Het kraken van iemands wachtwoord is technisch gezien veel lastiger dan sociaal gezien. Wanneer je iemand hebt leren kennen is het namelijk makkelijker in te schatten wat zijn/haar wachtwoord is, dan dat een computer moet gokken wat dit wachtwoord zou moeten zijn.
Het uitleggen een sociale wachtwoord Hack best lastig. In een kort komt het er op neer dat je iemands meest gebruikte woorden, namen, geboortedata en andere dagelijkse woorden meeneemt in een database met mogelijkheden.
Het uitleggen van de technische kant is voor mij wat makkelijker, maar wordt vaak overschat door niet technische computer-gebruikers. De niet technische computer-gebruikers hebben misschien het idee dat de uitleg over “sociaal wachtwoord Hacken” nog niet af is, en dit is deels correct. Dit technisch deel legt uit waarom het sociale deel nodig is om een wachtwoord te kunnen Hacken.
Hoe wordt een wachtwoord eigenlijk gebruikt?
Om een systeem (Facebook, mail, Twitter e.d.) te overtuigen van iemands identiteit, gebruikt men een Gebruikersnaam met Wachtwoord. De Gebruikersnaam moet uniek binnen het betreffende systeem zijn, het Wachtwoord natuurlijk niet. Het controlerende systeem heeft letterlijk iemands Gebruikersnaam maar zeker niet het Wachtwoord! Maar als het andere systeem het wachtwoord niet weet, hoe kan deze dat dan controleren…..
Wanneer een Wachtwoord over Internet gestuurd wordt, wordt deze omgerekend, dit noemen we een “irreversible Hash“. Dit kun je vergelijken met een grote berekening op een rekenmachine. Wanneer met in volgorde een berekening uitvoert van bijvoorbeeld, 10 / 3,3 x 5,2 / 3,4 x 6,8 / 9,1 = 3,463203463203463, maar als je deze berekening precies weer omdraait is de uitkomst niet 10 maar 9,999999999999999. Voor ons een klein verschil voor een computer is het verschil net zo groot als 100 vergelijken met 10. Met Wachtwoorden komt het nog preciezer. Wat wel zo is, is dat het uitrekenen van het (10 / 3,3 x 5,2 / 3,4 x 6,8 / 9,1 = 3,463203463203463) stukje, altijd dezelfde uitkomst zal hebben. Met wachtwoorden is dit precies zo.
De irreversible hash van “Wachtwoord” is “23430838A76292176983BF3BFE185F61“, maar dit is niet terug te rekenen. Bij het inloggen worden de hashes met elkaar vergeleken en dus niet de echte Wachtwoorden. Daarom kun je bijna nooit je Wachtwoord opvragen, enkel een nieuwe laten maken.
Bij het inloggen zou een kwaadwillende deze hash af kunnen vangen en er toch nog iets mee doen…… Een kwaadwillende heeft alle woorden in een woordenboek al door zijn computer om laten zetten in een irreversible hash. Als je Wachtwoord dus in een woordenboek voorkomt, dan herkent de kwaadwillende dus de gebruikte hash en weet dus zo welk woord erbij hoort. Deze manier van “aanvallen” noemen ze daarom een “dictionary attack“.
Wat is dat een Brute Force Attack?
Om het kwaadwillende lastig te maken, kun je verschillende karakters in je Wachtwoord vervangen met cijfers die op deze karakters lijken. Hier volgen wat voorbeelden. P@ssw0rd, G3h3im, L@st1g. 3tc.
Kwaadwillende gaan met een Brute Force Attack veelgebruikte combinaties hashen en vergelijken met de hash die ze hebben afgevangen.
Hoe kunt u voorkomen dat uw Wachtwoord wordt geraden?
Tja, dat blijft lastig maar hier wat tips.
Maakvanuwwachtwoordeenzinzonderspaties ==> Spaties worden door Android niet ondersteund, daarom is dit een handige zet. Kwaadwillende kunnen wel woorden raden, maar zinnen is toch echt te lastig.
Vuluwwachtwoordaanmetcijfers123456789 ==> Dit is voor u makkelijk te onthouden, maar tegelijkertijd bijzonder lastig te raden.
Important!
Hier de gouden tip:Gebruik Multi Factor Authentication. Hierbij moet iemand bijvoorbeeld zijn Wachtwoord intoetsen, en als dit succesvol is krijgt hij/zij een melding op zijn/haar mobiele telefoon die ook bevestigd moet worden. Zonder telefoon…. niet inloggen. Natuurlijk verwachten we ook problemen als bijvoorbeeld de batterij leeg is, maar deze systemen zorgen altijd voor een reserve oplossing. Zo kunt u opgebeld worden op een ander (van te voren) opgegeven telefoonnummer, zodat u als nog uw inlog actie kunt bevestigen. Deze manier van beveiligen is tot nu toe nagenoeg niet te kraken en toch is deze werkbaar voor u als eindgebruiker. Onder andere ondersteunen deze systemen Mutli Factor Authentication. Google, Facebook.
Important!
Password Managers:Even een extra aanvulling. Password Managers zijn programma’s die wachtwoord voor de gebruiker opslaan, verzinnen en/of invullen. Daarbij is het UITERST belangrijk dat iemand eerst onderzoekt wat de allerbeste Password Manager is die bij deze persoon past. Ook moet worden vastgesteld dat deze Password Manager zelf geen hackers-tool is. Voorbeelden zijn KeePass, LastPass en 1Password. Er is geen beste, enkel eentje die het beste bij iemand past.
Om te voorkomen dat een Hacker je wachtwoord kan raden, moet je voorkomen dat jij je wachtwoord kunt onthouden.
En om het bovenstaande te doen, moet je je wachtwoord niet zelf verzinnen maar laten generen door een Password Manager. Stap over naar een Password Manager en laat deze al je wachtwoord “onderhouden”, dat betekent dat je niet direct alles om hoeft te gooien. Maar mocht je Password Manager je attenderen op een te simpel wachtwoord, laat deze dan direct een betere generen.
Het is even wennen, maar het leven wordt wel veel leuker. Nu is het ook kinderlijk eenvoudig geworden om echt bij ieder account een uniek wachtwoord te gebruiken.
Hier nog een linkje naar een artikel op internet over Password Managers.