Hoe wordt een wachtwoord gekraakt?

logo
door: Jeroen 10-12-2015| Leestijd: 5 minuten| Categorie: SSL / veiligheid

Een hacker kraakt makkelijke wachtwoorden tegenwoordig binnen enkele minuten. Hiermee ligt jouw gevoelige data zomaar op straat.

Wij geven deze week antwoord op de vraag: hoe wordt een wachtwoord gekraakt? Zo weet je waar je op moet letten. Met onze handige tips volgende week maak je vervolgens een ijzersterk wachtwoord.

Dit is artikel 1/2, onderdeel van een serie blogposts over wachtwoorden.
(2/2) Must: versterk je wachtwoord! Tips op een rij

In dit blog krijg je een uitleg hoe een wachtwoord wordt gekraakt. Dit is handig wanneer je straks ook ons artikel: ‘Must: versterk je wachtwoord! Dé tips op een rij’ leest.

Kortweg kun je zeggen dat wachtwoorden tegenwoordig eigenlijk wachtzinnen moeten zijn, om het hackers erg moeilijk te maken.

Een Nederlander werkt met gemiddeld twintig wachtwoorden.

Uit onderzoek van Direct Research en Tweakers blijkt dat 75% van de 1.000 ondervraagden aangeeft dat dit aantal wachtwoorden in de toekomst zal toenemen.

Zo’n 70% vindt het ‘bijna onmogelijk’ om voor elke online dienst een apart wachtwoord te gebruiken. Bijna twee op de drie respondenten hergebruikt daarom online hetzelfde wachtwoord.

Hoe wordt een wachtwoord gekraakt?

Er zijn verschillende manieren waarop computerkrakers de wachtwoorden op jouw apparaat ontfutselen.

Keyloggers

Computerkrakers kunnen jou stiekem bespieden door bewegingen te volgen met gebruik van een keylogger.

Dit is een programma of apparaat dat op de achtergrond jouw toetsaanslagen of zelfs muisbewegingen registreert.

Een keylogger is volkomen legaal en wordt bijvoorbeeld wel eens door ouders gebruikt om hun internettende kroost in de gaten te houden.

Het is echter ook een handig middel voor criminelen die jouw kostbare data willen stelen. Ze zien immers precies wanneer jij jouw wachtwoorden typt en wat die wachtwoorden zijn.

Jouw privé-gegevens zoals creditcardinformatie of rekeningnummers liggen nu op straat. Op dit moment verandert het legale programma in hardnekkige spyware.

Jouw computer kan geïnfecteerd worden met besmette e-mails, aangetaste downloads of onbetrouwbare wifi-netwerken.

Om keylogging te voorkomen is het belangrijk jouw browser altijd up-to-date te houden met de laatste beveiligingsupdates. Het is ook slim om een goed anti-spyware product te installeren op jouw computer.

Refog is één van de beschikbare keyloggers. Het slaat onopvallend alle uitgevoerde handelingen op die op en PC worden gedaan.


Keyloggers komen ook voor in de vorm van hardware. Kwaadwillenden steken dan een USB-stick met keylogger in jouw computer.

Brute force

Brute force is de meest populaire methode om wachtwoorden te ontcijferen. Kort gezegd werkt het als volgt: in een rap tempo worden er verschillende bestaande woorden en mogelijke combinaties van cijfers, leestekens en letters geprobeerd.

Wachtwoorden die bestaan uit weinig karakters of woorden die in het woordenboek te vinden zijn, worden zo gekraakt met deze methode. De computer heeft hier zelfs minder dan een seconde voor nodig!

Om dit soort aanvallen te saboteren, wordt er altijd aangeraden om een wachtwoord te maken dat bestaat uit cijfers, hoofdletters, kleine letters en leestekens. Gebruik het alle vier in het wachtwoord.

Wil je meer weten over hoe Brute force in zijn werk gaat? In de video ‘Hoe kraakt iemand een wachtwoord?’ van De Consumentenbond wordt overzichtelijk uitgelegd hoe lang het duurt voor een hacker om bepaalde wachtwoorden te ontrafelen.


Een computer kan wel twee miljard wachtwoorden per seconde raden.

Leetspeak

H4ll0! Snap jij wat hier staat? Nou, een computer ook. Sommige gebruikers denken slim te zijn door leetspeak toe te passen in hun wachtwoorden.

Dit houdt in dat je bepaalde klanken in wachtwoorden te verandert in letters die erop lijken.

Helaas haalt de meeste brute forcesoftware dit soort fonetische verbasteringen er moeiteloos uit. Het heeft dus geen zin om de ‘E’ in jouw wachtwoord te veranderen in het cijfer ‘3’, want de software herkent deze maskering meteen.

Tabel met alternatieve tekens of tekencombinaties in Leet. Dit wordt gebruikt om bepaalde letters aan te duiden.

Ongeschikte wachtwoorden

In de vorige alinea’s werd al duidelijk dat niet alle wachtwoorden geschikt zijn om jouw gegevens mee te beschermen. Hier een handige lijst van wachtwoorden die je niet moet gebruiken.

  • Doordat hackers leetspeak moeiteloos ontcijferen, zijn wachtwoorden als ‘w@chtw00rd’ niet geschikt.
  • Vul nooit jouw geboortedatum als wachtwoord in, aangezien deze informatie voor veel mensen makkelijk te vinden is.
  • Hetzelfde geldt voor de naam van jouw moeder, kinderen of jouw trouwdag.
  • Een combinatie van informatie zoals jouw naam plus de woonplaats of een geboortedatum is ook gemakkelijk te kraken.
  • Gebruik geen bestaande woorden uit het woordenboek. Hackers laten volledige woordenboeken los op wachtwoorden, in verschillende talen en zelfs achterstevoren gespeld.
  • Woorden samengevoegd met simpele cijfercombinaties zoals ‘123’ of ‘987’ worden ook binnen een mum van tijd geraden.

Daarnaast is het aan te raden om niet overal hetzelfde wachtwoord te gebruiken. De hacker hoeft dan namelijk maar één wachtwoord te ontrafelen om toegang te hebben tot al jouw belangrijke gegevens.

Hoe maak je een sterk wachtwoord?

Hoe je een sterk wachtwoord maakt dat een keylogger of brute force niet kan ontcijferen lees je in ons blog ‘Must: Versterk jouw wachtwoord met deze tips’.

We verklappen dan onder meer hoe je ijzersterke wachtwoorden kunt formuleren én onthouden.

logo
Over: Jeroen

Jeroen leest en schrijft programmeercodes als tweede moedertaal. Voor hem als systeembeheerder is geen technische uitdaging te gek is en hij helpt je dan ook graag bij jouw helpdeskvragen. Zijn specialisme ligt bij databases, PHP, Perl, Bash en CMS’en.