Als u een wachtwoord gemakkelijk kunt onthouden …

Kunnen hackers hem gemakkelijk kraken. U heeft deze reclameslogan waarschijnlijk wel eens op de radio gehoord. Laat ik voorop stellen dat men hier iets wil “verkopen”. Dat iets is een service van een internetprovider. Zij biedt haar klanten een gratis een password vault aan. Met andere woorden, een app voor wachtwoordbeheer en daar ben ik helemaal voor. Daar is geen discussie over …

Wat ik wel wil beargumenteren is dat de logica in de slogan niet klopt. Als ethical hacker ken ik de tools die hackers gebruiken om wachtwoorden te achterhalen. Stel mijn wachtwoord is: Jesuisnéen1969&mijnbroerisLéon

Dit is voor mij heel gemakkelijk te onthouden, maar voor hackers (vrijwel) onmogelijk om te kraken. In dit artikel leg ik uit hoe hackers uw wachtwoord proberen te achterhalen en waar u op moet letten bij het opstellen van een veilig wachtwoord. Tijdens het schrijven van deze blog ben ik dan ook niet uitgegaan van zwakheden binnen systemen maar de kwaliteit van het wachtwoord.

Brute force hacking

Bent u wel eens de code van uw fietsslot vergeten? En was de enige oplossing om  alle mogelijke codes  maar gewoon te proberen? Dit noemen we brute force hacking. Men begint bij 000 en verhoogt steeds met 1 cijfer totdat het slot openspringt.  In het geval van een drie cijferig cijferslot resulteert dit in zo´n 1000 mogelijkheden. Handmatig kost dit aardig wat tijd maar computers testen deze wachtwoorden veel sneller. Gelukkig zijn er vrijwel geen systemen meer die de beveiliging aan een pincode van 3 of 4 cijfers ophangen. Het gebeurt nog wel maar vrijwel altijd in combinatie met een detectiemechanisme dat na enkele pogingen het systeem blokkeert. Een computer kraakt een wachtwoord met alleen cijfers, zelfs als deze 9 cijfers heeft, binnen een minuut. Ook wanneer je wachtwoord 9 tekens lang is en een combinatie van hoofd- en kleine-letters, leestekens en cijfers bevat, is deze in 9 minuten gekraakt met de juiste setup. Bij 10 tekens wordt dat ongeveer 4 uur, bij 11 tekens 4 dagen. Pas bij 12 tekens is er sprake van een wachtwoord dat echt moeite kost om te kraken, zo’n 4 maanden.

Daarbij maken veel organisaties het soms wel heel gemakkelijk voor hackers. Wanneer de password policy bekend is en die zegt dat er minimaal 8 tekens moet worden gebruikt, hoeven wij hackers al die kortere codes niet eens te testen. De realiteit is dat brute force attacks alleen maar worden uitgevoerd als er een specifiek account is waar een hacker in wil en de andere methoden niet werken.

Social Engineering

Hackers zijn van nature lui. Waarom uren wachten tot de computer een wachtwoord gevonden heeft als je er ook gewoon om kunt vragen? Dat klink gek, maar zeker in Nederland zijn we niet echt security bewust. Bij veel van de klanten waar ik kom, krijg ik gevraagd en soms zelfs ongevraagd het wachtwoord van een gebruiker.  Soms zelfs het admin account van de beheerder zelf.

Normaal is er maar heel weinig voor nodig. De gemiddelde mens is al heel snel bereid om deze informatie te geven als je te vertrouwen lijkt én ze er zelf beter van worden. Ik heb wel eens de laptop van de directeur van een groot bedrijf meegekregen (met password). Alleen omdat ik hem vertelde dat we bij een routine check erachter waren gekomen dat er een virus op zijn laptop stond. Niet helemaal eerlijk, maar helaas is dat wat hackers doen …

Password guessing

Een andere optie is password guessing. Hier gebruiken hackers tools om een bepaalde woordenlijst te testen voor een wachtwoord. Je kunt dan denken aan een soort woordenboek. Zo’n woordenlijst kan een lijst met veelgebruikte wachtwoorden zijn:

Iedereen begrijpt toch dat deze 10 wachtwoorden echt onveilig zijn? Niet iedereen kennelijk, want dit zijn de 10 meest gebruikte wachtwoorden in 2019! Ook veel gebruikt zijn namen van (voetbal) teams en bedrijven. Iedere hacker heeft een lijst met nuttige woorden. Deze lijst wordt steeds verder aangevuld bij ieder nieuw wachtwoord dat ontdekt wordt.

Het “versleutelen” van woorden door wachtwoord bijvoorbeeld te schrijven als w@chtw00rd lijkt een goede oplossing, maar helaas weten hackers dit ook. De tools die zij gebruiken, testen niet alleen het woord zelf, maar ook alle mutaties van een e naar een 3, een i naar een 1 of ! enz. Voor het woord wachtwoord, worden dus 7 varianten geprobeerd.

Voor het opbouwen van een goede woordenlijst, wordt ook het internet en social media gebruikt. Wij hackers hebben tools om een (bedrijfs) website te doorzoeken en een lijst van alle unieke wachtwoorden te maken. Maar deze tools hebben we ook voor uw facebook en twitter. Woorden die dus gerelateerd zijn aan uw werk of privéleven zijn door middel van password guessing dus eenvoudig te vinden.

Daarbij kunnen deze tools ook nog woorden aan elkaar knopen. We proberen bijvoorbeeld ook wachtwoordqwerty. In deze tools kan de hacker opgeven hoeveel woorden er aan elkaar geknoopt moeten worden.

Waarom is Jesuisnéen1969&mijnbroerisLéon dan wel een goed wachtwoord?

Hackers hebben nog meer tools ter beschikking om wachtwoorden te achterhalen, maar hopelijk begrijpt u inmiddels dat veel wachtwoorden inderdaad onveilig zijn en dat de slogan “als jij je wachtwoord gemakkelijk kunt onthouden …” eigenlijk wel logisch klinkt.

Maar hoe kunt u uw wachtwoord echt veilig maken? Zorg dat een wachtwoord in ieder geval lang is en gebruik hoofd- en kleine letter, leestekens en cijfers. Mijn wachtwoord is (schijnbaar) in 9 septiljoen jaar te kraken met brute force hacking. Verder zal het in geen enkele guessing attack voorkomen. Dat komt vooral omdat het veel woorden zijn en in 2 verschillende talen (Frans en Nederlands – voor het geval dat niet duidelijk was). Alle beschreven technieken (met uitzondering van social engineering) werken niet bij zo’n eenvoudig te onthouden en complex wachtwoord.

Moderne technieken

In de afgelopen jaren heeft “de industrie” dit natuurlijk ook onderkend en wordt er veel aandacht besteed aan het invoeren van Multi Factor Authencitation (MFA). Hierbij gaat het er niet alleen om dat u iets weet (een wachtwoord), maar ook dat u iets bent (bijv. te controleren met een vingerafdruk of een iris scan) en/of iets hebt (een token). Vingerafdrukken worden veel gebruikt, hoewel een goede vingerafdrukscanner (dus niet die in uw telefoon) of een irisscanner nog wel groot en duur zijn. Het gebruik van tokens lijkt voor veel systemen een goede 2^e factor.  De token kan een telefoon zijn waarop een app draait die een unieke code toont die alleen het systeem en de app weten. Maar het kunnen ook apps zijn die een pushbericht zenden aan een bepaalde telefoon. In al die gevallen moet een hacker dus niet alleen uw wachtwoord kunnen achterhalen, maar ook fysiek uw token hebben. En dát maakt hacking opeens een heel stuk lastiger ….