De laatste tijd wordt er in de media steeds meer aandacht besteed aan bedrijven die slachtoffer zijn geworden van cyberaanvallen. In sommige van deze cyberaanvallen wordt ook data ontvreemd door de hacker en worden deze gegevens doorverkocht of publiekelijk kenbaar gemaakt. Doordat de gestolen data in veel gevallen ook gebruikersnamen met wachtwoorden bevat, wordt het steeds eenvoudiger om accounts te kraken.
In dit artikel probeer ik je wat meer inzicht te geven in de eenvoud van het hacken van een account en hoe jij je ertegen kunt beveiligen.
Hoe werkt het kraken van een wachtwoord en wat heeft een kwaadwillende hacker hiervoor nodig?
Zodra een hacker beschikt over gestolen data met daarin gebruikersnamen en wachtwoorden, dan is er nog niet direct een man overboord. In veel gevallen is de data namelijk versleuteld middels een hashing-algoritme. Een hashing algoritme zorgt ervoor dat opgeslagen wachtwoorden worden omgezet in "koeterwaals", ofwel onbegrijpelijke taal, en niet meer terugvertaald kunnen worden. In onderstaande afbeelding zie je hoe mijn wachtwoord wordt omgezet via het hash-algoritme (SHA256).
Je vraagt je nu waarschijnlijk af "Als het niet terugvertaald kan worden, waarom maken wij ons dan zo druk bij gestolen hashes die betrekking hebben op accountgegevens?" ... de reden van zorgen zal ik je nu gaan uitleggen.
Woordenlijsten en woordlijstaanvallen
Mensen zijn in het algemeen geneigd om eenvoudig te onthouden wachtwoorden te gebruiken voor hun accounts. Hierbij wordt vaak gebruik gemaakt van bestaande woorden in onze taal. Dit feit is ook bekend bij hackers en deze personen hebben op basis van bestaande woorden uit onze taal een enorme lijst opgesteld, een soort "digitaal woordenboek" (kom ik later nog op terug ;-)). Dit "digitaal woordenboek" hebben zij vervolgens vertaald met behulp van de verschillende hash-algoritmes, net zoals ik mijn wachtwoord heb vertaald middels een hash-algoritme (zie vorige afbeelding).
Zodra een hacker een database kraakt van een bedrijf en hierbij de hashes van accountgegevens weet te bemachtigen, dan kan de hacker de bemachtigde hashes naast het " digitale woordenboek" leggen en middels software/scripts een match proberen te vinden tussen de hashes. Zodra er een match is tussen de twee hashes, dan weet de hacker automatisch welk "begrijpelijk" wachtwoord hierbij hoort en kan vervolgens inloggen op jouw account.
Doordat er steeds meer hashes worden gestolen, wordt het woordenboek van de hacker steeds uitgebreider. Op internet (https://github.com/philipperemy/tensorflow-1.4-billion-password-analysis) circuleert een lijst rond van 1.4 miljard gekraakte wachtwoorden (let that one sink in for a moment...), waardoor het steeds eenvoudiger wordt om wachtwoorden te kraken en moeten wij er als gebruiker voor zorgen dat onze wachtwoorden steeds complexer worden en regelmatig worden gewijzigd. Hier zal ik later op terugkomen..
Gebruikte tooling om accounts te hacken
Er zijn verschillende tools die een hacker kan gebruiken om wachtwoorden te kraken. Ikzelf maak gebruik van twee bekende tools genaamd Jxxx Txxx Rxxx en Hxxx. Ik gebruik beide tools alleen voor educatieve doeleinden of om mijn eigen beveiliging te testen (dit laatste zou jij als lezer ook moeten doen). Ik wil dan ook niemand aansporen om onderstaande tools te gebruiken voor andere doeleinden, immers ben je volgens de wet strafbaar! Wees dus gewaarschuwd! Anyway... om te laten zien hoe eenvoudig een programma als Jxxx Txxx Rxxx of Hxxx een wachtwoord kraakt, heb ik onderstaande afbeelding toegevoegd waarbij ik gebruik maak van Hxxx binnen een Linux Operating System. Als voorbeeld heb ik slechts één hash gekraakt, but you get the point! ;-) Als eerste heb ik "qwerty123" omgezet naar een hash en opgeslagen in een bestand genaamd "hashes". Hxxx opent het bestand "hashes" en gaat deze vergelijken met de hashes in "rockyou.txt"... en voila! Binnen een seconde heb je het wachtwoord (zie onderstaande afbeelding).
Nu ik je in het kort heb laten zien hoe een hacker te werk gaat en hoe eenvoudig het kraken van een wachtwoord gaat hoor ik je zeggen "Calvin, maar wat kan ikzelf doen om dit te voorkomen?" No worries.. I got you covered!
Hoe maak ik het de hacker zo lastig mogelijk?
Als eerste wil ik zeggen dat er altijd een kans bestaat dat je inloggegevens worden gekraakt, maar dit neemt niet weg dat mitigerende maatregelen de kans verkleinen. Omdat het artikel gaat over inloggegevens wil ik het vooral hebben over wachtwoorden.
Password managers
Een password manager kun je zien als een goed beveiligde digitale kluis waarin al jouw wachtwoorden worden opgeslagen. Om de "digitale kluis" te openen heb je maar één sterk wachtwoord of wachtzin nodig. Zo hoef je zelf niet meer alle wachtwoorden zelf te onthouden.
Daarnaast biedt een password manager je de mogelijkheid om sterke willekeurige wachtwoorden te genereren die bijna onmogelijk te kraken zijn. Denk hierbij aan wachtwoorden zoals "As92m3!@masdKAU^L^k". Goede password managers zijn Lastpass, Bitwarden en KeePass.
Wellicht heb je nog nooit eerder een password manager gebruikt en wil je eerst kijken of dit iets voor jou is alvorens je jouw hard verdiende euro's uitgeeft. In dat geval kun je Lastpass gebruiken, die is namelijk helemaal gratis en daar houden wij Hollanders wel van ;-)
Maak gebruik van wachtzinnen i.p.v. wachtwoorden
Indien je geen gebruik wilt maken van password managers (ik zou het toch nog even overwegen als ik jou was :-) ), dan kun je nog altijd gebruik maken van wachtzinnen. Een wachtzin is namelijk lastiger te kraken dan een wachtwoord en vaak ook eenvoudiger te onthouden voor jou als gebruiker.
Gebruik een wachtwoord nooit twee keer
Alsjeblieft... gebruik voor elk account een nieuw wachtwoord en daarmee bedoel ik ook echt anders (dus geen toevoeging op het bestaande) Mocht één van je accounts gehackt worden, dan zijn je overige accounts alsnog veilig en voorkom je dat iemand toegang krijgt tot al je accounts.
Wijzig je wachtwoorden regelmatig
Wijzig je wachtwoorden eens in de zoveel tijd. Het is namelijk mogelijk dat jouw gegevens door een hack op straat komen te liggen zonder dat jij dit weet! Indien je wilt weten of jouw account buit is gemaakt in een recente (bekendgemaakte) hack, check dan https://haveibeenpwned.com/. Indien je gegevens op straat liggen, dan weet jij in ieder geval dat je jouw wachtwoord voor dat account moet wijzigen, wel zo handig! :)
Tot slot...
Ik hoop dat je door dit artikel meer inzicht heb gekregen over hoe eenvoudig een account gehackt wordt en hoe jij jezelf ertegen kunt beveiligen. Indien je meer detail wilt hebben over bepaalde onderwerpen in dit artikel, laat dan een bericht achter :) Ik zal dan proberen dit in een vervolgartikel op te pakken.
Stay safe en tot het volgende artikel! :-)
*Sommige namen zijn verborgen maar wel bekend bij de redactie Cybercrimeinfo.nl, dit ivm veiligheid redenen.
Schrijver: Calvin S.