Hoe bruut-force cracking je wachtwoord kan onthullen

Een hamer probeert bruut een hangslot te openen.


In cryptografie probeert een brute force-aanval versleutelde inhoud te ontcijferen door de coderingssleutel te raden. Deze aanval is mogelijk wanneer de coderingssleutel kort is of als een aanvaller voldoende informatie heeft om te proberen de sleutel te raden.

Als het gaat om webformulieren, hebben aanvallers niet veel tijd om een ​​sleutel te raden. Met Google of Facebook kan iemand alleen zo vaak proberen in te loggen op uw account voordat ze het ‘vergrendelen’.

Wanneer hackers echter de interne database van een bedrijf verkrijgen, hebben ze alle tijd ter wereld om uw wachtwoord te raden – zelfs als het gecodeerd is.

Websites moeten wachtwoorden gebruiken om gebruikers te beschermen

Wanneer websites uw wachtwoorden opslaan, moeten ze (maar niet altijd) de gebruikerswachtwoorden zout en hash gebruiken, zodat iemand die in het bezit is van de gebruikersdatabase deze niet kan gebruiken.

Hash-functies, zoals SHA-256, zijn cryptografische functies in één richting. Elk stuk gegevens, tekst, afbeelding of nummer kan worden “gehasht” en ongeacht hoe lang de invoer is, het resultaat zal altijd 256 bits lang zijn. Gecodeerd in hexadecimaal (zoals hieronder) resulteert dit in een tekenreeks van 64 tekens.

Gezouten hashes zorgen voor extra beschermingVoorbeelden van “gezouten” hashes, opnieuw gehasht.

Hoe aanvallers uw wachtwoord kraken

Om het voor potentiële hackers moeilijk te maken, zullen websites wachtwoorden wijzigen met een ‘zout’, wat een willekeurig gegeven is (zie hoe salting en hashing werkt).

Het berekenen van een hash uit tekst, een afbeelding of bestand is triviaal en kost een computer niet veel tijd of middelen. Maar als alles wat je weet de hash is, is de enige manier om de oorspronkelijke waarde te achterhalen een brute-force aanval. Daarom wordt een hashing-functie ook eenrichtingsversleuteling genoemd. Het is gemakkelijk om van tekst naar hash te gaan, maar heel moeilijk om de andere kant op te gaan.

Wachtwoordcrackers die in het bezit zijn van een gestolen gebruikersdatabase kunnen de lijst met gebruikersnamen, de zoutwaarde voor elke gebruiker en de hash zien.

Met deze details kunnen ze proberen de wachtwoorden van elke gebruiker te raden, ze te zout en te hashen en hun resultaat te vergelijken met de hash die is opgeslagen in de database. Als de hash overeenkomt, weten ze dat ze het wachtwoord hebben gevonden.

Een aanvaller moet de gebruikersnaam en het wachtwoord exact invoeren, omdat het wijzigen van de hash zelfs een heel klein beetje (zoals hierboven te zien is) zal resulteren in een compleet andere hash.

Hoeveel wachtwoordcombinaties zijn er??

Ervan uitgaande dat een wachtwoord alleen uit kleine letters bestaat, zijn er voor elk teken 26 mogelijkheden. Daarom zou u binnen 13 pogingen een wachtwoord van één teken kunnen raden.

Een wachtwoord van twee tekens heeft 26 × 26 opties en zou (26 × 26) / 2 pogingen om te ontcijferen duren.

De Formule c = (m ^ n) / 2 beschrijft de relatie tussen de mogelijkheden voor elk karakter (M), de lengte van het wachtwoord (N) en het verwachte aantal gissingen (C).

De relatie tussen de lengte van het wachtwoord en het aantal gissingen om het te kraken

Een grafiek om te laten zien hoeveel gissingen er nodig zijn om wachtwoorden van verschillende lengtes te kraken.

  • Kleine wachtwoorden (m = 26)
  • Hoofdletters en kleine letters (m = 52)
  • Hoofdletters en kleine letters en speciale tekens (m = 67)

Hoewel zowel de complexiteit als de lengte bijdragen aan de sterkte van een wachtwoord, is het veel waardevoller om een ​​teken toe te voegen dan om de complexiteit te vergroten.

Het toevoegen van een extra teken aan een wachtwoord van vier tekens, met alleen kleine letters, maakt het 26 keer moeilijker om te kraken, terwijl het verdubbelen van de mogelijke tekens tot 52 (d.w.z. hoofdletters toevoegen) het maar 16 keer moeilijker maakt om te kraken.

De logaritmische schaal maakt de relatie tussen wachtwoordlengte en vereiste gissingen om te kraken duidelijker

Een grafiek om de schaal van de wachtwoordlengte weer te geven tegen de vereiste pogingen om het te raden.

  • Kleine wachtwoorden (m = 26)
  • Hoofdletters en kleine letters (m = 52)
  • Hoofdletters en kleine letters en speciale tekens (m = 67)

Hoe lang duurt het om een ​​wachtwoord te kraken?

Hoe snel een aanvaller uw wachtwoord kan kraken, hangt af van hoe snel de computerhardware van de aanvaller is.

Een normale computer zou waarschijnlijk ongeveer 100.000 gissingen per seconde maken. Een speciale GPU kan 100 keer sneller zijn dan dit, en het is mogelijk om een ​​wachtwoord krakende boerderij met honderden GPU’s te creëren.

Als we aannemen dat de aanvaller een normale computer heeft die 100.000 gissingen per seconde kan doen, duurt het minder dan een minuut om een ​​klein wachtwoord met minder dan zes tekens te kraken.

Maar de oplossingstijd neemt exponentieel toe en een wachtwoord van acht tekens duurt 12 dagen om te kraken. Een wachtwoord van 12 tekens zou meer dan 12.000 jaar duren.

Of een wachtwoord van 12 tekens voldoende is, hangt af van de waarde van wat het beschermt en de schaal van de aanval. Als aanvallers zich slechts achter een enkel doelwit bevinden, is een wachtwoord van 12 tekens mogelijk binnen hun bereik.

Het is daarom cruciaal om waardevolle gegevens (zoals persoonlijke informatie of Bitcoin-privésleutels) te beschermen met veel langere wachtwoorden. Wanneer u bijvoorbeeld uw Bitcoin-portemonnee codeert, kan een sleutel van meer dan 32 tekens een goed idee zijn.

Hoe meer informatie een aanvaller heeft, hoe sneller een crack zal gebeuren

In de bovenstaande berekeningen wordt ervan uitgegaan dat de aanvaller niets weet over het wachtwoord, behalve of het hoofdletters of kleine letters bevat.

In werkelijkheid heeft de aanvaller misschien een aantal gissingen. Uit eerdere gedecodeerde wachtwoordlijsten weten we wat de meest voorkomende wachtwoorden zijn. Als er geen specifiek doel is, kan een aanvaller relatief snel algemene wachtwoorden met een e-maillijst controleren.

Mensen hebben ook de neiging om wachtwoorden te kiezen die alleen cijfers aan het eind hebben (zoals hello111), en ergens de naam van de service of URL opnemen. Een wachtwoord dat wordt gebruikt voor Gmail dat de woorden google of gmail bevat en aan het eind vier cijfers heeft (zoals gmailpanther1234), is gemakkelijk te kraken, zelfs als het lang is.

Mensen hebben ook de neiging om namen van hun huisdieren of kinderen als wachtwoorden te gebruiken, soms in combinatie met geboortedata of -jaren, waardoor hun wachtwoord gemakkelijker te raden is dan mensen denken.

Gebruik sterke wachtwoorden met wachtwoordbeheerders

De belangrijkste regel is: gebruik altijd een sterk wachtwoord.

Om het gedoe van het maken en onthouden van zoveel robuuste wachtwoorden te voorkomen, gebruikt u een willekeurige wachtwoordgenerator om gemakkelijk lange, unieke en echt niet te raden wachtwoorden te maken.

Als u die wachtwoorden vervolgens opslaat met een wachtwoordbeheerder, hoeft u slechts één wachtwoord te onthouden (dat u met Diceware zou kunnen genereren om het extra veilig te maken). Bovendien helpt tweefactorauthenticatie accounts te beschermen tegen nog geavanceerdere aanvallen, zoals wachtwoorden die zijn verkregen door phishing-aanvallen.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map