Brute-force-aanvallen behoren tot de oudste trucs in het arsenaal van hackers, maar ze blijven opvallend effectief. Stel je voor dat iemand eindeloos de combinatie van jouw kluis probeert te raden - alleen is het geen mens, maar een krachtig algoritme dat elke seconde miljoenen combinaties test.
In dit artikel ga ik dieper in op de werking van brute-force-aanvallen, de verschillende varianten en - belangrijker nog - hoe je ze effectief kunt voorkomen. We bespreken essentiële strategieën, platformspecifieke verdedigingsmaatregelen en geavanceerde tools om je systemen te beveiligen en cybercriminelen een stap voor te blijven.
Wat is een brute-force-aanval?
Een van de meest voorkomende aanvallen waarmee een webontwikkelaar te maken kan krijgen, is een brute-force aanval. Aanvallers gebruiken hierbij algoritmen die elke mogelijke combinatie van letters, cijfers en symbolen uitproberen totdat ze de juiste combinatie vinden.
Wat dit soort aanvallen zo lastig maakt, is de eenvoud en het doorzettingsvermogen. Er is geen slimme truc of bijzondere kwetsbaarheid die je eenvoudig kunt opsporen en blokkeren - wachtwoorden zijn nu eenmaal een cruciaal onderdeel van elk beveiligingssysteem.
Brute-force aanvallen zijn niet kieskeurig: ze richten zich op alles wat bereikbaar is, van persoonlijke accounts tot grote bedrijfssystemen. De impact hangt sterk af van het doelwit. Een gekraakte WordPress-beheerderslogin kan leiden tot ontsieringsaanvallen of diefstal van klantgegevens, terwijl een SSH-brute-force aanval de deur kan openzetten naar de volledige serverinfrastructuur van een bedrijf.
Deze aanvallen schaden ook de reputatie en veroorzaken kostbare downtime. Bedrijven die afhankelijk zijn van online activiteiten, zoals eCommerce of SaaS-aanbieders, verliezen tijdens datalekken vaak zowel omzet als klantvertrouwen. 60% van kleine bedrijven sluit binnen zes maanden na een grote cyberaanval, wat aangeeft hoe verwoestend deze incidenten kunnen zijn.
Maar voordat we bespreken hoe je brute-force aanvallen kunt voorkomen, moet je eerst begrijpen hoe ze werken en welke varianten aanvallers inzetten.
Start met bloggen
Host je eigen WordPress op hoogwaardige hardware met NVMe-opslag en minimale latentie wereldwijd. Kies je eigen distro.
WordPress VPS instellen
Verschillende typen brute-force-aanvallen
Er zijn verschillende soorten brute-force aanvallen.
- Woordenboek-aanvallen: Richt zich op eenvoudig te raden wachtwoorden door herhaaldelijk een lijst met veelgebruikte wachtwoorden uit te proberen, zoals "123456" of "password".
- Credential Stuffing: Brute-force aanval met gestolen inloggegevens: Aanvallers gebruiken gelekte combinaties van gebruikersnamen en wachtwoorden uit eerdere datalekken om toegang te krijgen tot meerdere accounts.
- Omgekeerde brute-force aanvallen: Begin met een bekend wachtwoord (zoals "123456" of "welcome") en controleer dit systematisch tegen een groot aantal gebruikersnamen om een overeenkomst te vinden - vergelijkbaar met vissen met één aas.
- Rainbow table-aanvallen: Maken gebruik van vooraf berekende tabellen die hashes koppelen aan wachtwoorden, waardoor gehashte wachtwoorden sneller gekraakt kunnen worden zonder dat elke hash opnieuw berekend hoeft te worden.
- Wachtwoord Spraying: In plaats van één account te bombarderen met talloze wachtwoordpogingen, worden een paar veelgebruikte wachtwoorden getest over een groot aantal gebruikersnamen. Zo worden zwakke plekken uitgebuit zonder accountvergrendeling te activeren.
- Online brute-force aanvallen: Richten zich op live systemen zoals websites en apps. Ze communiceren rechtstreeks met servers, maar kunnen te maken krijgen met snelheidsbeperking of rate limiting, waardoor ze trager zijn - maar nog steeds gevaarlijk bij zwakke inlogformulieren.
- Offline brute-force aanvallen: Uitgevoerd op een gestolen bestand met versleutelde wachtwoorden, waardoor hackers op hoge snelheid ontsleutelingssleutels kunnen testen op hun eigen machines, buiten het zicht van firewalls of monitoringsystemen.
Waarom komen deze aanvallen zo vaak voor? Een groot deel van het probleem ligt bij onszelf. Onderzoek toont aan dat 65% van de mensen wachtwoorden hergebruiken voor meerdere accounts. Het is alsof je een inbreker een loper geeft - zodra ze één wachtwoord hebben, kunnen ze mogelijk alles openen. Het helpt ook niet dat wachtwoorden zoals "qwerty" jaar na jaar nog steeds bovenaan de lijst van meest gebruikte wachtwoorden staan.
Om een beeld te geven van hoe vaak deze aanvallen voorkomen, een cijfer: 22,6% van alle inlogpogingen op eCommerce-websites in 2022 waren brute-force- of credential-stuffing-aanvallen. Dat is bijna één op de vier pogingen. Bedrijven hadden te maken met frauduleuze aankopen, diefstal van klantgegevens en flinke PR-schade als gevolg van deze aanhoudende aanvallen.
Bovendien verkennen hackers de doelpagina's en stemmen ze hun brute-force-tools af op de specifieke parameterverieisten van de site. Inlogpagina's zijn de voor de hand liggende doelwitten, maar CMS-beheerpanelen zijn ook populaire aanvalspunten. Denk aan:
- WordPress: Veelgebruikte ingangspunten zoals wp-admin en wp-login.php.
- Magento: Kwetsbare paden zoals /index.php en beheerpanelen.
- Joomla!: De beheerderspagina is een veelvoorkomend doelwit.
- vBulletin: Beheerdashboards zoals admin cp zijn ook regelmatig in het vizier.
Het goede nieuws? De risico's kennen is het halve werk. Of je nu een WordPress-site beveiligt, een SSH-server, of een ander platform - weten waar je kwetsbaarheden zitten is de eerste stap om brute-force-aanvallen te voorkomen.
Best practices voor het voorkomen van brute-force-aanvallen
Brute-force-aanvallen stoppen vraagt om een combinatie van gezond verstand en slimme maatregelen. Zie het als het vergrendelen van elke deur en elk raam in je huis - plus een alarmsysteem voor de zekerheid. Deze best practices werken op de meeste platforms en vormen een solide basis om je systemen veilig te houden. Ze zijn ook essentiële stappen om brute-force-aanvallen te voorkomen.
Gebruik sterke, unieke wachtwoorden
Zwakke of hergebruikte wachtwoorden zijn een open uitnodiging voor brute-force-aanvallen. Kies wachtwoorden van minimaal 12 tekens, met een combinatie van letters, cijfers en symbolen, en vermijd alles wat voorspelbaar is. Een onderzoek gevonden dat "123456" en "password" in 2022 nog steeds tot de meest gebruikte wachtwoorden behoorden.
Implementeer meervoudige verificatie (MFA)
Met MFA geldt: zelfs als een hacker je wachtwoord raadt, hebben ze nog een extra verificatiestap nodig - zoals een eenmalige code op je telefoon. Volgens Microsoft, blokkeert MFA meer dan 99,2% van de aanvallen waarbij accounts worden gecompromitteerd. Bekijk onze handleiding over hoe je Two-Factor Authentication inschakelt op Windows 10.
Schakel accountvergrendeling in
Begrens het aantal mislukte inlogpogingen voordat het account tijdelijk wordt vergrendeld. Deze eenvoudige maatregel stopt brute-force-aanvallen direct.
Stel rate limiting in
Beperk hoe vaak er inlogpogingen kunnen worden gedaan binnen een bepaalde tijdspanne. Bijvoorbeeld maximaal vijf pogingen per minuut kan brute-force-aanvallen aanzienlijk moeilijker maken.
Bewaak ongewone activiteit en reageer erop
Gebruik tools zoals inbraakdetectiesystemen (IDS) om brute-force-pogingen vroeg te signaleren.
De beste verdediging is gelaagd. Door deze maatregelen te combineren maak je het aanvallers veel moeilijker om succes te boeken. Hierna bekijken we hoe je deze aanpak toepast op specifieke platforms zoals WordPress, waar brute-force-aanvallen bijzonder veel voorkomen.
Brute-force-beveiliging op WordPress
WordPress-sites trekken hackers als een magneet aan. Met miljoenen websites op het platform weten aanvallers dat de kans groot is dat ze er één met zwakke beveiliging vinden. Weten hoe je brute-force-aanvallen op WordPress voorkomt, kan het verschil maken - en het is eenvoudiger dan je denkt.
Wijzig de standaard login-URL
Hackers richten zich op de standaard inlogpagina (/wp-admin of /wp-login.php). Overstappen op een aangepaste URL is als het verplaatsen van je voordeur - aanvallers kunnen hem veel moeilijker vinden.
Installeer beveiligingsplugins
Plugins zoals Wordfence en Sucuri bieden krachtige tools voor de preventie van brute-force-aanvallen, waaronder CAPTCHAs, IP-blokkering en realtime monitoring.
Schakel XML-RPC uit
XML-RPC is een gateway die hackers misbruiken voor inlogpogingen. Het uitschakelen ervan is essentieel om de kwetsbaarheid voor brute force-aanvallen te beperken waar WordPress-sites regelmatig mee te maken krijgen.
Voeg CAPTCHA toe aan loginpagina's
CAPTCHA zorgt ervoor dat alleen mensen kunnen inloggen en blokkeert geautomatiseerde brute force-tools.
Beveilig wp-config.php
Beperk de toegang tot wp-config.php, het configuratiebestand van je site, via .htaccess of serverregels.
Regelmatig bijwerken
Verouderde plugins en thema's zijn open deuren voor aanvallers. Regelmatige updates dichten bekende kwetsbaarheden en beschermen tegen de brute force-risico's waar WordPress-sites gevoelig voor zijn. Dit is een van de belangrijkste maatregelen om je WordPress-site te verdedigen.
Met deze stappen wordt je WordPress-site aanzienlijk veiliger. Vervolgens bespreken we hoe je SSH-servers beveiligt, een andere veelvoorkomende doelwit voor brute force-aanvallen.
Bescherming tegen SSH brute-forcing
SSH-servers zijn als digitale sleutels tot je systemen, wat ze tot een aantrekkelijk doelwit voor hackers maakt. Weten hoe je brute force-aanvallen op SSH voorkomt, is niet alleen verstandig. Het is noodzakelijk voor de beveiliging van gevoelige systemen.
Gebruik SSH-sleutelauthenticatie
Inloggen met een wachtwoord brengt risico's met zich mee. Overstappen op SSH-sleutelauthenticatie voegt een extra beveiligingslaag toe: aanvallers hebben dan toegang tot je privésleutel nodig, een geraden wachtwoord is niet genoeg. Dit verlaagt het slagingspercentage van SSH brute force-aanvallen drastisch.
Schakel root-login uit
De root-gebruiker is vaak het eerste doelwit bij SSH brute forcing. Schakel direct root-login uit en maak een apart gebruikersaccount met beperkte rechten aan. Wat aanvallers niet kunnen targeten, kunnen ze ook niet kraken.
Stel UFW en Fail2Ban in
Tools zoals UFW en Fail2Ban bewaken mislukte inlogpogingen en blokkeren IP-adressen met verdacht gedrag. Het is een van de meest effectieve maatregelen om brute force-aanvallen op SSH-servers te stoppen. Bekijk onze uitgebreide handleiding over hoe je UFW en Fail2Ban installeert, inschakelt en beheert.
Wijzig de standaardpoort
Standaard gebruikt SSH poort 22, en hackers weten dat. SSH verplaatsen naar een niet-standaard poort voegt een eenvoudige maar effectieve laag van onduidelijkheid toe.
IP-whitelist gebruiken
Beperk SSH-toegang tot specifieke IP-adressen. Dit blokkeert ongewenst verkeer volledig en voorkomt dat brute force-tools überhaupt een voet tussen de deur krijgen.
Met deze stappen is je SSH-server een stuk minder kwetsbaar voor aanvallen. Nu we de algemene maatregelen hebben besproken, kijken we naar de specifieke tools die aanvallers gebruiken en hoe je die het hoofd biedt.
Veelgebruikte tools voor brute-force aanvallen en hoe je ze bestrijdt
De bovenstaande maatregelen helpen aanzienlijk bij het voorkomen van brute force-aanvallen, maar het zijn grotendeels algemene richtlijnen. In de praktijk maken veel aanvallers gebruik van specifieke tools. Weten hoe je die aanpakt, maakt een groot verschil.
Tools voor het kraken van Wi-Fi-wachtwoorden
Aircrack-ng: Een veelzijdige tool voor het kraken van Wi-Fi-wachtwoorden via woordenboekaanvallen op WEP, WPA en WPA2-PSK, beschikbaar voor meerdere platformen.
- Risicovermindering: Gebruik WPA3-versleuteling, stel lange en complexe wachtwoorden in, schakel MAC-adresfiltering in en zet draadloze inbraakdetectiesystemen (WIDS) in.
Algemene tools voor het kraken van wachtwoorden
John the Ripper Detecteert zwakke wachtwoorden en kraakt ze via brute force- of woordenboekaanvallen, met ondersteuning voor meer dan 15 platformen, waaronder Windows en Unix.
- Risicovermindering: Stel een sterk wachtwoordbeleid in (minimaal 12 tekens, hoge complexiteit), gebruik gesalte hashes en voer regelmatig wachtwoordaudits en -rotaties uit.
Regenboog Breuk Gebruikt vooraf berekende rainbow tables om wachtwoordkraken te versnellen, met ondersteuning voor zowel Windows als Linux.
- Risicovermindering: Gebruik salted hashes om rainbow tables onbruikbaar te maken en pas hashing-algoritmen toe zoals bcrypt, Argon2 of scrypt.
L0phtCrack: Kraakt Windows-wachtwoorden via woordenboek-, brute-force- en hybride aanvallen en rainbow tables, met ondersteuning voor geavanceerde functies zoals hash-extractie en netwerkmonitoring.
- Risicovermindering: Vergrendel accounts na mislukte pogingen, gebruik wachtzinnen voor betere entropie en verplicht multifactorauthenticatie (MFA).
Ophcrack: Gericht op het kraken van Windows-wachtwoorden via LM-hashes met ingebouwde rainbow tables, vaak voltooid binnen enkele minuten.
- Risicovermindering: Stap over op systemen die geen LM-hashes gebruiken (bijv. Windows 10+), gebruik lange en complexe wachtwoorden en schakel SMBv1 uit.
Geavanceerde en veelzijdige wachtwoordtools
Hashcat: Een GPU-versneld hulpprogramma dat een breed scala aan hashes en aanvallen ondersteunt, zoals brute force, woordenboek en hybride.
- Risicovermindering: Dwing een sterk wachtwoordbeleid af, sla hash-bestanden veilig op en versleutel gevoelige gegevens met sterke sleutels.
DaveGrohl: Uitsluitend voor Mac OS X: ondersteunt gedistribueerde brute-force- en woordenboekaanvallen.
- Risicovermindering: Controleer Mac OS X-systemen, beperk de toegang tot wachtwoordbestanden en verplicht multifactorauthenticatie (MFA).
Tools voor netwerkauthenticatie en -protocollen
Ncrack: Kraakt netwerkauthenticatieprotocollen zoals RDP, SSH en FTP op uiteenlopende platforms.
- Risicovermindering: Beperk toegang tot netwerkdiensten via firewalls, blokkeer IP-adressen na meerdere mislukte inlogpogingen en gebruik niet-standaard poorten voor kritieke diensten.
THC Hydra Voert op woordenboeken gebaseerde brute-force-aanvallen uit op meer dan 30 protocollen, waaronder Telnet, FTP en HTTP(S).
- Risicovermindering: Verplicht CAPTCHA of vergelijkbare mechanismen om herhaalde pogingen te beperken, gebruik versleutelde protocollen (bijv. FTPS, HTTPS) en vereis MFA voor veilige toegang.
Gespecialiseerde tools voor web, subdomeinen en CMS
Gobuster: Ideaal voor het brute-forcen van subdomeinen en mappen tijdens webpenetratietests.
- Risicovermindering: Gebruik web application firewalls (WAFs), beperk de toegang tot gevoelige mappen en verberg of versleutel standaard bestandsstructuren.
Onderzoek: Detecteert verborgen webpaden en mappen tijdens beveiligingstests.
- Maatregel: gebruik .htaccess of serverregels om de toegang te beperken, verwijder ongebruikte mappen en beveilig gevoelige webpaden.
Burp Suite: Een complete suite voor beveiligingstests van webapplicaties, met brute-force- en kwetsbaarheidsscanmogelijkheden.
- Risicovermindering: Patch webapplicaties regelmatig, voer penetratietests uit en monitor op afwijkende brute-force-activiteit.
CMSeek: Gericht op het ontdekken en misbruiken van CMS-kwetsbaarheden tijdens tests.
- Risicovermindering: Houd CMS-platformen up-to-date, zorg voor veilige configuraties en beperk brute-force-pogingen met beveiligingsplugins.
Tools voor tokens, sociale media en overige toepassingen
JWT Breker: Gespecialiseerd in het kraken van JSON Web Tokens voor testdoeleinden.
- Risicovermindering: Gebruik lange, veilige sleutels voor JWT-ondertekening, stel korte vervaltijden voor tokens in en weiger zwakke of niet-ondertekende algoritmen.
SocialBox: Gebruikt voor brute-force-tests op sociale media-accounts.
- Risicovermindering: Activeer accountvergrendeling na mislukte pogingen, verplicht tweefactorauthenticatie en informeer gebruikers over phishing.
Voorspeller: Een tool voor het aanmaken van aangepaste woordenlijsten voor brute-force aanvallen.
- Risicovermindering: Monitor op gelekte inloggegevens, vermijd zwakke standaardwachtwoorden en voer regelmatig beveiligingsaudits uit.
Patator: Een veelzijdige brute-force tool met ondersteuning voor uiteenlopende protocollen en methoden.
- Risicovermindering: Pas rate limiting toe, gebruik aangepaste foutmeldingen en stel strikte accountvergrendelingsmechanismen in om aanvallers te vertragen.
Nettracker: Automatiseert penetratietesttaken, waaronder brute-force aanvallen en andere beveiligingsbeoordelingen.
- Risicovermindering: Controleer netwerklogboeken regelmatig, isoleer testinloggegevens en zorg voor een veilig beheer van penetratietools.
Conclusie en maatregelen tegen brute-force aanvallen
Geavanceerde tools zoals software voor gedragsanalyse, honeypots en IP-reputatieblokkering kunnen bedreigingen opsporen en stoppen voordat ze voet aan de grond krijgen. Deze proactieve maatregelen werken samen met de basismaatregelen, zoals meerfactorauthenticatie en sterke wachtwoorden, voor een solide verdediging.
Leren hoe je brute-force aanvallen voorkomt, vraagt een langetermijnvisie. Door slimme strategieën te combineren met preventietools bescherm je je systemen tegen zelfs de meest vastberaden aanvallers. Blijf alert, pas je aan en beschouw cybersecurity als een investering in je toekomst.
