De meest gebruikte wachtwoordkraaktechnieken: leer hoe u uw privacy kunt beschermen

Er zijn veel manieren om in te breken op een account. Het kraken van wachtwoorden is er daar een van – hierbij worden verschillende reken- en andere methoden gebruikt om de wachtwoordverificatiestap te doorbreken. In dit artikel bespreken we verschillende technieken om wachtwoorden te kraken. Tegenwoordig kun je zelfs gespecialiseerde wachtwoord kraaktools vinden, die niet alleen voor kwade doeleinden gebruikt hoeven te worden. Maar voordat we in detail treden, bespreken we eerst wat het kraken van wachtwoorden is.

Wat is het kraken van wachtwoorden en hoe werkt het?

Wachtwoorden kraken betekent het achterhalen van wachtwoorden van een computer of van gegevens die een computer verzendt. Dit hoeft geen geavanceerde methode te zijn. Een brute-force aanval waarbij alle mogelijke combinaties worden gecontroleerd, is ook het kraken van wachtwoorden.

Als het wachtwoord als platte tekst is opgeslagen, geeft het kraken van de database de aanvaller alle accountinformatie. Tegenwoordig worden de meeste wachtwoorden echter opgeslagen met behulp van een sleutelafleidingsfunctie (KDF). Hierbij wordt een wachtwoord door een eenrichtingsversleuteling gehaald, waardoor een zogenaamde “hash” ontstaat. De server slaat de hash-versie van het wachtwoord op.

Het is gemakkelijk om verschillende gehashte wachtwoorden in een hoog tempo uit te proberen bij gebruik van een GPU of botnet. Daarom maken de meeste hash-functies voor wachtwoorden gebruik van key stretching-algoritmen, waardoor er meer resources (en dus tijd) nodig zijn voor een brute-force-aanval.

Sommige methoden om wachtwoorden te kraken worden aanzienlijk moeilijker als uw wachtwoord salting of key stretching gebruikt. Helaas zijn er nog steeds diensten die onversleutelde of zwak versleutelde wachtwoorden op hun servers opslaan.

Hulpmiddelen om wachtwoorden te kraken

Geen wachtwoord kraken begint zonder de juiste hulpmiddelen. Als je uit miljarden combinaties moet raden, is wat rekenhulp meer dan welkom. Zoals altijd heeft elk hulpmiddel zijn voors en tegens.

Maar voordat je kunt beginnen met kraken, moet je eerst de hash van het wachtwoord hebben. Hier volgen enkele van de populairste tools om de hash te achterhalen:

  • Mimikatz. Mimikatz staat bekend als een app voor het controleren en herstellen van wachtwoorden, maar kan ook worden gebruikt voor het achterhalen van kwaadaardige hash’s. In feite kan het net zo goed platte wachtwoorden of pincodes extraheren.
  • Wireshark. Met Wireshark kunt u pakketsniffen, wat nummer tien is op onze bovenstaande lijst met technieken voor het kraken van wachtwoorden. Wireshark is een bekroonde packet-analyser die niet alleen door hackers wordt gebruikt, maar ook door bedrijven en overheidsinstellingen.

  • Metasploit. Dit is een populair raamwerk voor penetratietests. Metasploit is ontworpen voor beveiligingsprofessionals, maar kan ook door hackers worden gebruikt om hashes van wachtwoorden te achterhalen.

En nu komen de populairste tools voor het kraken van wachtwoorden, in willekeurige volgorde.

John the Ripper

In veel lijsten met populaire wachtwoordkraaktools komt John the Ripper voor. Het is een gratis, open-source, opdrachtgebaseerde toepassing. Het is beschikbaar voor Linux en macOS, terwijl Windows en Android gebruikers Hash Suite krijgen, ontwikkeld door een bijdrager.

John the Ripper ondersteunt een enorme lijst van verschillende cipher en hash types. Enkele daarvan zijn:

  • Unix, macOS, en Windows gebruikerswachtwoorden
  • Web applicaties
  • Database servers
  • Network traffic captures
  • Encrypted private keys
  • Disks and filesystems
  • Archives
  • Documents

Er is ook een Pro versie met extra features en native packages voor ondersteunde OS. Woordenlijsten die worden gebruikt bij het kraken van wachtwoorden zijn te koop, maar er zijn ook gratis opties beschikbaar.

Cain & Abel

Bijna 2 miljoen keer gedownload van zijn officiële bron, Cain & Abel is een andere populaire tool voor het kraken van wachtwoorden. Maar in tegenstelling tot John the Ripper, gebruikt het GUI, waardoor het direct gebruiksvriendelijker is. Dat en het feit dat het beschikbaar is op Windows maakt Cain & Abel een go-to tool voor amateurs, ook bekend als script kiddies.

Dit is een multi-purpose tool, in staat tot veel verschillende functies. Cain & Abel kan fungeren als een pakketanalysator, VoIP opnemen, routeprotocollen analyseren, of scannen naar draadloze netwerken en hun MAC-adressen achterhalen. Als je de hash al hebt, biedt deze tool een optie voor een woordenboek- of brute krachtaanval. Cain & Abel kan ook wachtwoorden tonen die zich onder de asterisken verbergen.

Ophcrack

Ophcrack is een gratis en open-source wachtwoordkraaktool dat gespecialiseerd is in rainbow table-aanvallen. Om precies te zijn, het kraakt LM en NTLM hashes, waarbij de eerste Windows XP en eerdere OS’en adresseert en de laatste associeert met Windows Vista en 7. NTLM is, tot op zekere hoogte, ook beschikbaar op Linux en freeBSD. Beide hash-types zijn onveilig – het is mogelijk om een NTLM hash in minder dan 3 uur te kraken met een snelle computer.

Zoals u in de schermafbeelding hierboven kunt zien, kostte het Ophcrack slechts zes seconden om een wachtwoord met acht symbolen te kraken met behulp van een rainbow-tabel die letters, cijfers en hoofdletters bevat. Dat is zelfs meer variabelen dan een gewoon wachtwoord gewoonlijk heeft.

Deze tool wordt geleverd met gratis Windows XP/Vista/7 rainbow tables en een brute force attack functie voor eenvoudige wachtwoorden. Ophcrack is beschikbaar voor Windows, macOS en Linux.

THC Hydra

Ongetwijfeld het sterkste punt van THC Hydra is niet het mogelijke aantal hoofden dat het kan kweken, maar het aantal protocollen dat het ondersteunt en dat ook nog eens lijkt te groeien! Dit is een open-source netwerk login wachtwoord kraker die werkt met Cisco AAA, FTP, HTTP-Proxy, IMAP, MySQL, Oracle SID, SMTP, SOCKS5, SSH, en Telnet, om er maar een paar te noemen.

De methoden die beschikbaar zijn met THC Hydra omvatten brute kracht en woordenboek aanvallen, terwijl er ook gebruik wordt gemaakt van woordenlijsten die door andere tools zijn gegenereerd. Deze wachtwoordkraker staat bekend om zijn snelheid dankzij de multi-threaded combinatie testen. Het kan zelfs controles op verschillende protocollen tegelijk uitvoeren. THC Hydra is beschikbaar voor Windows, macOS en Linux.

Hashcat

Hashcat, dat zichzelf positioneert als ’s werelds snelste wachtwoordkraker, is een gratis open-source tool die beschikbaar is voor Windows, macOS en Linux. Het biedt een aantal technieken, van een eenvoudige brute-krachtaanval tot een hybride masker met woordenlijst.

Hashcat kan zowel je CPU als GPU gebruiken, zelfs tegelijkertijd. Dit maakt het kraken van meerdere hashes tegelijk veel sneller. Maar wat deze tool echt universeel maakt, is het aantal ondersteunde hashtypen. Hashcat kan MD5, SHA3-512, ChaCha20, PBKDF2, Kerberos 5, 1Password, LastPass, KeePass, en nog veel meer ontcijferen. In feite ondersteunt het meer dan 300 hash types.

Kraaktechnieken voor wachtwoorden gebruikt door hackers

Natuurlijk willen hackers de makkelijkst beschikbare methode gebruiken om wachtwoorden te kraken. Vaker wel dan niet is dat phishing, hieronder in detail beschreven. Zolang de mens de zwakste schakel van elk beveiligingssysteem is, is het de beste gok haar of hem als doelwit te kiezen. Als dat niet lukt, zijn er genoeg andere technieken om wachtwoorden te kraken.

Wachtwoorden zijn een zeer populair hulpmiddel voor accountbeveiliging, maar ze zijn niet per se de veiligste optie. Dat is vooral het geval als een gebruiker een zwak wachtwoord maakt, het opnieuw gebruikt en de onversleutelde kopie ervan ergens online opslaat. Dat is de reden waarom het gebruik van biometrische gegevens (wat ook nadelen heeft) of het toevoegen van een tweede factor de meeste van de onderstaande kraakmethoden nutteloos zal maken.

Een typische aanval voor het kraken van wachtwoorden ziet er als volgt uit:

  1. Verzamel de hashes van het wachtwoord
  2. Prepareer de hashes voor je geselecteerde kraaktool
  3. Kies een kraakmethode
  4. Loop de kraaktool
  5. Evalueer de resultaten
  6. Indien nodig, Pas je aanval aan
  7. Ga naar stap 2

Nu bespreken we de populairste technieken om wachtwoorden te kraken. In veel gevallen worden deze gecombineerd voor een groter effect.

Phishing

Phishing is de populairste techniek waarbij de gebruiker wordt verleid om op een e-mailbijlage of een link met malware te klikken. De methoden om dit te doen bestaan meestal uit het versturen van een belangrijke en officieel uitziende e-mail die waarschuwt om actie te ondernemen voordat het te laat is. Uiteindelijk wordt er automatisch wachtwoord-extractiesoftware geïnstalleerd of voert de gebruiker zijn accountgegevens in op een look-alike website.

Er zijn verschillende soorten phishing die zijn toegesneden op een bepaalde situatie, dus we zullen kijken naar de paar veelvoorkomende:

  • Spear phishing richt zich op een bepaald individu en probeert zoveel mogelijk persoonlijke informatie te verzamelen voordat de aanval plaatsvindt.
  • Whaling richt zich op hogere leidinggevenden en gebruikt bedrijfsspecifieke inhoud, wat een klacht van een klant of een brief van een aandeelhouder kan zijn.
  • Voice phishing omvat een nepbericht van een bank of een andere instelling, waarin een gebruiker wordt gevraagd de hulplijn te bellen en zijn rekeninggegevens in te voeren.

Malware

Zoals je hebt gezien, maakt malware vaak ook deel uit van de phishing-techniek. Het kan echter ook werken zonder de “social engineering”-factor als de gebruiker naïef genoeg is (meestal is hij dat). Twee van de meest voorkomende malwaretypen voor het stelen van wachtwoorden zijn keyloggers en screen scrapers. Zoals hun naam al aangeeft, stuurt de eerste al je toetsaanslagen naar de hacker, en de tweede uploadt de schermafbeeldingen.

Andere soorten malware kunnen ook worden gebruikt voor het stelen van wachtwoorden. Een backdoor trojan kan volledige toegang verlenen tot de computer van de gebruiker, en dit kan zelfs gebeuren bij het installeren van zogenaamde grayware. Deze programma’s, ook bekend als potentieel ongewenste toepassingen, installeren zichzelf meestal na het klikken op de verkeerde “Download” knop op een of andere website. Hoewel de meeste advertenties weergeven of uw webgebruiksgegevens verkopen, kunnen sommige veel gevaarlijkere software installeren.

Social engineering

Deze techniek voor het kraken van wachtwoorden berust op goedgelovigheid en maakt al dan niet gebruik van geavanceerde software of hardware – phishing is een soort social engineering-regeling.

Technologie heeft een revolutie teweeggebracht op het gebied van social engineering. In 2019 gebruikten hackers AI en spraaktechnologie om zich voor te doen als een bedrijfseigenaar en hielden ze de CEO voor de gek om $243.000 over te maken. Deze aanval toonde aan dat het faken van stem niet langer de toekomst is, en video-imitatie zal eerder gemeengoed worden dan je denkt.

Gewoonlijk neemt de aanvaller contact op met het slachtoffer vermomd als een vertegenwoordiger van een of andere instelling, en probeert zo veel mogelijk persoonlijke info te krijgen. Door zich voor te doen als een agent van de bank of Google, bestaat ook de kans dat hij of zij meteen het wachtwoord of de creditcardinfo te pakken krijgt. In tegenstelling tot de andere technieken, kan social engineering offline gebeuren door het slachtoffer te bellen of zelfs persoonlijk te ontmoeten.

Brute force attack

Als alles mislukt, hebben wachtwoordkrakers de brute force attack als laatste redmiddel. Hierbij worden alle mogelijke combinaties geprobeerd tot je de jackpot wint. Met wachtwoordkraaktools kan de aanval echter worden aangepast en kan de tijd die nodig is om alle variaties te controleren aanzienlijk worden verkort. De gebruiker en zijn gewoonten zijn ook hier de zwakke schakels.

Als de aanvaller een wachtwoord heeft kunnen kraken, gaat hij ervan uit dat het wachtwoord is hergebruikt en zal hij dezelfde combinatie van inloggegevens bij andere online diensten proberen. Dit staat bekend als credential stuffing en is erg populair in het tijdperk van datalekken.

Woordenboekaanval

Een woordenboekaanval is een soort brute-force-aanval en wordt vaak samen met andere soorten brute-force-aanvallen gebruikt. Er wordt automatisch gecontroleerd of het wachtwoord niet een vaak gebruikte zin is, zoals “iloveyou”, door in het woordenboek te kijken. De aanvaller kan ook wachtwoorden van andere gelekte accounts toevoegen. In zo’n scenario neemt de kans op een succesvolle woordenboekaanval aanzienlijk toe.

Als gebruikers sterke wachtwoorden zouden kiezen die niet slechts één woord bevatten, zouden dergelijke aanvallen snel degraderen tot een eenvoudige brute krachtaanval. Als u een wachtwoordmanager gebruikt, is het genereren van een willekeurige set symbolen de beste keuze. En als u dat niet doet, is een lange zin van ten minste vijf woorden ook goed. Vergeet alleen niet deze voor elke account te hergebruiken.

Spidering

Spidering is een aanvullende techniek om wachtwoorden te kraken die helpt bij de hierboven genoemde brute kracht- en woordenboekaanvallen. Het gaat om het verzamelen van informatie over het slachtoffer, meestal een bedrijf, in de veronderstelling dat het een deel van die informatie gebruikt voor het maken van wachtwoorden. Het doel is om een woordenlijst te maken waarmee het wachtwoord sneller kan worden geraden.

Na het controleren van de website van het bedrijf, sociale media en andere bronnen, kan men tot iets als dit komen:

  • Naam oprichter – Mark Zuckerberg
  • Geboortedatum oprichter – 1984 05 14
  • De zus van de oprichter – Randi
  • De andere zus van de oprichter – Donna
  • Bedrijfsnaam – Facebook
  • Hoofdkantoor – Menlo Park
  • Missie van het bedrijf – Mensen de kracht geven om een gemeenschap op te bouwen en de wereld dichter bij elkaar te brengen

Nu hoef je het alleen nog maar te uploaden naar een goede wachtwoordkraaktool en de vruchten ervan plukken.

Graden

Graden is lang niet de populairste techniek om wachtwoorden te kraken, maar het heeft wel betrekking op het zakelijk georiënteerde spideren hierboven. Soms hoeft de aanvaller niet eens informatie over het slachtoffer te verzamelen, omdat het uitproberen van enkele van de meest populaire wachtwoordzinnen al genoeg is. Als u zich herinnert een of meer van de zielige wachtwoorden in de onderstaande lijst te hebben gebruikt, raden wij u sterk aan deze nu te wijzigen.

Enkele van de meest voorkomende wachtwoorden in 2019

  • 123456
  • qwerty
  • password
  • iloveyou
  • admin
  • lovely
  • 7777777
  • 888888
  • princess
  • dragon

Hoewel het aantal mensen dat eenvoudige of standaard wachtwoorden gebruikt zoals “admin,”qwerty” of “123456” gebruikt, houden velen nog van eenvoudige en memorabele zinnen. Dat zijn vaak namen van huisdieren, geliefden, dierenliefhebbers, ex-dieren, of iets dat verband houdt met de eigenlijke dienst, zoals de naam (kleine letters).

Rainbow table attack

Zoals hierboven vermeld, is een van de eerste dingen die je moet doen bij het kraken van wachtwoorden, het verkrijgen van het wachtwoord in de vorm van een hash. Dan maak je een tabel van veel voorkomende wachtwoorden en hun gehashte versies en controleer je of het wachtwoord dat je wilt kraken overeenkomt met een van de regels. Ervaren hackers hebben meestal een rainbow table die ook gelekte en eerder gekraakte wachtwoorden bevat, waardoor het effectiever is.

Maakbaar is dat rainbow tables alle mogelijke wachtwoorden bevatten, waardoor ze extreem groot zijn en honderden GB’s in beslag nemen. Aan de andere kant maken ze de eigenlijke aanval sneller, omdat de meeste gegevens er al zijn en je ze alleen nog maar hoeft te vergelijken met het beoogde hash-wachtwoord. Gelukkig kunnen de meeste gebruikers zich tegen dergelijke aanvallen beschermen met grote salts en key stretching, vooral als ze beide gebruiken.

Als het salt groot genoeg is, zeg 128-bit, zullen twee gebruikers met hetzelfde wachtwoord unieke hashes hebben. Dit betekent dat het genereren van tabellen voor alle salts een astronomische hoeveelheid tijd zal kosten. Wat het uitrekken van de sleutels betreft, dit verhoogt de hashtijd en beperkt het aantal pogingen dat de aanvaller in een bepaalde tijd kan doen.

Hoe maak je een sterk wachtwoord?

Hoe goed je geheugen of je wachtwoordmanager ook is, als je er niet in slaagt een goed wachtwoord te maken, zal dat tot ongewenste gevolgen leiden. Zoals we in dit artikel hebben besproken, kunnen tools die wachtwoorden kraken zwakke wachtwoorden in dagen, zo niet uren, ontcijferen. Daarom voelen we ons verplicht om een aantal belangrijke tips voor het bedenken van een sterke passphrase in herinnering te brengen:

  • Lengte. Zoals zo vaak is de lengte de belangrijkste factor.
  • Combineer letters, cijfers en speciale tekens. Dit vergroot het aantal mogelijke combinaties aanzienlijk.
  • Niet hergebruiken. Zelfs als uw wachtwoord in theorie sterk is, maakt hergebruik u kwetsbaar.
  • Vermijd makkelijk te raden zinnen. Een woord dat in het woordenboek staat, op de halsband van uw huisdier of op uw kentekenplaat is een grote NEE.

Als u meer wilt weten over het maken van goede wachtwoorden, overweeg dan om ons artikel Hoe maak je een sterk wachtwoord te bekijken. U kunt ook onze wachtwoordgenerator proberen, die u helpt veilige wachtwoorden te bedenken.

Creëer unieke wachtwoorden

Genereer veilige wachtwoorden die volledig willekeurig en onmogelijk te raden zijn.

Is het kraken van wachtwoorden illegaal?

Er is geen eenduidig antwoord op deze vraag. Om te beginnen zijn alle hierboven beschreven tools om wachtwoorden te kraken volkomen legaal. Dat komt omdat ze een belangrijke rol spelen bij het controleren op kwetsbaarheden en ook kunnen helpen bij het herstellen van een verloren wachtwoord. Bovendien helpen dergelijke tools de rechtshandhaving bij het bestrijden van criminaliteit. Dus zoals zo vaak kan het kraken van wachtwoorden de goede en de slechte zaak helpen.

Wat het kraken van wachtwoorden als activiteit betreft, dat hangt af van twee factoren. Een, de hacker heeft niet de bevoegdheid om toegang te krijgen tot die specifieke gegevens. Twee, het doel is om de gegevens te stelen, te beschadigen of anderszins te misbruiken. Zelfs als slechts een van deze factoren aanwezig is, zal een hacker hoogstwaarschijnlijk een straf krijgen, variërend van een boete tot een gevangenisstraf van meerdere jaren.

Om kort te gaan, als er geen bug bounty is, geen overeenkomst om een penetratietest te doen, en geen verzoek om te helpen een verloren wachtwoord terug te krijgen, is kraken illegaal.

Bottom line

Het kraken van wachtwoorden is makkelijker dan de meeste gebruikers denken. Er zijn veel gratis tools en sommige zijn zelfs voor beginnende krakers eenvoudig genoeg. Er zijn ook meer dan één technieken om wachtwoorden te kraken. Beginnend met een eenvoudige brute kracht aanval en overgaand tot geavanceerde methoden die verschillende technieken combineren, is het kraken van wachtwoorden elke dag in ontwikkeling.

De beste verdediging tegen het kraken van wachtwoorden is het gebruik van een sterk wachtwoord. Het gebruik van voldoende symbolen en verschillende tekens zorgt ervoor dat zelfs de snelste computer uw account in dit leven niet zal kraken. En omdat het onwaarschijnlijk is dat u meerdere sterke wachtwoorden onthoudt, kunt u het beste een betrouwbare wachtwoordmanager gebruiken. Twee-factor authenticatie is nog steeds een pijn in het achterste voor elke hacker, dus het toevoegen van een vinger of gezicht ID zal uw gegevens veilig houden, althans voor de nabije toekomst.fcomm

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *