Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord
abonneren

Hoe snoodaards je wachtwoord kraken

Wachtwoorden zijn nog steeds een populair beveiligingsmiddel, maar boefjes kunnen ze toch vaak kraken. Laten we eens kijken hoe dat in zijn werk gaat. Voor extra beveiliging is er de wachtwoordkluis.

Wachtwoorden worden nog steeds erg veel gebruikt. Dat heeft gevolgen. Wie je wachtwoord te pakken krijgt, kan in korte tijd heel wat schade aanrichten. Het is dus erg belangrijk dat je een exemplaar verzint dat krachtig genoeg is en niet zomaar achterhaald kan worden. 

Een simpel wachtwoord is niet meer voldoende om je account te beschermen. Gelukkig bieden bedrijven steeds vaker verificatie aan met meerdere stappen.Wanneer de dienst actief is, heb je behalve het wachtwoord van je account voortaan ook een verificatiecode nodig voor het inloggen. Die code ontvang je dan per sms en moet vaak maar een keer om de 30 dagen ingevoerd worden. Als alternatief voor de sms’jes kan je ook een app gebruiken om de verificatiecode te genereren.

Hackers aan het werk

Toch blijven wachtwoorden de eerste buffer, die best zo sterk en uniek mogelijk is. Een goed wachtwoord bestaat uit hoofdletters, kleine letters, cijfers en speciale tekens. Het is onmogelijk te onthouden, mag nooit opgeschreven worden en moet om de paar maanden veranderd worden.

Toch kiezen we met zijn allen voor ‘slechte’ wachtwoorden zoals ‘wachtwoord’, ‘RSCAnderlecht’, ‘laatmebinnen’ of ‘123456’. Dat komt omdat ze makkelijker te onthouden zijn. Alleen: makkelijke wachtwoorden zijn meestal ook makkelijk te raden. Wachtwoorden zoals ‘Wachtwoord1’ volgen dan wel de klassieke regels die voorschrijven dat je altijd een combinatie van cijfers, hoofd- en kleine letters moet gebruiken, maar ze zijn snel gekraakt.

Hackers gaan op twee manieren achter je wachtwoord aan: ze gooien er ofwel brute rekenkracht tegenaan óf ze gaan meer gericht te werk.

Zo’n aanval met brute rekenkracht gaat veel nauwkeuriger dan zomaar willekeurige cijfer- en lettercombinaties uitproberen, omdat het heel veel kostbare tijd zou kosten om alleen al de 308 miljoen lettercombinaties tussen aaaaaa en zzzzzz te proberen. Voor een kraker is het zinvoller om meer gericht te gaan zoeken.

In veel gevallen bestaat een wachtwoord uit een stam met een voor- of achtervoegsel. De stam hoeft niet noodzakelijk in het woordenboek te staan, maar het is wel een uitspreekbare opeenvolging van letters. In 90 procent van de gevallen is er een achtervoegsel, in tien procent een voorvoegsel.

Met die wetenschap is het al een stuk eenvoudiger om te gaan raden. Eerst jaagt de kraker er een lijst van de duizend vaakst gebruikte wachtwoorden door. Daarna doet hij hetzelfde met de honderd vaakst voorkomende achtervoegsels. Op deze manier wordt al 24 procent van de wachtwoorden geraden.

Vervolgens probeert de kraker moeilijkere combinaties uit: stammen met voor- en achtervoegsels zoals combinaties van twee cijfers of jaartallen sinds 1900. In een paar weken tot een maand raadt hij zo tot 65 procent van de wachtwoorden.

Sommige hackers gaan echter anders te werk, via zogenaamde social engineering. Dat is vooral een bedreiging als uw wachtwoordkeuze geïnspireerd is door je dagelijkse omgeving: je partner, de namen van je kinderen of je huisdier bijvoorbeeld. Door de populariteit van sociale netwerken is het makkelijker geworden om dit soort wachtwoorden te achterhalen. En als dat niet lukt, dan proberen ze met de informatie op al je profielen zich voor te doen als jij en nemen ze zo contact op met de helpdesk.

 

Wachtwoord in de kluis

Heb je je aangemeld bij honderden diensten, met elk een verschillend wachtwoord? Tenzij je over een fenomenaal geheugen beschikt, kan een wachtwoordkluis daarbij helpen. Bekende securtitynamen als Kaspersky en Symantec bieden dit aan. Maar ook minder bekende als LastPass en MyLOK.

Een wachtwoordmanager is maar zo sterk als het hoofdwachtwoord, dat de belangrijke rol krijgt om al je andere wachtwoorden te beschermen. Geef het tijdens de installatie in, dan krijg je bij de meeste wachtwoordmanagers te zien hoe sterk het is. Bij LastPass staan al je gegevens versleuteld in de cloud. Wie online opslag niet vertrouwt, zal op zoek moeten naar een andere oplossing.

Andere diensten, zoals mSecure, slaat niet alleen log-ingegevens op, maar bewaren ook andere informatie, zoals rekeningnummers en kredietkaarten, maar ook e-mailwachtwoorden, de pincode van je sim-kaart, kledingmaten en de registratiegegevens van je auto.

Soms voorziet zo’n wachtwoordkluis standaard ook een hardware-oplossing. Al jouw gegevens worden dan versleuteld opgeslagen op een kleine smartcard. Bovendien krijg je er bijvoorbeeld 4 GB opslag bij. Je geeft een pincode in en beantwoordt de twee veiligheidsvragen. Wanneer je je pincode fout ingeeft, zullen die vragen als beveiliging dienen. Het is dus belangrijk om ze moeilijk genoeg te maken, maar niet zo moeilijk dat je de antwoorden zelf vergeet. Na te veel foute gokken wordt de stick immers gewist.

De wachtwoordkluis is vaak een apart programma. Symantec heeft bijvoorbeeld jarenlang wachtwoordbeheer aangeboden in zijn securitysuite, maar tegenwoordig is Norton Identity Safe ook als apart programma te vinden, en het hoeft in die nieuwe rol niet onder te doen voor de concurrentie. Omdat het gratis is, kan je het op zoveel computers installeren als je wilt en jouw data tussen al je toestellen synchroniseren. 

Geschreven door: Redactie PCM op

Category: Nieuws, Security

Tags: beveiliging, Wachtwoorden, Passwords

Nieuws headlines

Laatste reactie