Cybercriminelen kunnen wachtwoorden ook raden
- Het stelen van wachtwoorden
Het stelen van wachtwoorden is de meest voorkomende tactiek die cybercriminelen toepassen om een wachtwoord te achterhalen. Meestal gebruiken ze een phishing-e-mail waarbij ze zich voordoen als een organisatie waarmee het potentiële slachtoffer een relatie heeft. Deze e-mail bevat een bericht en een link waarin de gebruiker wordt gevraagd zijn echte inlognaam en wachtwoord in te voeren.
Een andere manier waarop hackers aan gebruikerswachtwoorden komen, is door websites en services te compromitteren waarop een gebruiker zich authenticeert. De gemiddelde Nederlander logt jaarlijks in op meer dan 170 verschillende websites en services. En elk van die websites en services is een potentieel overnamedoelwit voor hackers. Omdat de meeste gebruikers hetzelfde wachtwoord delen met meerdere niet-gerelateerde websites en services, kan één gecompromitteerd wachtwoord gemakkelijker leiden tot verdere compromittering van andere websites en services waar iemand gebruik van maakt.
Soms is het simpelweg vragen naar iemands wachtwoord al genoeg. De meeste cybercriminelen doen niet zoveel moeite, en het is een relatief tijdsintensieve actie, maar ze kunnen natuurlijk een slachtoffer ook persoonlijk bellen en vragen wat zijn of haar wachtwoord is. Die geef je toch niet zomaar prijs? Deze video bewijst het tegendeel.
- Het raden van wachtwoorden
Cybercriminelen kunnen wachtwoorden ook raden. Het enige wat de aanvaller nodig heeft, is toegang tot een inlogportaal waarop het slachtoffer kan inloggen met een inlognaam en wachtwoord, en de mogelijkheid om meerdere keren te raden over een lange periode. Vervolgens raadt de aanvaller handmatig of gebruikt hij een geautomatiseerd hulpmiddel voor het raden van wachtwoorden. Hoe korter en eenvoudiger het wachtwoord, hoe makkelijker het te raden is. Als het inlogportaal geen limiet heeft ingesteld voor het aantal pogingen dat iemand mag doen, kan een aanvaller wel duizenden keren per minuut een wachtwoord proberen.
Aangezien de wachtwoorden van de meeste gebruikers minder dan 12 tekens lang zijn en niet perfect willekeurig zijn, kunnen de meeste van dit soort wachtwoorden soms al binnen enkele minuten worden geraden. De meeste mensen veranderen zelden hun privé wachtwoord en de meeste zakelijke wachtwoorden worden slechts eens in de 90 tot 365 dagen gewijzigd. Als cybercriminelen onbelemmerde en ongecontroleerde toegang tot een inlogportal kunnen krijgen, kunnen ze vaak blijven raden totdat ze succesvol zijn. Ben je benieuwd hoe lang het een cybercrimineel zou kosten om jouw wachtwoord te raden? Check deze website dan eens.
- Stelen en kraken van wachtwoord-hashes
In de meeste moderne besturingssystemen wordt elk ingetypt wachtwoord door een cryptografisch hash-algoritme omgezet in een representatieve hash van het wachtwoord: de wachtwoord-hash. Als cybercriminelen toegang kunnen krijgen tot het apparaat of netwerk van het slachtoffer, gebruiken ze vaak hulpprogramma's om wachtwoorden te extraheren of af te luisteren. Klikt een slachtoffer op een kwaadaardige phishing-e-mail met een ingesloten geheime link, dan wordt buiten medeweten van de gebruiker een inlogsessie achter de schermen gestart. De cybercrimineel krijgt vervolgens de wachtwoord-hash onder ogen en zet die vervolgens om in een wachtwoord in platte tekst.
De wachtwoordhash van een gebruiker wordt opgeslagen in databases voor wachtwoordauthenticatie die het besturingssysteem gebruikt om de gebruiker te authenticeren. Als een aanvaller de wachtwoordhash van een gebruiker kan achterhalen, kan hij de wachtwoordhash raden door deze te vergelijken met een aantal mogelijke wachtwoorden die al vooraf zijn berekend op hun hash. Dit staat bekend als het kraken van een wachtwoord-hash. Aanvallers met de juiste hardware voor het kraken van een wachtwoord-hash (zogenaamde ‘cracking-rigs’), kunnen tot vele tientallen biljoenen wachtwoorden per seconde raden. Met dat soort snelheid zullen maar heel weinig wachtwoorden van minder dan 20 tekens de aanval kunnen weerstaan.
‘Normale’ door mensen gemaakte wachtwoorden van maximaal 18 tekens worden routinematig in dagen tot weken verbroken in real-world aanvalsscenario's. Maar als het wachtwoord echt willekeurig is (zoals eigenlijk alleen password managers dat kunnen), dan hoeft het perfect willekeurige wachtwoord ‘slechts’ minimaal 12 tekens lang te zijn om alle bekende aanvallen voor het raden of kraken van wachtwoorden te weerstaan.
- Ongeautoriseerd wachtwoord resetten of omzeilen
Een andere veelvoorkomende tactiek is dat een cybercrimineel een methode gebruikt die het wachtwoord van de gebruiker opnieuw instelt of het gewoon helemaal omzeilt. Met de meeste populaire grote authenticatiesystemen kunnen gebruikers hun eigen wachtwoorden zelf resetten. Deze zijn nodig omdat gebruikers regelmatig wachtwoorden vergeten en dus opnieuw moeten kunnen instellen. Hier is zo vaak technische ondersteuning bij nodig dat het veel te veel tijd en geld zou kosten om het door mensen te laten uitvoeren. De meeste organisaties hebben daarom een self-service-portaal dat de gebruiker kan gebruiken om zijn wachtwoord opnieuw in te stellen. Helaas weten hackers dit ook en zullen ze verschillende trucs gebruiken om het wachtwoord van de gebruiker opnieuw in te stellen zonder toestemming van de gebruiker.
Hoe de hacker dit kan doen, verschilt per authenticatiesysteem en self-service resetportaal, maar weet dat elk jaar miljoenen wachtwoorden opnieuw worden ingesteld door cybercriminelen. De hacker neemt vervolgens het account over, wijzigt het wachtwoord van de gebruiker opnieuw en begint het account op een ongeautoriseerde manier te gebruiken. Vaak kan de gebruiker het account niet herstellen en is het voor altijd verloren.
Wil je het cybercriminelen iets moeilijker maken? Neem dan je eigen wachtwoordbeleid eens onder de loep. In een eerder artikel zijn drie tips gedeeld.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee