Hoe wachtwoorden gekraakt worden
Een wachtwoord mag dan wel enige bescherming bieden, ze worden toch nog vaak gekraakt. Naast goede wachtwoorden, kan een wachtwoordkluis helpen.
Wachtwoorden worden nog steeds erg veel gebruikt. Dat heeft gevolgen. Wie je wachtwoord te pakken krijgt, kan in korte tijd heel wat schade aanrichten. Het is dus erg belangrijk dat je een exemplaar verzint dat krachtig genoeg is en niet zomaar achterhaald kan worden.
Een simpel wachtwoord is niet meer voldoende om uw account te beschermen. Gelukkig bieden bedrijven steeds vaker verificatie aan met meerdere stappen.Wanneer de dienst actief is, heb je behalve het wachtwoord van je account voortaan ook een verificatiecode nodig voor het inloggen. Die code ontvang je dan per sms en moet vaak maar een keer om de 30 dagen ingevoerd worden. Als alternatief voor de sms’jes kan je ook een app gebruiken om de verificatiecode te genereren.
Hackers aan het werk
Toch blijven wachtwoorden de eerste buffer, die best zo sterk en uniek mogelijk is. Een goed wachtwoord bestaat uit hoofdletters, kleine letters, cijfers en speciale tekens. Het is onmogelijk te onthouden, mag nooit opgeschreven worden en moet om de paar maanden veranderd worden.
Toch kiezen we met zijn allen voor ‘slechte’ wachtwoorden zoals ‘wachtwoord’, ‘RSCAnderlecht’, ‘laatmebinnen’ of ‘123456’. Dat komt omdat ze makkelijker te onthouden zijn. Alleen: makkelijke wachtwoorden zijn meestal ook makkelijk te raden. Wachtwoorden zoals ‘Wachtwoord1’ volgen dan wel de klassieke regels die voorschrijven dat je altijd een combinatie van cijfers, hoofd- en kleine letters moet gebruiken, maar ze zijn snel gekraakt.
Hackers gaan op twee manieren achter je wachtwoord aan: ze gooien er ofwel brute rekenkracht tegenaan óf ze gaan meer gericht te werk.
Zo’n aanval met brute rekenkracht gaat veel nauwkeuriger dan zomaar willekeurige cijfer- en lettercombinaties uitproberen, omdat het heel veel kostbare tijd zou kosten om alleen al de 308 miljoen lettercombinaties tussen aaaaaa en zzzzzz te proberen. Voor een kraker is het zinvoller om meer gericht te gaan zoeken.
In veel gevallen bestaat een wachtwoord uit een stam met een voor- of achtervoegsel. De stam hoeft niet noodzakelijk in het woordenboek te staan, maar het is wel een uitspreekbare opeenvolging van letters. In 90 procent van de gevallen is er een achtervoegsel, in tien procent een voorvoegsel.
Met die wetenschap is het al een stuk eenvoudiger om te gaan raden. Eerst jaagt de kraker er een lijst van de duizend vaakst gebruikte wachtwoorden door. Daarna doet hij hetzelfde met de honderd vaakst voorkomende achtervoegsels. Op deze manier wordt al 24 procent van de wachtwoorden geraden.
Vervolgens probeert de kraker moeilijkere combinaties uit: stammen met voor- en achtervoegsels zoals combinaties van twee cijfers of jaartallen sinds 1900. In een paar weken tot een maand raadt hij zo tot 65 procent van de wachtwoorden.
Sommige hackers gaan echter anders te werk, via zogenaamde social engineering. Dat is vooral een bedreiging als uw wachtwoordkeuze geïnspireerd is door uw dagelijkse omgeving: uw partner, de namen van uw kinderen of uw huisdier bijvoorbeeld. Door de populariteit van sociale netwerken is het makkelijker geworden om dit soort wachtwoorden te achterhalen. En als dat niet lukt, dan proberen ze met de informatie op al uw profielen zich voor te doen als u en nemen ze zo contact op met de helpdesk.
Wachtwoord in de kluis
Heeft u zich aangemeld bij honderden diensten, met elk een verschillend wachtwoord? Tenzij u over een fenomenaal geheugen beschikt, kan een wachtwoordkluis daarbij helpen. Bekende securtitynamen als Kaspersky en Symantec bieden dit aan. Maar ook minder bekende als LastPass en MyLOK.
Een wachtwoordmanager is maar zo sterk als het hoofdwachtwoord, dat de belangrijke rol krijgt om al uw andere wachtwoorden te beschermen. Geef het tijdens de installatie in, dan krijgt u bij de meeste wachtwoordmanagers te zien hoe sterk het is. Bij LastPass staan al uw gegevens versleuteld in de cloud. Wie online opslag niet vertrouwt, zal op zoek moeten naar een andere oplossing.
Andere diensten, zoals mSecure, slaat niet alleen log-ingegevens op, maar bewaren ook andere informatie, zoals rekeningnummers en kredietkaarten, maar ook e-mailwachtwoorden, de pincode van uw sim-kaart, kledingmaten en de registratiegegevens van uw auto.
Soms voorziet zo’n wachtwoordkluis standaard ook een hardware-oplossing. Al jouw gegevens worden dan versleuteld opgeslagen op een kleine smartcard. Bovendien krijg je er bijvoorbeeld 4 GB opslag bij. Je geeft een pincode in en beantwoordt de twee veiligheidsvragen. Wanneer je je pincode fout ingeeft, zullen die vragen als beveiliging dienen. Het is dus belangrijk om ze moeilijk genoeg te maken, maar niet zo moeilijk dat je de antwoorden zelf vergeet. Na te veel foute gokken wordt de stick immers gewist.
De wachtwoordkluis is vaak een apart programma. Symantec heeft bijvoorbeeld jarenlang wachtwoordbeheer aangeboden in zijn securitysuite, maar tegenwoordig is Norton Identity Safe ook als apart programma te vinden, en het hoeft in die nieuwe rol niet onder te doen voor de concurrentie. Omdat het gratis is, kan je het op zoveel computers installeren als je wilt en jouw data tussen al je toestellen synchroniseren.
Bron: ZDNet