De 8 meest gebruikte trucs om wachtwoorden te hacken

De 8 meest gebruikte trucs om wachtwoorden te hacken

Wat komt er in je op als je 'inbreuk op de beveiliging' hoort? Een kwaadaardige hacker die voor schermen zit die zijn bedekt met digitale tekst in Matrix-stijl? Of een tiener in de kelder die al drie weken geen daglicht heeft gezien? Wat dacht je van een krachtige supercomputer die probeert de hele wereld te hacken?





Hacken draait maar om één ding: je wachtwoord. Als iemand je wachtwoord kan raden, hebben ze geen fancy hacktechnieken en supercomputers nodig. Ze loggen gewoon in en gedragen zich als u. Als uw wachtwoord kort en eenvoudig is, is het game over.



Er zijn acht veelvoorkomende tactieken die hackers gebruiken om uw wachtwoord te hacken.





1. Woordenboekhack

Als eerste in de algemene gids voor het hacken van wachtwoorden is de woordenboekaanval. Waarom wordt het een woordenboekaanval genoemd? Omdat het automatisch elk woord in een gedefinieerd 'woordenboek' probeert tegen het wachtwoord. Het woordenboek is niet strikt het woordenboek dat je op school gebruikte.

Nee. Dit woordenboek is eigenlijk een klein bestand dat ook de meest gebruikte wachtwoordcombinaties bevat. Dat omvat 123456, qwerty, wachtwoord, iloveyou en de klassieker aller tijden, hunter2.



hoe woorden op een website te veranderen

De bovenstaande tabel geeft een overzicht van de meest gelekte wachtwoorden in 2016. De onderstaande tabel geeft een overzicht van de meest gelekte wachtwoorden in 2020.

Let op de overeenkomsten tussen de twee en zorg ervoor dat u deze ongelooflijk eenvoudige opties niet gebruikt.



Voordelen: Snel; zal meestal een aantal hopeloos beschermde accounts ontgrendelen.

nadelen: Zelfs iets sterkere wachtwoorden blijven veilig.



Blijf Veilig: Gebruik voor elk account een sterk wachtwoord voor eenmalig gebruik, in combinatie met een app voor wachtwoordbeheer . Met de wachtwoordbeheerder kunt u uw andere wachtwoorden opslaan in een repository. Dan kun je voor elke site een enkel, belachelijk sterk wachtwoord gebruiken.

Verwant: Google Password Manager: hoe te beginnen

2. Brute kracht

Vervolgens de brute force-aanval, waarbij een aanvaller elke mogelijke tekencombinatie probeert. Pogingen tot wachtwoorden komen overeen met de specificaties voor de complexiteitsregels, b.v. inclusief één hoofdletter, één kleine letter, decimalen van Pi, je pizzabestelling, enzovoort.

Een brute force-aanval zal ook eerst de meest gebruikte alfanumerieke tekencombinaties proberen. Deze omvatten de eerder genoemde wachtwoorden, evenals 1q2w3e4r5t, zxcvbnm en qwertyuiop. Het kan erg lang duren om met deze methode een wachtwoord te achterhalen, maar dat hangt volledig af van de complexiteit van het wachtwoord.

Voordelen: Theoretisch zal het elk wachtwoord kraken door elke combinatie te proberen.

nadelen: Afhankelijk van de lengte en de moeilijkheidsgraad van het wachtwoord, kan het extreem lang duren. Voeg een paar variabelen toe, zoals $, &, { of ], en het wordt buitengewoon moeilijk om het wachtwoord te achterhalen.

Blijf Veilig: Gebruik altijd een variabele combinatie van tekens en waar mogelijk introduceer extra symbolen om de complexiteit te vergroten .

3. Phishing

Dit is niet strikt een 'hack', maar het ten prooi vallen aan een phishing- of spear-phishing-poging zal meestal slecht aflopen. Algemene phishing-e-mails die met miljarden naar allerlei internetgebruikers over de hele wereld worden verzonden.

Een phishing-e-mail werkt over het algemeen als volgt:

  1. De doelgebruiker ontvangt een vervalste e-mail die zogenaamd afkomstig is van een grote organisatie of bedrijf.
  2. Vervalste e-mail vereist onmiddellijke aandacht, met een link naar een website.
  3. Deze link maakt in feite verbinding met een nep-inlogportaal, zo gemaakt dat het er precies hetzelfde uitziet als de legitieme site.
  4. De nietsvermoedende doelgebruiker voert zijn inloggegevens in en wordt omgeleid of verteld om het opnieuw te proberen.
  5. Gebruikersreferenties worden gestolen, verkocht of op snode wijze gebruikt (of beide).

Het dagelijkse spamvolume dat wereldwijd wordt verzonden, blijft hoog en is goed voor meer dan de helft van alle e-mails die wereldwijd worden verzonden. Bovendien is het aantal kwaadaardige bijlagen ook hoog bij Kaspersky opmerkend meer dan 92 miljoen kwaadaardige bijlagen van januari tot juni 2020. Denk eraan, dit is alleen voor Kaspersky, dus het werkelijke aantal is veel hoger .

In 2017 was het grootste phishing-lokmiddel een valse factuur. In 2020 zorgde de COVID-19-pandemie echter voor een nieuwe phishing-dreiging.

In april 2020, niet lang nadat veel landen in pandemische lockdown gingen, Google bekend gemaakt het blokkeerde meer dan 18 miljoen kwaadaardige spam- en phishing-e-mails met COVID-19-thema per dag. Enorme aantallen van deze e-mails gebruiken officiële branding van de overheid of gezondheidsorganisatie voor legitimiteit en overrompelen slachtoffers.

Voordelen: De gebruiker geeft letterlijk zijn inloggegevens door, inclusief wachtwoorden - een relatief hoge hitrate, die gemakkelijk kan worden aangepast aan specifieke services of specifieke mensen in een spear-phishing-aanval.

nadelen: Spam-e-mails kunnen eenvoudig worden gefilterd, spamdomeinen worden op de zwarte lijst gezet en grote providers zoals Google werken de beveiliging voortdurend bij.

Blijf Veilig: Blijf sceptisch over e-mails en zet uw spamfilter op de hoogste stand of, nog beter, gebruik een proactieve witte lijst. Gebruik maken van een link checker om na te gaan als een e-maillink legitiem is voordat u erop klikt.

4. Sociale techniek

Social engineering is in wezen phishing in de echte wereld, weg van het scherm.

Een kernonderdeel van elke beveiligingsaudit is het meten van wat het hele personeelsbestand begrijpt. Een beveiligingsbedrijf belt bijvoorbeeld het bedrijf dat ze controleren. De 'aanvaller' vertelt de persoon aan de telefoon dat ze het nieuwe technische ondersteuningsteam van het kantoor zijn en dat ze het laatste wachtwoord voor iets specifieks nodig hebben.

Een nietsvermoedend persoon kan de sleutels overhandigen zonder nadenken.

Het enge is hoe vaak dit werkt. Social engineering bestaat al eeuwen. Bedrieglijk zijn om toegang te krijgen tot een beveiligd gebied is een veel voorkomende aanvalsmethode en een methode die alleen met voorlichting wordt voorkomen.

Dit komt omdat de aanval niet altijd direct om een ​​wachtwoord zal vragen. Het kan een nep-loodgieter of elektricien zijn die om toegang vraagt ​​tot een beveiligd gebouw, enzovoort.

Wanneer iemand zegt dat ze zijn misleid om hun wachtwoord te onthullen, is dat vaak het resultaat van social engineering.

Voordelen: Bekwame social engineers kunnen hoogwaardige informatie uit een reeks doelen halen. Het kan tegen bijna iedereen en overal worden ingezet. Het is extreem heimelijk.

nadelen: Een social engineering-fout kan argwaan wekken over een op handen zijnde aanval en onzekerheid of de juiste informatie wordt verkregen.

Blijf Veilig : Dit is een lastige. Een succesvolle social engineering-aanval is voltooid tegen de tijd dat je je realiseert dat er iets mis is. Educatie en veiligheidsbewustzijn is een kernmitigatietactiek. Vermijd het plaatsen van persoonlijke informatie die later tegen u kan worden gebruikt.

5. Regenboogtafel

Een regenboogtabel is meestal een offline wachtwoordaanval. Een aanvaller heeft bijvoorbeeld een lijst met gebruikersnamen en wachtwoorden gekregen, maar deze zijn versleuteld. Het versleutelde wachtwoord is gehasht. Dit betekent dat het er totaal anders uitziet dan het oorspronkelijke wachtwoord.

Uw wachtwoord is bijvoorbeeld (hopelijk niet!) logmein. De bekende MD5-hash voor dit wachtwoord is '8f4047e3233b39e4444e1aef240e80aa.'

Gebrabbel voor jou en mij. Maar in bepaalde gevallen zal de aanvaller een lijst met leesbare wachtwoorden uitvoeren via een hash-algoritme, waarbij de resultaten worden vergeleken met een versleuteld wachtwoordbestand. In andere gevallen is het coderingsalgoritme kwetsbaar en zijn de meeste wachtwoorden al gekraakt, zoals MD5 (vandaar dat we de specifieke hash voor 'logmein' kennen.

Hier komt de regenboogtafel goed tot zijn recht. In plaats van honderdduizenden potentiële wachtwoorden te moeten verwerken en de resulterende hash te matchen, is een regenboogtabel een enorme reeks vooraf berekende algoritme-specifieke hash-waarden.

Het gebruik van een regenboogtabel vermindert drastisch de tijd die nodig is om een ​​gehasht wachtwoord te kraken, maar het is niet perfect. Hackers kunnen vooraf ingevulde regenboogtabellen kopen die gevuld zijn met miljoenen mogelijke combinaties.

Voordelen: Kan complexe wachtwoorden in korte tijd achterhalen; geeft de hacker veel macht over bepaalde beveiligingsscenario's.

nadelen: Vereist een enorme hoeveelheid ruimte om de enorme (soms terabytes) regenboogtabel op te slaan. Aanvallers zijn ook beperkt tot de waarden in de tabel (anders moeten ze nog een hele tabel toevoegen).

sim niet ingericht mm #2

Blijf Veilig: Nog een lastige. Rainbow-tafels bieden een breed scala aan aanvalspotentieel. Vermijd sites die SHA1 of MD5 gebruiken als hun wachtwoord-hash-algoritme. Vermijd sites die u beperken tot korte wachtwoorden of die de tekens beperken die u kunt gebruiken. Gebruik altijd een complex wachtwoord.

Gerelateerd: Hoe weet u of een site wachtwoorden als platte tekst opslaat (en wat u moet doen)

6. Malware/Keylogger

Een andere zekere manier om uw inloggegevens te verliezen, is door malware te krijgen. Malware is overal en kan enorme schade aanrichten. Als de malwarevariant een keylogger heeft, zou je kunnen vinden: alle van uw accounts gecompromitteerd.

Als alternatief kan de malware zich specifiek richten op privégegevens of een trojan voor externe toegang introduceren om uw inloggegevens te stelen.

Voordelen: Duizenden malwarevarianten, veel aanpasbaar, met verschillende eenvoudige leveringsmethoden. Grote kans dat een groot aantal doelen bezwijkt voor minimaal één variant. Het kan onopgemerkt blijven, waardoor privégegevens en inloggegevens verder kunnen worden verzameld.

nadelen: Kans dat de malware niet werkt, of in quarantaine wordt geplaatst voordat toegang wordt verkregen tot gegevens; geen garantie dat gegevens nuttig zijn.

Blijf Veilig : Installeer uw antivirus en antimalware en werk deze regelmatig bij software. Denk goed na over uw downloadbronnen. Klik niet door installatiepakketten die bundelware en meer bevatten. Blijf uit de buurt van snode sites (gemakkelijker gezegd dan gedaan). Gebruik hulpprogramma's voor het blokkeren van scripts om kwaadaardige scripts te stoppen.

7. Spinnen

Spidering sluit aan bij de woordenboekaanval. Als een hacker zich op een specifieke instelling of bedrijf richt, kunnen ze een reeks wachtwoorden proberen die betrekking hebben op het bedrijf zelf. De hacker kan een reeks verwante termen lezen en verzamelen, of een zoekspin gebruiken om het werk voor hen te doen.

Je hebt misschien al eens van de term 'spin' gehoord. Deze zoekspiders lijken erg op de spiders die door het internet kruipen en inhoud indexeren voor zoekmachines. De aangepaste woordenlijst wordt vervolgens gebruikt tegen gebruikersaccounts in de hoop een overeenkomst te vinden.

Voordelen: Kan mogelijk accounts ontgrendelen voor hooggeplaatste personen binnen een organisatie. Relatief eenvoudig in elkaar te zetten en voegt een extra dimensie toe aan een woordenboekaanval.

nadelen: Kan vruchteloos zijn als de netwerkbeveiliging van de organisatie goed is geconfigureerd.

Blijf Veilig: Nogmaals, gebruik alleen sterke wachtwoorden voor eenmalig gebruik die uit willekeurige reeksen bestaan; niets dat linkt naar uw persona, bedrijf, organisatie, enzovoort.

hoe zet ik apps op mijn SD-kaart

8. Schoudersurfen

De laatste optie is een van de meest elementaire. Wat als iemand over je schouder meekijkt terwijl je je wachtwoord typt?

Schoudersurfen klinkt een beetje belachelijk, maar het gebeurt wel. Als u in een druk café in de binnenstad werkt en geen aandacht schenkt aan uw omgeving, kan iemand dichtbij genoeg komen om uw wachtwoord te noteren terwijl u typt.

Voordelen: Laagtechnologische benadering om een ​​wachtwoord te stelen.

nadelen: Moet het doelwit identificeren voordat het wachtwoord wordt berekend; zich kunnen openbaren tijdens het stelen.

Blijf Veilig: Houd de mensen om u heen goed in de gaten wanneer u uw wachtwoord typt. Bedek uw toetsenbord en verberg uw toetsen tijdens invoer.

Gebruik altijd een sterk, uniek wachtwoord voor eenmalig gebruik

Dus, hoe voorkom je dat een hacker je wachtwoord steelt? Het heel korte antwoord is dat: je kunt niet echt 100 procent veilig zijn . De tools die hackers gebruiken om uw gegevens te stelen, veranderen voortdurend en er zijn talloze video's en tutorials over het raden van wachtwoorden of het leren hacken van een wachtwoord.

Eén ding is zeker: het gebruik van een sterk, uniek wachtwoord voor eenmalig gebruik doet nooit iemand pijn.

Deel Deel Tweeten E-mail 5 wachtwoordhulpmiddelen om sterke wachtwoordzinnen te maken en uw beveiliging bij te werken

Maak een sterk wachtwoord dat u later kunt onthouden. Gebruik deze apps om uw beveiliging vandaag nog te upgraden met nieuwe sterke wachtwoorden.

Lees volgende Gerelateerde onderwerpen
  • Veiligheid
  • Wachtwoordtips
  • Online beveiliging
  • Hacken
  • Beveiligingstips
Over de auteur Gavin Phillips(945 artikelen gepubliceerd)

Gavin is de Junior Editor voor Windows en Technology Explained, levert regelmatig bijdragen aan de Really Useful Podcast en recenseert regelmatig producten. Hij heeft een BA (Hons) Contemporary Writing met Digital Art Practices geplunderd uit de heuvels van Devon, evenals meer dan tien jaar professionele schrijfervaring. Hij geniet van overvloedige hoeveelheden thee, bordspellen en voetbal.

Meer van Gavin Phillips

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Klik hier om je te abonneren