Een veelgebruikte methode om ergens digitaal in te breken, is via een brute-force attack. De hacker maakt dan gebruik van software die verschillende combinaties inlognamen- en wachtwoorden probeert, totdat deze uiteindelijk de juiste combinatie heeft gevonden en kan inloggen.
Je raadt het al, zwakke inlognamen- en wachtwoorden zijn dus gevoelig voor een brute-force attack.
Tijd en rekenkracht
De software gebruikt de rekenkracht van de computer(s) om in korte tijd ontzettend veel combinaties van inlognamen- en wachtwoorden te proberen. Vaak veroorzaakt dit overlast op de webserver (veel HTTP-requests) waardoor een brute-force attack tijdig geconstateerd kan worden door ons monitoringsysteem.
Het enige wat de hacker dus nodig heeft is tijd. Met voldoende tijd en rekenkracht is vrijwel ieder moeilijk wachtwoord te kraken.
Dictionary attacks
Om niet zomaar nutteloze combinaties te proberen, kan de software ook specifieker gericht zijn op bepaalde woorden uit het woordenboek. Vandaar de term dictionary attack. Veel gebruikers kiezen namelijk voor een woord uit het woordenboek omdat deze makkelijk te onthouden is.
Brute force attack voorkomen
Een brute force attack is lastig te voorkomen, al dat niet onmogelijk. De belangrijkste maatregel die je zelf kunt treffen is op de applicatielaag, dus op website niveau.
Hieronder volgen enkele tips:
- Limiteer het aantal foutieve inlogpogingenVeel CMS-systemen hebben beveiligingsmogelijkheden om na bijvoorbeeld 3 foutieve inlogpogingen het IP-adres te blokkeren voor een bepaalde tijd. Zo voorkom je dat een hacker eindeloos kan proberen in te loggen.
- Gebruik sterke wachtwoorden Sterke wachtwoorden bevatten minimaal 8 tekens en gebruiken een combinatie van letters (hoofd én kleine letters), cijfers en vreemde tekens als !@#$%^&*() et cetera.
- Gebruik overal een ander wachtwoord Gebruik voor iedere inlogaccount een ander wachtwoord. Wanneer jouw wachtwoord in combinatie met een e-mailadres bekend is, dan zullen hackers deze ook gebruiken om in te loggen op andere online diensten als Gmail, Facebook et cetera.
- Gebruik geen standaard inlognaam Wijzig naast het standaard wachtwoord ook altijd de standaard inlognaam zoals ‘admin’ of ‘administrator’. Dit maakt het de hacker een stuk moeilijker omdat deze naast het wachtwoord ook de inlognaam moet achterhalen.
- Blokkeer of accepteer alleen inlogpogingen vanaf een bepaald IP-adres of netwerk Zo voorkom je dat er überhaupt kan worden ingelogd vanaf een bepaald IP-adres of netwerk. Of je accepteert juist alleen inlogpogingen vanaf een bepaald IP-adres of netwerk.
- Blokkeer inlogpogingen van robots Een tool als reCaptcha houdt robots tegen, omdat het menselijke aspect dan altijd nodig is om in te loggen. Zo moet je bijvoorbeeld een rekensom oplossen of bepaalde afbeeldingen aanklikken.
- Documenteer en controleer periodiek de (foutieve) inlogpogingen Goede documentatie helpt jou zich te houden op inlogpogingen. Er zijn ook systemen die een e-mailbericht sturen bij een foutieve inlogpoging of inlog vanuit een onbekend IP-adres of netwerk.
- Gebruik een 2FA Een tool als Google Authenticator beveiligt het inloggedeelte met een twee stappen authenticatie. Met alleen de inlognaam en het wachtwoord ben je er dan nog niet.
- Stel een geheime vraag in Stel een geheime vraag in wanneer er bijvoorbeeld meerdere malen een foutieve inlogpoging is gedaan in korte tijd.