Brute force-aanvallen zijn een van de oudste trucs in het handboek van hackers, maar toch blijven ze ongelooflijk effectief. Stel je voor dat iemand onvermoeibaar de combinatie van jouw kluis probeert te raden, maar in plaats van slechts één persoon is het een krachtig algoritme dat elke seconde miljoenen combinaties test.
In dit artikel ga ik dieper in op de werking van brute-force-aanvallen, de verschillende typen ervan, en, belangrijker nog, hoe je brute-force-aanvallen effectief kunt voorkomen. We behandelen essentiële strategieën, platformspecifieke verdedigingen en geavanceerde tools waarmee u uw systemen kunt beveiligen en cybercriminelen te slim af kunt zijn.
- Wat is een brute-force-aanval?
- Best practices voor het voorkomen van brute-force-aanvallen
- Preventie van brute-force-aanvallen op WordPress
- Beveiliging tegen SSH brute forceren
- Veelgebruikte brute-force aanvalshulpmiddelen en hoe u deze kunt bestrijden
- Laatste gedachten en geavanceerde maatregelen ter preventie van brute-force-aanvallen
Wat is een brute-force-aanval?
Een van de meest voorkomende aanvallen waarmee een webontwikkelaar te maken kan krijgen, is een brute-force-aanval. Hier gebruiken aanvallers algoritmen die elke combinatie van letters, cijfers en symbolen proefondervindelijk proberen totdat ze de juiste combinatie vinden.
Het moeilijke aan dit soort aanvallen is de eenvoud en de pure volharding ervan; er bestaat geen slimme truc of speciale maas in de wet die gemakkelijk kan worden ontdekt en geblokkeerd, aangezien wachtwoorden een cruciaal onderdeel zijn van elk beveiligingssysteem.
Brute force-aanvallen zijn niet kieskeurig: ze richten zich op alles wat ze maar te pakken kunnen krijgen, van persoonlijke accounts tot grote bedrijfssystemen. Maar de impact van deze aanvallen hangt vaak af van het platform in kwestie. Een gecompromitteerde WordPress-beheerderslogin kan onleesbare websites of gestolen klantgegevens betekenen, terwijl een brute force-aanval van SSH de sluizen naar de volledige serverinfrastructuur van een bedrijf kan openen.
Deze aanvallen eisen ook hun tol van de reputatie en veroorzaken kostbare downtime. Bedrijven die afhankelijk zijn van online activiteiten, zoals e-commerce- of SaaS-providers, verliezen vaak zowel hun omzet als het vertrouwen van hun klanten tijdens inbreuken. 60% van de kleine bedrijven sluiten binnen zes maanden na een grote cyberaanval, wat laat zien hoe verwoestend deze incidenten kunnen zijn.
Maar voordat we het hebben over het voorkomen van brute-force-aanvallen, moet je weten hoe ze werken en welke verschillende soorten brute-force-methoden aanvallers gebruiken.
Begin met bloggen
Host uw WordPress zelf op eersteklas hardware, met NVMe-opslag en minimale latentie over de hele wereld – kies uw favoriete distributie.
Krijg WordPress VPS
Verschillende soorten brute-force-aanvallen
Er zijn verschillende soorten brute-force-aanvallen.
- Woordenboekaanvallen: Probeer gemakkelijk te raden wachtwoorden uit door herhaaldelijk een lijst met veelgebruikte wachtwoorden uit te proberen, zoals '123456' of 'wachtwoord'.
- Credential vulling: Hackers gebruiken gelekte gebruikersnaam-wachtwoordcombinaties uit eerdere inbreuken om toegang te krijgen tot meerdere accounts.
- Omgekeerde brute-force-aanvallen: Begin met een bekend wachtwoord (zoals '123456' of 'welkom') en vergelijk dit systematisch met talloze gebruikersnamen om een match te vinden, vergelijkbaar met vissen met één aas.
- Rainbow Table-aanvallen: Maak gebruik van vooraf berekende tabellen die hashes aan wachtwoorden toewijzen, waardoor gehashte wachtwoorden sneller kunnen worden gekraakt zonder dat elke hash ter plekke moet worden berekend.
- Wachtwoord spuiten: In plaats van één account te bombarderen met meerdere wachtwoordgissingen, worden een paar algemene wachtwoorden voor veel gebruikersnamen getest om zwakke punten te misbruiken zonder uitsluitingen te veroorzaken.
- Online brute-force-aanvallen: Target live systemen zoals websites en apps. Ze communiceren met servers, maar kunnen te maken krijgen met potentiële beperkingen of snelheidsbeperkingen, waardoor ze langzamer maar toch gevaarlijk zijn tegen zwakke inlogformulieren.
- Offline brute-force-aanvallen: Wordt uitgevoerd op basis van een gestolen bestand met gecodeerde wachtwoorden, waardoor hackers de decoderingssleutels met hoge snelheid op hun machines kunnen testen, onopgemerkt door firewalls of monitoringsystemen.
Waarom komen deze aanvallen zo vaak voor? Een groot deel van het probleem zijn wij zelf. Studies tonen dat aan 65% van de mensen hergebruik wachtwoorden voor meerdere accounts. Het is alsof je een dief een hoofdsleutel geeft: zodra hij één wachtwoord heeft, kan hij mogelijk alles ontgrendelen. En het helpt niet dat wachtwoorden als ‘qwerty’ jaar na jaar nog steeds bovenaan de hitlijsten staan als favoriet.
Om in beeld te brengen hoe vaak deze aanvallen voorkomen, is hier een statistiek: 22,6% van alle inlogpogingen op e-commercewebsites waren in 2022 aanvallen met brute kracht of het opvullen van inloggegevens. Dat is bijna één op de vier pogingen! Bedrijven werden als gevolg van deze meedogenloze aanvallen geconfronteerd met frauduleuze aankopen, diefstal van klantgegevens en grote PR-nachtmerries.
Bovendien onderzoeken hackers doelsitepagina's en stemmen ze hun brute force-tools af op de specifieke parametervereisten van de site. Inlogpagina's zijn de voor de hand liggende doelwitten, maar CMS-beheerportals zijn ook populaire hotspots voor aanvallers. Deze omvatten:
- WordPress: Algemene toegangspunten zoals wp-admin en wp-login.php.
- Magento: Kwetsbare paden zoals /index.php en beheerderspanelen.
- Joomla!: De beheerderspagina is vaak een schot in de roos.
- vBulletin: Beheerdersdashboards zoals admin cp bevinden zich vaak in het vizier.
Het goede nieuws? Het begrijpen van de risico's is het halve werk. Of u nu een WordPress-site, een SSH-server of een ander platform beveiligt: weten waar uw kwetsbaarheden liggen, is de eerste stap in het voorkomen van brute-force-aanvallen.
Best practices voor het voorkomen van brute-force-aanvallen
Het stoppen van brute force-aanvallen vereist een mix van gezond verstand en slimme strategieën. Zie het als het afsluiten van elke deur en elk raam in uw huis, en het toevoegen van een beveiligingssysteem voor het geval dat. Deze best practices werken op de meeste platforms en bieden u een sterke basis om uw systemen veilig te houden en zijn belangrijke stappen in het voorkomen van brute-force-aanvallen.
Gebruik sterke, unieke wachtwoorden
Zwakke of hergebruikte wachtwoorden zijn een open uitnodiging voor brute force-aanvallen. Kies wachtwoorden die minimaal twaalf tekens lang zijn, een combinatie van letters, cijfers en symbolen bevatten en alles wat voorspelbaar is vermijden. A studie gevonden dat ‘123456’ en ‘wachtwoord’ in 2022 nog steeds tot de meest voorkomende wachtwoorden behoorden.
Implementeer Multi-Factor Authenticatie (MFA)
Met MFA heeft een hacker, zelfs als hij uw wachtwoord raadt, een extra verificatiestap nodig, zoals een eenmalige code die naar uw telefoon wordt verzonden. Volgens Microsoftblokkeert MFA meer dan 99,2% van de aanvallen op accounts. Bekijk onze gids op hoe u tweefactorauthenticatie in Windows 10 kunt inschakelen.
Schakel accountvergrendelingen in
Beperk mislukte inlogpogingen voordat u het account tijdelijk vergrendelt. Deze eenvoudige functie stopt brute force-aanvallen.
Snelheidslimiet instellen
Beperk hoe vaak inlogpogingen binnen een tijdsbestek kunnen worden gedaan. Als u bijvoorbeeld slechts vijf pogingen per minuut toestaat, kunnen aanvallen met brute kracht minder waarschijnlijk worden.
Houd toezicht op en reageer op ongebruikelijke activiteiten
Gebruik tools zoals inbraakdetectiesystemen (IDS) om brute force-pogingen vroegtijdig te onderkennen.
De beste verdediging is gelaagd. Door deze tactieken te combineren en te weten hoe je brute force-aanvallen kunt stoppen, wordt het voor aanvallers veel moeilijker om te slagen. Vervolgens onderzoeken we hoe we deze principes kunnen toepassen op specifieke platforms zoals WordPress, waar aanvallen met brute kracht vooral veel voorkomen.
Preventie van brute-force-aanvallen op WordPress
WordPress-sites zijn hackermagneten. Omdat er miljoenen websites op het platform draaien, weten aanvallers dat de kans groot is dat ze er een vinden met een zwakke beveiliging. Weten hoe je brute force-aanvallen op WordPress kunt voorkomen, kan het verschil maken – en het is makkelijker dan je denkt.
Wijzig de standaard login-URL
Hackers richten zich op de standaard inlogpagina (/wp-admin of /wp-login.php). Overschakelen naar een aangepaste URL is als het verplaatsen van de voordeur: veel moeilijker te vinden voor aanvallers.
Installeer beveiligingsplug-ins
Plug-ins zoals Wordfence en Sucuri bieden krachtige tools voor het voorkomen van brute force-aanvallen, waaronder CAPTCHA's, IP-blokkering en realtime monitoring.
Schakel XML-RPC uit
XML-RPC is een gateway-hacker die misbruik maakt van inlogpogingen. Het uitschakelen ervan is een must om de kwetsbaarheid voor brute force-aanvallen te verminderen waarmee WordPress-sites vaak worden geconfronteerd.
Voeg CAPTCHA toe aan inlogpagina's
CAPTCHA zorgt ervoor dat alleen mensen kunnen inloggen, waardoor geautomatiseerde brute force-tools worden uitgeschakeld.
Verhard wp-config.php
Beperk de toegang tot wp-config.php, de blauwdruk van uw site, door .htaccess- of serverregels aan te passen.
Regelmatig bijwerken
Verouderde plug-ins en thema’s zijn open deuren voor aanvallers. Regelmatige updates repareren bekende kwetsbaarheden en beschermen zo tegen WordPress-risico's met brute force-aanvallen. Dit is de sleutel tot verdediging tegen een brute force-aanval waar WordPress-sites zo gevoelig voor zijn.
Met deze stappen wordt uw WordPress-site aanzienlijk veiliger. Vervolgens gaan we in op het beveiligen van SSH-servers, een ander frequent doelwit voor brute force-aanvallen.
Beveiliging tegen SSH brute forceren
SSH-servers zijn als de digitale sleutels van uw koninkrijk, waardoor ze een belangrijk doelwit zijn voor hackers. Weten hoe je brute force-aanvallen op SSH kunt voorkomen, is niet alleen slim, maar ook van cruciaal belang voor de bescherming van gevoelige systemen.
Gebruik SSH-sleutelverificatie
Wachtwoordgebaseerde logins zijn riskant. Overschakelen naar SSH-sleutelauthenticatie voegt een extra beveiligingslaag toe, omdat aanvallers toegang nodig hebben tot uw privésleutel en niet alleen tot een geraden wachtwoord. Dit vermindert het succespercentage van SSH brute force-aanvallen drastisch.
Schakel root-aanmelding uit
De rootgebruiker is vaak het eerste doelwit bij brute forcering van SSH. Schakel directe root-aanmelding uit en maak een afzonderlijk gebruikersaccount met beperkte rechten. Hackers kunnen niet bruut forceren wat ze niet kunnen targeten.
UFW en Fail2Ban instellen
Tools zoals UFW en Fail2Ban monitoren mislukte inlogpogingen en blokkeren IP-adressen die verdacht gedrag vertonen. Het is een van de meest effectieve verdedigingsmechanismen om brute-force-aanvallen op SSH-servers te stoppen. Hier is onze gedetailleerde gids over hoe u UFW en Fail2Ban installeert, inschakelt en beheert.
Wijzig de standaardpoort
Standaard gebruikt SSH poort 22, en hackers weten dit. SSH verplaatsen naar een niet-standaard poort voegt een eenvoudige maar effectieve laag van onduidelijkheid toe.
Gebruik IP-whitelisting
Beperk SSH-toegang tot specifieke IP-adressen. Dit blokkeert ongewenst verkeer volledig, waardoor brute force-tools niet eens kunnen worden gestart.
Met deze stappen zal uw SSH-server veel minder kwetsbaar zijn voor aanvallen. Nu we de algemene praktijken voor het voorkomen van aanvallen met brute kracht hebben besproken, gaan we het hebben over de bestrijding van specifieke tools die deze aanvallers gebruiken.
Veelgebruikte brute-force aanvalshulpmiddelen en hoe u deze kunt bestrijden
Hoewel de bovenstaande praktijken aanzienlijk kunnen helpen bij het voorkomen van brute-force-aanvallen, zijn het meestal algemene zaken voor het voorkomen van brute-force-aanvallen; Het punt is echter dat veel aanvallers een paar bepaalde hulpmiddelen gebruiken, en weten hoe ze deze moeten bestrijden is erg belangrijk.
Hulpprogramma's voor het kraken van wifi-wachtwoorden
Aircrack-ng: Een veelzijdige tool voor het kraken van Wi-Fi-wachtwoorden via woordenboekaanvallen op WEP, WPA en WPA2-PSK, beschikbaar voor meerdere platforms.
- Verzachting: Gebruik WPA3-codering, maak lange en complexe wachtwoorden, schakel MAC-adresfiltering in en implementeer draadloze inbraakdetectiesystemen (WIDS).
Algemene tools voor het kraken van wachtwoorden
Johannes de Ripper: Identificeert zwakke wachtwoorden en kraakt deze met behulp van brute force- of woordenboekaanvallen, en ondersteunt meer dan 15 platforms, waaronder Windows en Unix.
- Verzachting: Dwing een sterk wachtwoordbeleid af (minimaal 12 tekens, hoge complexiteit), gebruik gezouten hashes en voer regelmatig wachtwoordaudits en rotatie uit.
Regenboogscheur: Maakt gebruik van vooraf berekende regenboogtabellen om het kraken van wachtwoorden te versnellen, en ondersteunt zowel Windows als Linux.
- Verzachting: Gebruik gezouten hashes om regenboogtabellen ineffectief te maken en pas hash-algoritmen toe zoals bcrypt, Argon2 of script.
L0phtscheur: Kraakt Windows-wachtwoorden met behulp van woordenboeken, brute force, hybride aanvallen en regenboogtabellen en ondersteunt tegelijkertijd geavanceerde functies zoals hash-extractie en netwerkmonitoring.
- Verzachting: Vergrendel accounts na mislukte pogingen, gebruik wachtwoordzinnen voor sterkere entropie en dwing meervoudige authenticatie (MFA) af.
Ophcrack: Richt zich op het kraken van Windows-wachtwoorden via LM-hashes met behulp van ingebouwde regenboogtabellen, die vaak binnen enkele minuten zijn voltooid.
- Verzachting: Upgrade naar systemen die niet afhankelijk zijn van LM-hashes (bijvoorbeeld Windows 10+), gebruik lange, complexe wachtwoorden en schakel SMBv1 uit.
Geavanceerde en multifunctionele wachtwoordtools
Hashcat: Een GPU-versnelde tool die een verscheidenheid aan hashes en aanvallen ondersteunt, zoals brute force, woordenboek en hybride.
- Verzachting: Dwing een sterk wachtwoordbeleid af, sla hash-bestanden veilig op en versleutel gevoelige gegevens met sterke sleutels.
Dave Grohl: Exclusieve Mac OS X-tool die gedistribueerde brute force- en woordenboekaanvallen ondersteunt.
- Verzachting: Controleer Mac OS X-systemen, beperk de toegang tot wachtwoordbestanden en dwing meervoudige authenticatie (MFA) af.
Netwerkauthenticatie en protocoltools
Ncrack: Scheurt netwerkverificatieprotocollen zoals RDP, SSH en FTP op verschillende platforms.
- Verzachting: Beperk de toegang tot netwerkgerichte services via firewalls, dwing IP-gebaseerde blokkering af na meerdere mislukte inlogpogingen en gebruik niet-standaardpoorten voor kritieke services.
THC Hydra: Voert op woordenboeken gebaseerde brute force-aanvallen uit op meer dan 30 protocollen, waaronder Telnet, FTP en HTTP(S).
- Verzachting: Dwing CAPTCHA of andere mechanismen af om nieuwe pogingen te beperken, gebruik gecodeerde protocollen (bijvoorbeeld FTPS, HTTPS) en vereis MFA voor veilige toegang
Gespecialiseerde tools voor web, subdomeinen en CMS
Gobuster: Ideaal voor het bruut forceren van subdomeinen en mappen bij webpenetratietests.
- Verzachting: Gebruik webapplicatie-firewalls (WAF's), beperk de toegang tot gevoelige mappen en verberg of verberg standaardbestandsstructuren.
Onderzoek: Ontdekt verborgen webpaden en mappen tijdens beveiligingstests.
- Beperking: gebruik .htaccess- of serverregels om de toegang te beperken, ongebruikte mappen te verwijderen en gevoelige webpaden te beveiligen
Burp-suite: Een compleet webbeveiligingstestpakket met mogelijkheden voor het scannen van brute kracht en kwetsbaarheden.
- Verzachting: Regelmatig webapplicaties patchen, penetratietests uitvoeren en controleren op afwijkende brute force-activiteiten.
CMZoek: Richt zich op het ontdekken en exploiteren van CMS-kwetsbaarheden tijdens het testen.
- Verzachting: Houd CMS-platforms up-to-date, beveilig configuraties en beperk brute-force-pogingen met beschermende plug-ins.
Token, sociale media en diverse tools
JWT-kraker: Gespecialiseerd in het kraken van JSON Web Tokens voor testdoeleinden.
- Verzachting: Gebruik lange, veilige sleutels voor JWT-ondertekening, dwing korte vervaltijden voor tokens af en wijs zwakke of niet-ondertekende algoritmen af.
SocialBox: Gebruikt voor brute force-testen op sociale media-accounts.
- Verzachting: Schakel accountvergrendeling in na mislukte pogingen, dwing tweefactorauthenticatie af en informeer gebruikers over phishing-bewustzijn.
Voorspeller: Een woordenboekbouwer voor het maken van aangepaste woordenlijsten voor brute-force-aanvallen.
- Verzachting: Controleer op lekken van inloggegevens, vermijd het gebruik van zwakke standaardwachtwoorden en dwing voortdurende audits af voor de veiligheid.
Patator: Een multifunctionele brute force-tool die diverse protocollen en methoden ondersteunt.
- Verzachting: Implementeer snelheidsbeperkingen, aangepaste foutmeldingen en sterke mechanismen voor accountvergrendeling om aanvallers te vertragen.
Nettracker: Automatiseert penetratietesttaken, inclusief brute force- en andere beoordelingen.
- Verzachting: Controleer regelmatig netwerklogboeken, isoleer testreferenties en zorg ervoor dat penetratietools veilig worden beheerd.
Laatste gedachten en geavanceerde maatregelen ter preventie van brute-force-aanvallen
Geavanceerde tools zoals software voor gedragsanalyse, honeypots en IP-reputatieblokkers kunnen bedreigingen opmerken en tegenhouden voordat ze de kop opsteken. Deze proactieve maatregelen werken samen met de belangrijkste maatregelen, zoals meervoudige authenticatie en sterke wachtwoorden, om een ijzersterke verdediging te creëren.
Leren hoe je brute force-aanvallen kunt voorkomen, betekent op de lange termijn denken. Door slimme strategieën te combineren met tools voor het voorkomen van brute force-aanvallen, kunt u uw systemen beschermen tegen zelfs de meest hardnekkige aanvallers. Blijf scherp, blijf flexibel en behandel cyberbeveiliging als een investering in uw toekomst.
