De meest gebruikte methodes om wachtwoorden buit te maken (en hoe je ze kan voorkomen)

20 sep 2019

wachtwoorden, brute force, woordenboekaanval, phishing, rainbow table, credential stuffing, password spraying, keylogger, social engineering

Welke methodes gebruiken criminelen om wachtwoorden van bedrijven buit te maken? En hoe voorkom je als organisatie dat bedrijfsprocessen verstoord worden en dat er financiële schade geleden wordt? Veel incidenten worden veroorzaakt doordat criminelen toegang hadden tot een account. Eenmaal binnen kunnen criminelen processen verstoren, informatie onderscheppen en bijvoorbeeld e-mails vanuit de naam van de gehackte persoon sturen.

Hackers gebruiken verschillende methodes om single-factor-authenticatie te omzeilen. Om toegang tot accounts beter te kunnen beveiligen moet je deze aanvalsmethodes als organisatie goed begrijpen om de juiste maatregelen te treffen. Bedenk wel dat criminelen vaak een combinatie van methodes gebruiken om wachtwoorden buit te maken.

De top 7 wachtwoord-aanvalsmethodes

1. Brute force

Brute force is één van de meest voorkomende aanvalsmethodes en het makkelijkst voor hackers om uit te voeren. Dit is precies waarom onervaren hackers deze methode vaak gebruiken. Bij een dergelijke aanval gebruikt een hacker een computer programma om in te loggen op het account van een slachtoffer door alle mogelijke wachtwoordcombinaties te gebruiken. Het programma begint niet willekeurig, maar met veelgebruikte en reeds bekende wachtwoorden.

Als een hacker toegang heeft tot een lijst met medewerkers, het heel makkelijk is om gebruikersnamen te raden.

2. Woordenboekaanval

Bij een woordenboekaanval gebruikt de hacker een programma die alle woorden doorloopt. Waar een brute force aanval letter per letter gaat, probeert een woordenboekaanval alleen mogelijkheden die het meeste kans van slagen hebben.

Een woordenboekaanval maakt gebruik een aantal psychologische factoren. Gebruikers hebben bijvoorbeeld de neiging om korte wachtwoorden te gebruiken en gebruiken daarbij veelvoorkomende woorden. Een woordenboekaanval begint met deze woorden en combinaties door nummers aan het eind toe te voegen en letters te vervangen door cijfers enzovoort.

3. Phishing

Het oude vertrouwde phishing. Waarom zouden hackers andere methodes gebruiken terwijl slachtoffers ook zelf hun inloggegevens prijsgeven?

Meestal zetten de criminelen e-mails in en gebruiken ze legitieme en bekende producten en diensten als vermomming. Hierin verwerken ze een link die de slachtoffers naar een malafide, maar legitiem lijkende, login pagina sturen. Vaak wordt er in de e-mail misbruik gemaakt van factoren waar mensen gevoelig voor zijn, zoals milde dreigementen, tijdsdruk of het uitstralen van autoriteit. Een voorbeeld is het beëindigen van een service. Dit dwingt personen om snel een beslissing te maken zonder dat ze deze beslissing goed overwegen.

Een andere insteek is dat de crimineel zich voordoet als iemand binnen de organisatie. Zo kunnen ze zich voordoen als het IT-team en direct vragen naar wachtwoorden. Deze aanpak wordt overigens ook vaak succesvol ingezet bij een andere vorm van social engineering, namelijk telefonische phishing. Lees meer over waarom telefonische phishing zo succesvol is.

Daarnaast kunnen criminelen ook wachtwoorden achterhalen door bijvoorbeeld social media af te speuren. Veel wachtwoorden en controlevragen maken immers gebruik van geboortedatums en namen van huisdieren.

4. Rainbow table

Van alle methodes om wachtwoorden te hacken vereist deze het meeste technische inzicht om te begrijpen. Organisaties ‘hashen’ vaak de wachtwoorden van hun medewerkers. Bij hashen worden wachtwoorden wiskundig omgezet in versleutelde, willekeurig uitziende tekenreeksen om te voorkomen dat ze worden misbruikt. Als hackers de wachtwoorden niet kunnen lezen, kunnen ze deze niet misbruiken.

Hashing is handig om bijvoorbeeld wachtwoorden op te slaan. In zo’n geval wordt een wachtwoord gehashed opgeslagen. Op het moment dat de identiteit van iemand geverifieerd wordt, wordt de hash van het wachtwoord vergeleken met de hash die in de database opgeslagen staat. Op deze manier kan men controleren of iemand het juiste wachtwoord ingevoerd heeft zonder dat dat wachtwoord opgeslagen is op een manier te herleiden is naar het oorspronkelijke wachtwoord.

Hashing klinkt als een sterke beveiligingsmethode. Dat is zeker niet onwaar, maar het werkt niet altijd. Een rainbow table bevat een lijst met vooraf berekende hashes. Het heeft de wiskundige antwoorden voor alle mogelijke wachtwoordcombinaties voor veelvoorkomende hash-algoritmen.

5. Credential Stuffing

Bijna alle methodes die we hier beschrijven gaan er van uit dat de criminelen nog niet over de wachtwoorden van hun slachtoffers beschikken. Eén van de meest onderbelichte, maar verwoestende gevolgen van een datalek is dat de gelekte data vaak ook wordt ingezet om andere organisaties aan te vallen. Met andere woorden, een datalek leidt tot meer datalekken.

Bij credential stuffing gebruiken criminelen lijsten met gestolen gebruikersnamen en wachtwoorden op verschillende accounts totdat ze een match hebben.

Credential stuffing maakt misbruik van de menselijke eigenschap om hetzelfde wachtwoord voor meerdere accounts te gebruiken. Vaak delen of verkopen criminelen lijsten met gestolen wachtwoorden, zodat andere kwaadwillenden deze ook kunnen gebruiken.

6. Password Spraying

Net zoals credential stuffing valt password spraying technisch gezien onder brute force. Bij password spraying richten criminelen zich op duizenden, zo niet miljoenen, accounts tegelijkertijd. Hierbij worden een paar veelvoorkomende wachtwoorden gebruikt. Zelfs wanneer slechts één gebruiker een zwak wachtwoord gebruikt is de organisatie in gevaar.

De meeste brute force aanvallen richten zich op één account. Password spraying richt zich dus om meerdere potentiële doelwitten tegelijk. Zo omzeilen criminelen het blokkeren van accounts bij het meermaals invoeren van een fout wachtwoord.

7. Keylogger aanval

Tot slot zijn er de keylogger aanvallen. Deze aanval installeert een programma op het systeem van het slachtoffer en registreert alle toetsaanslagen. Dus terwijl het slachtoffer zijn gebruikersnamen en wachtwoorden intypt, wordt dit door de criminelen opgeslagen. Dit valt technisch gezien in de categorie van malware of een virus, dus het moet eerst het systeem van het slachtoffer infecteren, bijvoorbeeld via een malafide download.

Het is echter ook mogelijk dat criminelen fysieke device tussen keyboard en computer aansluiten, bijvoorbeeld wanneer ze een organisatie infiltreren. Lees meer over het infiltreren van organisaties in onze blog.

Hoe wend je wachtwoorden-aanvallen af?

Zelfs de sterkste wachtwoorden kunnen je niet beschermen tegen deze wachtwoord cyberaanvallen. Wat kan je als organisatie dan doen om te voorkomen dat de wachtwoorden van medewerkers in verkeerde handen vallen?

Feit blijft dat wachtwoorden ontzettend kwetsbaar blijven voor de aanvalsmethodes die we hierboven hebben genoemd. Elke vorm van single-factor-authenticatie is vragen om problemen. In plaats van alleen op wachtwoorden te vertrouwen zou je als organisatie, maar ook privé(!), 2-factor authenticatie moeten implementeren. Je voegt als het ware een extra laag beveiliging toe doordat er een vertrouwd apparaat nodig is, bijvoorbeeld je telefoon, om op je account te kunnen inloggen. Meer weten over 2-factor-authenticatie? Lees dan hier verder.

Bedenk wel dat 100% veiligheid niet mogelijk is. 2-factor authenticatie vermindert de effectiviteit van hackers, maar het zal er niet voor zorgen dat hackers en criminelen nooit meer toegang kunnen krijgen tot accounts. Zorg daarom voor een goede combinatie van beleid, technische maatregelen en bewustwording bij medewerkers om de risico’s te minimaliseren.

NextTech Security: de awareness specialist

Bij NextTech Security testen we het gedrag van medewerkers, geven we inzicht in het actuele veiligheidsniveau van organisaties en creëren we veiligheidsbewustzijn en gedragsverandering bij medewerkers op het gebied van informatiebeveiliging, privacy en cyber security. Dit doen we onder andere met interactieve trainingsprogramma’s, phishing tests en social engineering onderzoeken. Wij maken van medewerkers de sterkste schakel in informatiebeveiliging! Bekijk eens ons dienstenportfolio.

Terug naar het overzicht