Overslaan naar inhoud
Nieuws over totale beveiliging
Geplaatst inBeveiliging, Tips en advies

Woordenboekaanvallen: Wat zijn ze en hoe te vermijden

Wat zijn woordenboekaanvallen?

Gezien het gemak waarmee gevoelige informatie kan worden misbruikt voor snode doeleinden, zoals gegevensdiefstal en financiële fraude, is het geen wonder dat hackers een constante dreiging blijven vormen, gericht op persoonlijke gebruikers, bedrijven en organisaties.

Cybercriminelen zijn altijd bezig met het ontwikkelen en uitbreiden van hun brute force-methoden, waaronder de beruchte effectieve woordenboekaanval, om ongeautoriseerde toegang te krijgen tot online accounts.

Maar wat zijn woordenboekaanvallen precies, hoe werken ze en wat kun je doen om je onbetaalbare persoonlijke gegevens ertegen te beschermen?

Wat zijn woordenboekaanvallen?

Een woordenboekaanval is een soort brute force aanval die door hackers wordt gebruikt om wachtwoorden te raden voor online accounts, zoals e-mail en sociale mediaplatforms, en ook wachtwoordbeveiligde netwerken en documenten/bestanden.

Deze systematische hackmethode kan accounts kraken door een 'woordenboekbestand' te doorlopen dat een vooraf gemaakte lijst van woorden, zinnen, eenvoudige variaties/nummercombinaties en algemeen bekende wachtwoorden bevat (uitgelekt uit wachtwoordbibliotheken); sommige hebben ook mogelijkheden om tekens te vervangen.

Hackers voeren deze aanvallen natuurlijk uit om de gevoelige gegevens van het onfortuinlijke slachtoffer bloot te leggen - en vaak te misbruiken - zoals hun naam, adres, contactnummer, e-mailadres en financiële gegevens.

De gevolgen van gestolen gegevens kunnen leiden tot phishing-aanvallen (via e-mail, sociale media, telefoontjes en sms'jes), verdere accounthacks (als hetzelfde wachtwoord meerdere keren is gebruikt), financiële fraude en zelfs identiteitsdiefstal.

Hoe werken woordenboekaanvallen?

Aanvallen met woordenboeken zijn meestal het succesvolst tegen doelen met zwakke wachtwoorden (de korte/gewone/voorspelbare soort) voor hun accounts, waardoor hun persoonlijke gegevens aanzienlijk vatbaarder zijn voor hacking.

Om een aanval uit te voeren, zullen aanvallers die woordenboeken gebruiken meestal deze drie fundamentele stappen volgen:

  • Breed/Nauwkeurig Doel: Terwijl woordenboekaanvallen meestal gericht zijn op een groot aantal willekeurige mensen, kan een hacker ook kiezen voor een meer gerichte aanpak, waarbij hij zich richt op specifieke locaties, bedrijven en organisaties.
  • Woordenboek aanvalslijst: Hierbij wordt een wachtwoordwoordenboek gemaakt, of misschien wel gedownload, met een enorme woordenlijst (vol met veelvoorkomende woorden, zinnen, wachtwoorden en nummers, etc.); als de aanval een beperktere focus heeft, zoals een specifieke geografische locatie, kan het woordenboek specifieke betekenisvolle woorden bevatten voor mensen uit dat gebied, zoals een populair sportteam of beroemdheid.
  • Uitvoering van woordenboekaanvallen: De geautomatiseerde software van de hacker voert de woordenboekaanval uit door de uitgebreide woordenlijst te gebruiken tegen het doelwit, waarbij elke invoer één voor één wordt getest op zoek naar een mogelijke overeenkomst.
  • Overeenstemming gevonden/mislukt: Een positieve match stelt de hacker in staat om het wachtwoord te kraken en ongeautoriseerde toegang te krijgen tot de gegevens van het slachtoffer, waarschijnlijk voor kwaadaardige doeleinden zoals financiële diefstal, blootstelling van gegevens of chantage; een mislukte match zorgt er natuurlijk voor dat de hacker wordt buitengesloten.

Enkele van de meest effectieve en succesvolle geautomatiseerde software die gebruikt wordt door dictionary attack hackers zijn tools als 'John the Ripper', 'Hydra', 'Aircrack-ng' en 'Medusa'.

Woordenboekaanval of Brute Force-aanval?

Voordat we verschillende manieren verkennen om te voorkomen dat een woordenboekaanval je accounts binnendringt, moeten we eerst vaststellen waarin deze verschilt van de vergelijkbare brute force aanval:

Woordenboek aanvallen

Aanvallen met woordenboeken hebben hetzelfde doel als de brute kracht-variant, maar zijn meestal effectiever in het kraken van zwakke wachtwoorden - of hebben in ieder geval de mogelijkheid om ze aanzienlijk sneller te kraken (soms binnen 24 uur).

Dit komt omdat, in tegenstelling tot brute force tools die elke mogelijke permutatie proberen (meer daarover hieronder), woordenboekaanvallen zich concentreren op een vooraf samengestelde woordenlijst (gevuld met veelvoorkomende wachtwoorden en zinnen, enzovoort, en zelfs geo-specifieke/aangepaste woorden zoals plaatsnamen en sportteams).

Hoewel succes nooit gegarandeerd is, maakt het feit dat woordenboekaanvallen gebaseerd zijn op het anticiperen op menselijk gedrag (sommige mensen kiezen nog steeds voor eenvoudige wachtwoorden in plaats van complexere wachtwoorden) het waarschijnlijker dat ze zwakke wachtwoorden voorspellen.

Brute force aanvallen

In tegenstelling tot woordenboekaanvallen, gebruikt de brute force variant meestal een veel uitgebreidere aanpak: in plaats van een vooraf samengestelde woordenlijst te doorlopen, proberen brute force tools elke mogelijke tekencombinatie op zoek naar een wachtwoord dat overeenkomt.

Een brute force tool (ingesteld op een overeenkomst van tien tekens, alleen letters) zou bijvoorbeeld beginnen met het teken 'a' en dan uitputtend door elke lettercombinatie gaan - waarbij er telkens één wordt gewisseld - tot het einde van het alfabet, eindigend bij 'zzzzzzzzzzzz'.

Hoewel de uitgebreide aanpak van een brute force aanval vaak leidt tot tijdrovende operaties (die dagen tot maanden duren), is het effectiever bij het kraken van complexe/willekeurige wachtwoorden; aan de andere kant kan het minder effectief zijn bij het raden van gewone zwakke wachtwoorden, omdat het niet is geprogrammeerd om deze specifiek te vinden.

Hoe woordenboekaanvallen vermijden

Hoewel aanvallen met woordenboeken waarschijnlijk een constante zorg voor cyberbeveiliging zullen blijven, is het goede nieuws dat iedereen de beveiliging van zijn of haar online accounts eenvoudig kan verbeteren. 

Hier zijn een aantal belangrijke preventieve stappen die je kunt nemen om te voorkomen dat je het slachtoffer wordt van de woordenboekaanvallen van hackers:

  • Houd wachtwoorden up-to-date: Voorkom dat je verschillende wachtwoorden oud worden door ze regelmatig te veranderen
  • Deel nooit inloggegevens: Zorg ervoor dat uw aanmeldingen privé blijven, tenzij dit in uitzonderlijke situaties gerechtvaardigd is
  • Maak sterke wachtwoorden: Zorg ervoor dat je wachtwoorden sterk en uniek zijn door ze complex en willekeurig te maken (ten minste 12 tekens, met een combinatie van letters, hoofdletters, cijfers en symbolen, etc.); vermijd korte, voorspelbare wachtwoorden zoals 'mypassword123'.
  • Gebruik geen herhaalde wachtwoorden: Vermijd het gebruik van steeds hetzelfde wachtwoord - hackers zullen vaak een set gekraakte logins proberen tegen andere accounts
  • Overweeg het gebruik van wachtzinnen: Je kunt ook proberen over te stappen op het gebruik van wachtzinnen, wat in wezen langere maar beter te onthouden wachtwoorden zijn; bijvoorbeeld iets als 'waarom i5 mijn C@T 5o chagrijnig'.
  • Gebruik Authenticatie met twee factoren: Tweefactorauthenticatie, ook wel 2FA genoemd, versterkt de beveiliging van accounts door een extra beschermingslaag toe te voegen; als het bijvoorbeeld is geactiveerd, moet bij inloggen nu een eenmalige wachtwoordcode per sms of e-mail worden ingevoerd om de identiteit te verifiëren.
  • Gebruik Authenticatie Apps: Je kunt ook verificatie-apps gebruiken om eenmalige wachtwoorden te genereren (die meestal na 30 seconden verlopen) wanneer je inlogt bij je accounts; deze apps, zoals Google Authenticator en Authy, kunnen eenvoudig worden gedownload naar mobiele apparaten.
  • Gebruik biometrische beveiliging: Je kunt biometrische beveiligingsfuncties implementeren - nog meer vormen van 2FA die ongelooflijk moeilijk zijn voor hackers om zich voor te doen - waaronder gezichts- en vingerafdrukherkenning.
  • Beveiligingsvragen toevoegen: Hoewel beveiligingsvragen bij het inloggen verbleken bij modernere 2FA-maatregelen zoals eenmalige wachtwoordcodes (zie hierboven), kunnen ze nog steeds nuttig zijn tegen hackers.
  • Vermijd openbare WiFi: Openbare WiFi-hotspots, zoals op vliegvelden en in cafés, zijn vaak onbeveiligd en worden daarom als zeer onveilig beschouwd; cybercriminelen zijn in staat om browse-activiteiten vast te leggen via deze verbindingen zonder beveiligingsfuncties.
  • Gebruik een VPN: Als je geen andere keuze hebt dan openbare WiFi te gebruiken, of gewoon de vrijheid wilt om anoniem te surfen, kun je een VPN-service gebruiken, zoals Totaal VPNom je verbinding te versleutelen (waardoor je IP-adres en gegevensverkeer worden gemaskeerd), zodat je gevoelige informatie wordt beschermd tegen dreigingen van afluisteren
  • Inlogpogingen beperken: Sommige platforms staan automatische accountvergrendeling toe na te veel mislukte aanmeldingen; dit kan helpen om hackers af te weren (met een ongemakkelijke, tijdelijk opgelegde vergrendelingstijd), maar houd er rekening mee dat je ook kunt worden uitgesloten als je de limiet overschrijdt.
  • Inloggegevens resetten: Aangezien woordenboekaanvallen meestal herhaalde inlogpogingen inhouden, kan het verstandig zijn om geforceerde wachtwoordresets in te stellen (waarbij je accounts worden vergrendeld zodra de limiet voor inlogpogingen is bereikt); deze beveiligingsfunctie wordt mogelijk niet door alle platforms geleverd.
  • Negeer activiteitswaarschuwingen niet: Als een aanbieder van een platform u waarschuwt voor verdachte accountactiviteiten (via een melding, e-mail of sms), volg dit dan op om te controleren of er geen ongeautoriseerde toegang heeft plaatsgevonden; zorg er echter voor dat u de beste praktijken toepast om phishing-zwendel te voorkomen (aangezien fraudeurs, die zich voordoen als betrouwbare bedrijven, dit soort waarschuwingen kunnen nabootsen).
  • Gebruik een wachtwoordmanager: Nu hackers met woordenboekaanvallen altijd op jacht zijn naar kwetsbare accounts, is er nog nooit een beter moment geweest om je cyberbeveiligingsspel op een hoger niveau te tillen; wachtwoordbeheerapps, zoals Totaal wachtwoordkan sterke wachtwoorden voor je genereren, deze opslaan in een veilige, met hoofdwachtwoorden beveiligde kluis (zodat je ze nooit meer vergeet) en met één klik inloggen voor directe toegang tot je vele accounts.
  • Gebruik antivirus-apps: Onderschat bovendien niet de kracht van antivirussoftware als het gaat om het beschermen van je onbetaalbare persoonlijke gegevens; TotalAVOnze bekroonde antivirus-app kan je waarschuwen voor dubieuze inhoud die online en op je apparaten op de loer ligt, zoals nepwebsites en schadelijke software, zoals malware voor toetsaanslagen, die je aanmeldingen en andere gevoelige gegevens kan buitmaken.
TotalAV voettekst
Deel dit

Top Artikelen

TotalAV Spam SMS voor iPhone
Geplaatst inBeveiliging, Tips en advies

Wat is Smishing? Een diepgaande gids om deze cyberbedreiging te begrijpen en te vermijden

Heb je een mobiele telefoon en heb je ooit een testbericht ontvangen van een onbekende of verdachte afzender? Dan zou het wel eens een oplichter kunnen zijn. Smishing is een vorm van cyberbeveiligingszwendel die via sms-berichten wordt afgeleverd. De term Smishing komt van een mix van "SMS" en "Phishing", wat de term is die wordt gebruikt om [...]

Lees meer →
Tekenen dat uw computer malware bevat
Geplaatst inBeveiliging

10 tekenen dat malware uw computer heeft geïnfecteerd

Malware, een schadelijke vorm van software die door cybercriminelen wordt ingezet om computersystemen en netwerken te infecteren en te verstoren, vertoont geen tekenen van vertraging in het moderne tijdperk. Nu hackinggroepen bewijzen dat iedereen een doelwit kan zijn, van persoonlijke gebruikers tot bedrijven en ondernemingen, is het herkennen van de waarschuwingssignalen van een mogelijke malware-infectie [...]

Lees meer →
nl_NLNederlands
en_USEnglish es_ESEspañol de_DEDeutsch fr_FRFrançais it_ITItaliano pt_PTPortuguês da_DKDansk sv_SESvenska cs_CZČeština pl_PLPolski tr_TRTürkçe nb_NONorsk bokmål nl_NLNederlands