Heb je wl eens gehoord van een Brute Force Attacks?
Aangezien je op dit artikel bent geland, is er een grote kans dat deze term jou niet bekend in de oren klinkt. Wellicht heb je de term wel eens gehoord, maar weet je niet precies wat het inhoudt of wil je sowieso hier wat meer over weten. In dit artikel doen we ons best om dit zo uitgebreid mogelijk aan jou uit te leggen.
Waar hebben we het over
We kunnen ons goed voorstellen dat je, na het horen van deze term, nog steeds niet weet welke kant we nou op willen gaan met dit artikel. Dat is helemaal niet erg, dus laat ons jou vooral meenemen, dan wordt het allemaal duidelijk.
Brute force attacks gaan over de veiligheid van jouw wachtwoorden en over het mogelijk proberen te kraken van deze wachtwoorden. Wanneer een brute force attack slaagt, kunnen de gevolgen groot zijn en ook behoorlijk oplopen in de papieren. Het is waarschijnlijk overbodig om te zeggen, dat het een goed idee is om jezelf en jouw bedrijf hier zo goed mogelijk tegen te beschermen.
Wat is een brute force attack?
Nu we weten dat dit iets met wachtwoorden te maken heeft, kunnen we gaan kijken wat het nou precies is.
Het woord zegt het al een beetje, het is een brute, geforceerde aanval op iemand. De aanvaller probeert hierbij via trial and error (letterlijk vertaald: vallen en opstaan) inloggegevens van het beoogde slachtoffer te bemachtigen. Meestal wordt er gebruik gemaakt van een programmaatje of scriptje om zo veel mogelijk wachtwoorden uit te proberen.
Het is een doelgerichte actie en een uitputtend proces, terwijl jij als gebruiker jezelf goed kunt wapenen tegen dit soort aanvallen.
Verschillende soorten aanvallen
Nu zul je wellicht denken, waarom moet ik de verschillende soorten aanvallen weten? Nou, een gewaarschuwd mens telt voor twee, zullen we maar zeggen. Wanneer je weet welke technieken er gebruikt worden om aan jouw gegevens te komen, weet je ook beter wat je moet doen om geen slachtoffer te worden van deze technieken.
Simple brute force attack
We beginnen bij de meest simpele (vandaar ook de naam), waarbij geen gebruik wordt gemaakt van een programma, script of andere automatisering. Iemand probeert net zo lang wachtwoorden of pincodes uit, totdat de juiste is gevonden. Makkelijke wachtwoorden en pincodes kunnen hierdoor in enkele seconden worden gekraakt.
Dictionary attack (woordenboek aanval)
De aanvaller zal bij deze vorm zo veel mogelijk wachtwoorden uitproberen, welke kunnen bestaan uit woorden uit het woordenboek, eventueel gecombineerd met getallen en leestekens.
Hybrid aanval (hybride aanval)
Dit is eigenlijk een combinatie van de twee bovenstaande soorten.
Mensen kiezen gebruikelijk een cijferreeks die voor hen belangrijk zijn, denk hierbij aan een verjaardag of trouwdatum, in combinatie met één of meerdere woorden. Vaak probeert de aanvaller eerst te achterhalen welke combinatie er gebruikt wordt, om vervolgens zo veel mogelijk varianten hierin uit te proberen.
Credential stuffing (vullen met inloggegevens)
Veel mensen gebruiken dan ook nog eens de zelfde gebruikersnamen en wachtwoorden over verschillende platformen. Makkelijk met onthouden, zou je denken, maar wel heel onveilig. Wanneer een aanvaller eenmaal een geldige combinatie in handen heeft, kan deze op meerdere platformen geprobeerd worden.
Gebruik je deze combinatie ook elders, dan heeft deze hacker binnen de kortste keren toegang tot jouw Facebook, Instagram, Google account, bankgegevens en ga zo maar door.
Reverse brute force attack (omgekeerde aanval)
Deze aanvaller heeft een geldig wachtwoord achterhaald en gaat dit wachtwoord nu net zo lang uitproberen om de bijbehorende gebruikersnaam, het accountnummer of iets anders te bemachtigen.
Rainbow table attack (regenboogtabel aanval)
Een regenboogtabel is een verzameling van allerlei combinaties aan wachtwoorden, die versleuteld zijn met encryptie.
Een simpel voorbeeld: hallo wordt, bijvoorbeeld, omgezet naar 1a2b3c4d en doei wordt omgezet naar 1d2c3b4a. Wanneer je ergens een wachtwoord invult, wordt deze omgezet naar de versleutelde variant. Deze versleutelde variant is hetgeen wat in de database wordt opgeslagen, zodat niemand zomaar kan inzien welk wachtwoord je hebt gebruikt. Men moet immers weten wat de versleutelde variant is, willen zij het wachtwoord kunnen herleiden.
Dit is nou precies wat een regenboogtabel is voor een hacker: een verzameling van al versleutelde wachtwoorden. Mocht deze hacker nou alle versleutelde wachtwoorden weten te bemachtigen en bij jou staat de versleuteling 1a2b3c4d, dan kan de hacker uit zijn regenboogtabel lezen dat jouw wachtwoord hallo is en hij is binnen.
Password spraying (spayen van wachtwoorden)
Bij deze variant is het een beetje omgedraaid, want normaal is een aanval gericht op een specifiek slachtoffer.
Eén specifiek wachtwoord wordt nu op zo veel mogelijk gebruikers uitgeprobeerd, in de hoop ergens succes te hebben. Deze variant is moeilijker te detecteren, omdat dit niet meer gaat om veel inlogpogingen op één account, en hierdoor kunnen ze redelijk ongezien handelen.
SSO
Voor password spraying wordt vaak doelwit gemaakt van gebruikers die een SSO gebruiken, ofwel Single Sign-on. Hierbij heb je één inlogpoging nodig en vervolgens kom je in allerlei verschillende applicaties terecht, zonder nog te hoeven inloggen. Google is hier een voorbeeld van, aangezien je met één login toegang hebt tot jouw mail, Drive, afbeeldingen, alles.
Hoe weet ik dat ik slachtoffer ben?
Er zijn een aantal verschillende dingen om jouw ogen voor open te houden.
Merk je dat je ineens op verschillende plekken bent uitgelogd, waar je normaal automatisch ingelogd wordt, en als je probeert in te loggen, dat jouw wachtwoord niet meer werkt? Krijg je wellicht meldingen van inlogpogingen die gedaan zijn van een onbekende locatie en misschien wel vanuit het buitenland? Krijg je misschien een e-mail met de vraag om jouw wachtwoord op te vragen? Staat jouw agenda ineens helemaal vol met afspraken en events die je helemaal niet gepland had, misschien zelfs niet eens in het Nederlands geschreven?
Dit zijn allemaal mogelijke manieren waaraan je kunt herkennen dat jouw wachtwoord op dit moment een risico loopt om gekraakt te worden of wellicht al gekraakt is. Verander in deze omstandigheden dan ook meteen jouw wachtwoord, log alle bestaande sessies uit en stel jouw gegevens veilig.
Bescherming tegen brute force aanvallen
Zoals we al hebben verteld, kan je jezelf goed wapenen tegen brute force attacks. Dit kan op verschillende lagen en is niet alleen voor een gebruikersaccount, maar bijvoorbeeld ook op jouw mailserver, mocht je die hebben en zelf beheren.
Wat kan ik zelf doen?
We zullen ons eerst focussen op jou; wat jij kan doen voor de bescherming van jouw gegevens.
1. Gebruik een moeilijk wachtwoord
Ondertussen heb je kunnen lezen waar het bij veel wachtwoorden de mist in gaat en waarom deze wachtwoorden makkelijk te kraken zijn.
Wat voor wachtwoorden zijn dan wel goed?
Het beste is om een wachtwoord te genereren door middel van een online tooltje, of in ieder geval een wachtwoord te verzinnen die bestaat uit letters, cijfers en leestekens in een onlogische volgorde (minstens 15 tekens). Maar deze wachtwoorden zijn toch niet te onthouden? Nee, dat zijn ze niet, maar je hebt wel verschillende online manieren om deze wachtwoorden in een kluis op jouw computer of in de browser op te slaan. Uiteraard kun je ook helemaal terug naar analoog en deze in een boekje opschrijven.
2. Verander regelmatig jouw wachtwoord
Cybercriminelen zitten nooit stil, dus jouw wachtwoord kan op een gegeven moment gekraakt worden. Wissel daarom regelmatig van wachtwoord, zodat je dit een stap voor kunt zijn.
3. Gebruik tweestaps-verificatie (2FA of two factor authentication)
Hackers hebben hierbij toegang nodig tot het apparaat dat jij hiervoor gebruikt. Dus, ook al hebben zij jouw wachtwoord gekraakt, als ze dit toestel niet hebben, dan kunnen ze vooralsnog niet verder.
4. Gebruik geen wachtwoorden dubbel
Zoals we al besproken hebben onder het kopje Credential Stuffing, worden gebruikersnamen en wachtwoorden vaak hergebruikt over verschillende platformen.
Hackers weten dit ook maar al te goed en zullen dit bij een gekraakt wachtwoord ook overal uitproberen.
Wat kan ik op mijn websoftware doen?
Nu we hebben besproken hoe je jezelf tegen een brute force attack kan beschermen, gaan we kijken wat jij kan doen op jouw websoftware. Belangrijk om te benoemen, is dat wellicht niet alles door jou uitgevoerd kan worden. Dit is namelijk erg afhankelijk van het soort systeem wat je gebruikt.
5. Het aantal inlogpogingen beperken
Je kan er bij sommige platformen voor kiezen om het aantal inlogpogingen te limiteren naar bijvoorbeeld maximaal drie. Het is dan niet mogelijk voor een hacker om oneindig lang door te proberen, zonder tegen een blokkade aan te lopen.
Bij systemen als: WordPress, kan het in het begin oneindig vaak, maar je kan wel een plugin installeren die dit beperkt. Zo verkleint je de kans op een brute force attack enorm.
6. Het verkeer monitoren
Er is een grotere kans dat dit niet binnen jouw mogelijkheden valt, wat wederom afhankelijk is van het door jou gebruikte platform.
Merk je echter dat er heel veel verzoeken binnenkomen van een specifiek IP-adres, dan kan het goed mogelijk zijn dat jij, of een medewerker, het doelwit is van een brute force attack.
7. Gebruik een CAPTCHA bij formulieren
Een wat? Juist, een CAPTCHA.
Dit is een testje die voor computers moeilijk is om uit te voeren, maar voor mensen heel makkelijk. Een voorbeeld van een testje is bijvoorbeeld het moeten aanklikken van alle afbeeldingen waar een verkeerslicht op te zien is, of de slider zo verschuiven, dat het puzzelstukje op zijn plek komt te liggen.
De volledige term staat voor Completely Automated Public Turing test to tell Computers and Humans Apart. Dit is een behoorlijke mond vol, dat weten we, maar het komt er dus op neer dat het testjes zijn om computers en mensen van elkaar te onderscheiden en hierdoor spam en botjes tegen te houden.
8. Gebruik een andere url om in te loggen
Vanaf hier komen we op het punt dat het waarschijnlijk niet meer mogelijk is om dit zelf te doen en daarom zullen we je niet vervelen met een uitgebreide uitleg. Vraag dit dus eventueel na bij jouw contactpersoon, die dit regelt.
Heb je een WordPress website? Dan komt de url www.website.nl/wp-admin jou waarschijnlijk wel bekend voor, want dit wordt als standaard url gebruikt om in te loggen in jouw WordPress systeem. Echter, je bent niet de enige die dit weet, want hackers zijn zich hier ook bewust van. De url om in te loggen opzoeken is stap 1 voor het uitvoeren van een simpele brute force attack. Het is daarom een slim idee om deze login te verstoppen achter een andere, “onlogische” url. Een hacker zal er waarschijnlijk niet aan willen beginnen om eerst nog die hele url te achterhalen.
9. Gebruik geen SSH-wachtwoord, maar een private key
Goed, als je geen technische kennis hebt, lees hier dan maar vooral overheen.
Bij Janssen Websolutions zorgen we voor een veilige server met zo veel mogelijk verschillende barricades voor een mogelijke hacker. Heb je hier wel kaas van gegeten, dan is het belangrijk om te weten dat een brute force attack mogelijk is via SSH via de root user. Zorg er daarom voor dat jouw root user geen toegang heeft tot de server met een SSH wachtwoord, maar genereer daarvoor een private key.
10. Gebruik een goede firewall
Een firewall is te vergelijken met een beveiliger die als portier bij de bar beoordeeld of je oud genoeg bent om naar binnen te mogen. De firewall bepaalt dus of internet verkeer door mag naar jouw websoftware.
Een goed ingestelde firewall is dus belangrijk om ongewenst verkeer tegen te houden; dit verkleint ook de kans op een brute force attack.
Wat kunnen wij voor jou betekenen
Bij Janssen Websolutions vinden we jouw veiligheid en dat van jouw klanten het allerbelangrijkst, zeker omdat deze veiligheid heel wat voeten in de aarde heeft om in stand te houden. Als je een dienst van ons afneemt, zorgen wij dat jouw websoftware beveiligd wordt tegen brute force attacks met meerdere, verschillende technieken, waardoor we het een hacker wel heel moeilijk maken om bij jou in te breken.
Wil je meer weten over hoe wij jouw websoftware beveiligen tegen brute force attacks, neem dan contact op via e-mail: info@janssen-websolutions.nl, whatsapp/telefonisch +31 (0)658853730 of via ons contactformulier.
Moet je bij het afnemen van onze diensten zelf nog wat doen om brute force attacks te voorkomen? Uiteraard blijft het advies over sterke wachtwoorden, 2FA en het regelmatig veranderen van wachtwoorden staan, voor jouw eigen veiligheid.
Het technische deel nemen wij jou graag uit handen, zodat je veilig en zorgeloos kan groeien. Wij vinden het belangrijk dat je kunt doen wat voor jou belangrijk is, zonder dat je in de moeilijke materie hoeft te duiken.