succes te vergroten. Over het algemeen zijn er twee soorten aanvallen:
- Het raden van wachtwoorden
- Het kraken van wachtwoorden
Hoewel de termen vaak door elkaar gebruikt worden, betekenen ze niet hetzelfde. Het raden van wachtwoorden is een techniek waarbij cybercriminelen verschillende combinaties van tekens proberen om de juiste combinatie te achterhalen. Het kraken van wachtwoorden is daarentegen een methode waarbij wachtwoorden vanuit een versleutelde vorm worden ontcijferd.
Vijf Verschillende Technieken voor het Kraken van Wachtwoorden
1. Brute-force aanval
Bij deze relatief oude maar effectieve aanvalsmethode gebruiken cybercriminelen geautomatiseerde scripts om mogelijke wachtwoorden uit te proberen totdat het juiste wachtwoord werkt. Brute-force aanvallen kunnen erg tijdrovend zijn, omdat ze een systematische aanpak hanteren om alle mogelijke combinaties van tekens in een reeks uit te proberen. Hoe langer het wachtwoord, hoe langer het duurt. Deze aanvallen zijn het meest succesvol bij gewone of zwakke wachtwoorden. Bij een sterk wachtwoord duurt dit soms dagen.
2. Dictionary aanval
Deze aanvallen zijn vergelijkbaar met brute-force aanvallen, maar ze gaan minder over kwantiteit en meer over kwaliteit. In plaats van elke mogelijke combinatie te proberen, opereren cybercriminelen op basis van bepaalde patronen die gebruikers volgen bij het aanmaken van een wachtwoord. Bij deze aanvallen richten cybercriminelen zich op de meest waarschijnlijke wachtwoorden.
Sommige gebruikers kiezen wachtwoorden die makkelijk te onthouden zijn, zoals "wachtwoord" of "123abc". Anderen volgen voorspelbare patronen die per regio verschillen: wachtwoorden die gerelateerd zijn aan favoriete sportteams, lokale bezienswaardigheden, plaatsnamen, enzovoort. Een New Yorker zou bijvoorbeeld "yankeefan1998" kiezen. Cybercriminelen verzamelen lijsten met waarschijnlijke wachtwoorden in aanvalswoordenboeken. Vervolgens breiden ze die wachtwoorden uit met cijfers, letters en tekens voor langere wachtwoorden. Vervolgens gebruiken ze geautomatiseerde scripts om ieder wachtwoord op een gebruikersnaam te testen, totdat ze geblokkeerd worden.
3. Credential stuffing aanval
Bij credential stuffing profiteren cybercriminelen van gebruikers die dezelfde gebruikersnamen en wachtwoorden gebruiken voor meerdere accounts. Naarmate er meer inloggegevens bekend worden door datalekken, neemt de kans op dit soort aanvallen toe.
Het werkt als volgt: gecompromitteerde gebruikersnamen en wachtwoorden worden toegevoegd aan een botnet. Dit automatiseert het proces om de gegevens op meerdere sites tegelijk te testen. Het doel van deze aanvallen is het identificeren van accountcombinaties die werken en op meerdere sites herbruikbaar zijn. Deze aanvallen hebben een relatief laag succespercentage, maar de impact van een grootschalige botnet-aanval is allesbehalve klein.
4. Hybride aanval
Wanneer gebruikers van wachtwoord veranderen, voegen ze vaak een paar extra cijfers, letters of tekens toe aan het einde. Aanvallers halen hier hun profijt uit. Een hybride aanval is een mix van woordenboekaanvallen en brute kracht. Cybercriminelen proberen het gecompromitteerde wachtwoord van een gebruiker voor één site te pakken te krijgen. De gebruiker ontdekt dat het gecompromitteerd is en verandert het. De aanvaller zal nu variaties van het oude wachtwoord uitproberen met behulp van een brute force-methode die het toevoegen van cijfers, letters en meer automatiseert. Ondanks dat deze methode meer tijd kost, is het sneller dan een brute-force-aanval.
5. Rainbow table aanval
Iedere verantwoordelijke organisatie bewaart wachtwoorden in een hashing-algoritme dat de wachtwoorden omzet in een reeks 'willekeurige' letters en cijfers. Ze kunnen deze output zelfs een tweede keer hashen in een proces, ook bekend als ‘salting’. Zo maken ze het cybercriminelen nog moeilijker.
Er zijn maar een beperkt aantal hashing algoritmen. En ze hashen dezelfde wachtwoorden steeds op dezelfde manier. Hierdoor kunnen cybercriminelen databases ontwikkelen van veelgebruikte wachtwoorden die ze hebben ontcijferd. Zodra ze een wachtwoord hebben ontfutseld, slaan ze het op in een database, de ‘rainbow table’.
Wanneer de aanvaller een nieuw gehasht wachtwoord krijgt, controleren ze of het overeenkomt met een van de vooraf berekende hashes uit hun rainbow table. Het nadeel van deze tabellen is dat ze heel tijdrovend en intensief zijn.
Vier Tips om organisaties te beschermen tegen wachtwoordaanvallen
Veilige wachtwoorden lijken een standaard onderdeel van de cyberbeveiligingsstrategie, maar ze zijn de meest voorkomende manier waarop cybercriminelen ongeautoriseerde toegang krijgen tot vertrouwelijke gegevens en systemen. Daarom zijn sterke wachtwoorden essentieel om organisaties veilig te houden. Vier tips voor alle bedrijven, organisaties en instellingen:
- Maak een sterk wachtwoordbeleid. Met een minimale lengte van 20 tekens, het gebruik van speciale tekens, en regelmatige aansporing om wachtwoorden opnieuw in te stellen.
- Gebruik multi-factor authenticatie (MFA). Het kraken van wachtwoorden wordt meestal geneutraliseerd bij het gebruik van MFA. Een cybercrimineel heeft na het achterhalen van het wachtwoord in veel gevallen nog steeds geen toegang tot de secundaire authenticatiemethode.
- Versleutel, hash en salt wachtwoorden. Zowel versleutelen als hashen vergroten de inspanning en de rekenkracht die nodig is voor aanvallen en salting maakt het proces nog moeilijker.
- Update systemen regelmatig. Als systemen niet worden bijgewerkt, kan malware die de toetsaanslagen van gebruikers volgt, e-mails, bestanden en toepassingen infecteren. Tijdens deze aanslagaanvallen verzamelen cybercriminelen gebruikersgegevens en andere gevoelige informatie. Geüpdatete systemen kunnen deze aanvallen voorkomen.
Door Mark-Peter Mansveld, Vice President Northern Europe, Middle East & Israel bij Proofpoint