Woordenboekaanvallen bedreigen de veiligheid van uw netwerken en platforms. Ze proberen een gebruikersaccount te compromitteren door een overeenkomend wachtwoord te genereren. Leer hoe ze werken en hoe je ze kunt verslaan.
Woordenboekaanvallen
Gebruikersaccounts op computersystemen, websites en gehoste services moeten worden beschermd tegen ongeoorloofde toegang. Gebruikersauthenticatie is de meest gebruikelijke manier om dit te doen. Gebruikers krijgen een unieke gebruikers-ID—voor online accounts, dit is meestal hun e-mailadres—en een wachtwoord. Deze twee stukjes informatie moeten worden verstrekt, gecontroleerd en geverifieerd voordat de gebruiker toegang kan krijgen tot het account.
GERELATEERDHet probleem met wachtwoorden zijn mensen
Woordenboekaanvallen zijn een familie van cyberaanvallen die een gemeenschappelijke aanvalstechniek delen. Ze gebruiken lange lijsten, soms hele databases met woorden en een stukje software. De software leest elk woord om de beurt uit de lijst en probeert het te gebruiken als wachtwoord voor het account dat wordt aangevallen. Als een van de woorden in de lijst overeenkomt met het echte wachtwoord, is het account gehackt.
Deze aanvallen verschillen van het meer primitieve brute-force type aanval. Brute-force-aanvallen proberen willekeurige combinaties van letters en tekens in de hoop dat ze bij toeval op het wachtwoord stuiten en veel geluk hebben. Deze aanvallen zijn inefficiënt. Ze zijn tijdrovend en rekenintensief.
De inspanning die nodig is om een wachtwoord te kraken neemt enorm toe met elke extra letter die u aan uw wachtwoord toevoegt. Er zijn orden van grootte meer combinaties in een wachtwoord van acht tekens dan in een wachtwoord van vijf tekens. Er is geen garantie dat een aanval met brute kracht ooit zal slagen. Maar met woordenboekaanvallen, als een van de items in de lijst overeenkomt met uw wachtwoord, zal de aanval uiteindelijk slagen.
Advertentie
Natuurlijk zullen de meeste bedrijfsnetwerken automatische accountvergrendeling afdwingen na een bepaald aantal mislukte toegangspogingen. Heel vaak beginnen de bedreigingsactoren echter met de bedrijfswebsites, die vaak minder strenge controles hebben op toegangspogingen. En als ze toegang krijgen tot de website, kunnen ze die inloggegevens proberen op het bedrijfsnetwerk. Als de gebruiker hetzelfde wachtwoord opnieuw heeft gebruikt, bevinden de bedreigingsactoren zich nu in uw bedrijfsnetwerk. In de meeste gevallen is de website of portal niet het echte doelwit. Het is een tussenstation op weg naar de daadwerkelijke prijs van de bedreigingsactor, het bedrijfsnetwerk
Door toegang te krijgen tot de website kunnen bedreigingsactoren kwaadaardige code injecteren die inlogpogingen controleert en de gebruikers-ID's en wachtwoorden. Het stuurt de informatie naar de dreigingactoren of logt het totdat ze terugkeren naar de site om het te verzamelen.
GERELATEERD: Hoe Pass te gebruiken, een commando- Line Password Manager voor Linux-systemen
Niet alleen woorden in een bestand
De vroegste woordenboekaanvallen waren precies dat. Ze gebruikten woorden uit het woordenboek. Dit is de reden waarom “gebruik nooit een woordenboekwoord” maakte deel uit van de begeleiding bij het kiezen van een sterk wachtwoord.
GERELATEERD< /strong>Waarom verplichte wachtwoordverloop geen zin meer heeft
Dit advies negeren en toch een woordenboekwoord kiezen en er vervolgens een cijfer aan toevoegen zodat het niet overeenkomt met een woord in het woordenboek, is net zo slecht. De dreigingsactoren die de woordenboekaanvalsoftware schrijven, zijn hier wijs in. Ze ontwikkelden een nieuwe techniek die elk woord uit de lijst vele malen probeert. Bij elke poging worden enkele cijfers aan het einde van het woord toegevoegd. Dit komt omdat mensen vaak een woord gebruiken en een cijfer toevoegen, zoals 1, dan 2, enzovoort, elke keer dat ze hun wachtwoord moeten wijzigen.
Soms voegen ze een getal van twee of vier cijfers toe om een jaar aan te duiden. Het kan een verjaardag, jubileum, het jaar waarin uw team de beker won of een andere belangrijke gebeurtenis vertegenwoordigen. Omdat mensen de naam van hun kinderen of significante anderen als wachtwoorden gebruiken, werden de woordenboeklijsten uitgebreid met mannelijke en vrouwelijke namen.
En de software evolueerde weer. Schema's die letters vervangen door cijfers, zoals 1 voor “i”, 3 voor “e”, 5 voor “s”, enzovoort, voegen geen significante complexiteit toe aan je wachtwoord. De software kent de conventies en werkt ook door die combinaties.
Advertentie
Tegenwoordig worden al deze technieken nog steeds gebruikt, samen met andere lijsten die geen standaard woordenboekwoorden bevatten. Ze bevatten echte wachtwoorden.
Waar de lijsten met wachtwoorden vandaan komen
De bekende Have I Been Pwned-website bevat een doorzoekbare verzameling van meer dan 10 miljard gecompromitteerde accounts. Elke keer dat er een datalek is, proberen de beheerders van de site de gegevens te bemachtigen. Als ze erin slagen het te verwerven, voegen ze het toe aan hun databases.
GERELATEERDHoe te controleren of e-mails van medewerkers gegevensinbreuken bevatten
U kunt vrij zoeken in hun e-mailadresdatabase. Als uw e-mailadres in de database wordt gevonden, wordt u verteld door welk datalek uw informatie is gelekt. Zo vond ik bijvoorbeeld een van mijn oude e-mailadressen in de Have I Been Pwned-database. Het werd gelekt bij een inbreuk op de LinkedIn-website in 2016. Dat betekent dat mijn wachtwoord voor die site ook zou zijn geschonden. Maar omdat al mijn wachtwoorden uniek zijn, hoefde ik alleen maar het wachtwoord voor die ene site te wijzigen.
Have I Been Pwned heeft een aparte database voor wachtwoorden. Je kunt e-mailadressen niet koppelen aan wachtwoorden op de Have I Been Pwned-site, om voor de hand liggende redenen. Als u naar uw wachtwoord zoekt en het in de lijst vindt, betekent dit niet noodzakelijk dat het wachtwoord afkomstig is van een van uw accounts. Met 10 miljard geschonden accounts zullen er dubbele vermeldingen zijn. Het interessante punt is dat u wordt verteld hoe populair dat wachtwoord is. Dacht je dat je wachtwoorden uniek waren? Waarschijnlijk niet.
Maar of het wachtwoord in de database nu afkomstig is van een van uw accounts of niet, als het op de Have I Been Pwned-website staat, zullen het wachtwoordlijsten zijn die worden gebruikt door de dreigingsactoren’ aanvalssoftware. Het maakt niet uit hoe geheimzinnig of obscuur uw wachtwoord is. Als het in de wachtwoordlijsten staat, kan er niet op worden vertrouwd—dus verander het onmiddellijk.
GERELATEERD: Ben je gehackt? 10 indicatoren die ja zeggen
Variaties van aanvallen waarbij wachtwoorden worden geraden
Zelfs met relatief low-brow aanvallen zoals woordenboekaanvallen, kan de aanvaller wat eenvoudig onderzoek gebruiken om het werk van de software gemakkelijker te maken.
Advertentie
Ze kunnen zich bijvoorbeeld aanmelden of gedeeltelijk aanmelden op de site die ze willen aanvallen. Ze kunnen dan de regels voor wachtwoordcomplexiteit voor die site zien. Als de minimale lengte acht tekens is, kan de software worden ingesteld om te beginnen met reeksen van acht tekens. Het heeft geen zin om alle vier-, vijf-, zes- en zeven-tekenreeksen te testen. Als er niet-toegestane tekens zijn, kunnen deze worden verwijderd uit het “alphabet” die de software kan gebruiken.
Hier is een korte beschrijving van verschillende soorten op lijsten gebaseerde aanvallen.
- Traditionele brute-force-aanval: Eigenlijk is dit geen aanval op basis van lijsten. Een speciaal, speciaal geschreven softwarepakket genereert alle combinaties van letters, cijfers en andere tekens, zoals leestekens en symbolen, in steeds langere strings. Het probeert elk als het wachtwoord op het account dat wordt aangevallen. Als het toevallig een combinatie van tekens genereert die overeenkomt met het wachtwoord voor het account dat wordt aangevallen, wordt dat account gecompromitteerd.
- Woordenboekaanval: een speciaal, speciaal geschreven softwarepakket kost één woord tegelijk uit een lijst met woordenboekwoorden en probeert ze als wachtwoord tegen het account dat wordt aangevallen. Transformaties kunnen worden toegepast op woorden in het woordenboek, zoals het toevoegen van cijfers en het vervangen van letters door cijfers.
- Password Look-Up Attack: vergelijkbaar met een woordenboekaanval, maar de woordenlijsten bevatten echte wachtwoorden. Geautomatiseerde software leest een wachtwoord tegelijk uit een enorme lijst met wachtwoorden die zijn verzameld bij datalekken.
- Intelligente wachtwoordzoekaanval: als een wachtwoordaanval, maar transformaties van elk wachtwoord worden net zo goed beproefd als de “naakte” wachtwoord. De transformaties emuleren veelgebruikte wachtwoordtrucs, zoals het vervangen van klinkers door cijfers.
- API Attack: In plaats van te proberen een gebruikersaccount te kraken, gebruiken deze aanvallen software om tekenreeksen te genereren waarvan ze hopen dat ze overeenkomen met de sleutel van een gebruiker voor een Application Programming Interface. Als ze toegang kunnen krijgen tot de API, kunnen ze deze mogelijk misbruiken om gevoelige informatie of intellectueel auteursrecht te exfiltreren.
Een woord over wachtwoorden< /h2> GERELATEERDEen sterk wachtwoord maken (en onthouden Het)
Wachtwoorden moeten robuust en uniek zijn en geen verband houden met iets dat over u kan worden ontdekt of afgeleid, zoals namen van kinderen. Wachtwoordzinnen zijn beter dan wachtwoorden. Drie niet-verwante woorden, verbonden door enkele interpunctie, is een zeer sterke sjabloon voor een wachtwoord. Het is contra-intuïtief dat wachtwoordzinnen vaak woordenboekwoorden gebruiken, en we zijn altijd gewaarschuwd om geen woordenboekwoorden in wachtwoorden te gebruiken. Maar door ze op deze manier te combineren, ontstaat er een heel moeilijk probleem voor de aanvalssoftware om op te lossen.
We kunnen de website 'Hoe veilig is mijn wachtwoord' gebruiken om de sterkte van onze wachtwoorden te testen.
- cloudsavvyit: geschatte tijd om te kraken: drie weken.
- thirty.feather.girder: geschatte tijd om te kraken: 41 biljard jaar!
< li>cl0uds4vvy1t: geschatte tijd om te kraken: drie jaar.
li>
En vergeet de gouden regel niet. Wachtwoorden mogen altijd maar op één systeem of website worden gebruikt. Ze mogen nooit op meer dan één plaats worden gebruikt. Als u wachtwoorden in meer dan één systeem gebruikt en een van die systemen wordt geschonden, lopen alle sites en systemen waarop u dat wachtwoord hebt gebruikt gevaar omdat uw wachtwoord zich in de bedreigingsactoren bevindt. handen—en in hun wachtwoordlijsten. Of het al dan niet 41 biljard jaar duurt om je wachtwoord te kraken, als het in hun wachtwoordlijsten staat, is de tijd voor het kraken totaal irrelevant.
Als je te veel wachtwoorden hebt om te onthouden, gebruik dan een wachtwoordbeheerder .
GERELATEERD: Waarom u een wachtwoordbeheerder moet gebruiken en hoe u aan de slag kunt gaan
Beschermen tegen brute-force-aanvallen< /h2>
Een gelaagde defensieve strategie is altijd het beste. Geen enkele verdedigingsmaatregel zal u immuun maken voor woordenboekaanvallen, maar er zijn een aantal maatregelen die u kunt overwegen die elkaar aanvullen en het risico dat u vatbaar bent voor deze aanvallen aanzienlijk verminderen.
- Schakel waar mogelijk multi-factor authenticatie in. Dit brengt iets fysieks dat de gebruiker bezit, zoals een mobiele telefoon of een USB-sleutel of fob, in de vergelijking. Informatie die naar een app op de telefoon wordt verzonden, of informatie in de fob of USB-sleutel wordt opgenomen in het authenticatieproces. De gebruikersnaam en het wachtwoord alleen zijn onvoldoende om toegang te krijgen tot het systeem.
- Gebruik robuuste wachtwoorden en wachtwoordzinnendie uniek zijn en veilig worden opgeslagen in een versleutelde vorm.
- Een wachtwoordbeleid maken en uitrollen dat het gebruik, de bescherming van en de aanvaardbare formulering van wachtwoorden regelt. Introduceer het aan alle medewerkers en maak het verplicht.
- Beperk inlogpogingen tot een laag aantal. Vergrendel het account wanneer het aantal mislukte pogingen is bereikt, of vergrendel het en forceer een wachtwoordwijziging.
- Schakel captcha's in of andere secundaire, op afbeeldingen gebaseerde authenticatiestappen. Deze zijn bedoeld om bots en wachtwoordsoftware tegen te houden omdat een mens de afbeelding moet interpreteren.
- Overweeg het gebruik van een wachtwoordbeheerder. Een wachtwoordmanager kan complexe wachtwoorden voor u genereren. Het onthoudt welk wachtwoord bij welk account hoort, zodat u dat niet hoeft te doen. Een wachtwoordbeheerder is de gemakkelijkste manier om ijzersterke, unieke wachtwoorden te hebben voor elk afzonderlijk account dat u moet bijhouden.
GERELATEERD: Gebruik 2FA? Super goed. Maar het is niet onfeilbaar