22 jan 2016
Een Brute Force aanval wordt vaak ingezet voor het kraken van wachtwoorden. Met name het wachtwoord om in het WordPress admin te komen.
Hierbij worden alle mogelijke combinaties van beschikbare tekens geprobeerd. Dit is een zeer inefficiënte methode door de zeer lange duur, maar op den duur heeft het vrijwel altijd resultaat.
Vrij vertaald is Brute Force een aanval met brute kracht zonder een specifiek plan.
Waar richt een Brute Force aanval zich op?
Een Brute Force aanval richt zich bij WordPress op het wp-admin waar je inlog velden zijn.
Hierbij heeft een aanvaller je username nodig waarna hij het wachtwoord met een Brute Force aanval gaat proberen te “raden”.
De username is overigens zeer gemakkelijk te achterhalen, zelfs handmatig duurt dit meestal slechts 1-2 minuten..
De verantwoordelijke voor de Brute Force aanval vervolgen
Het is erg lastig om de exacte verantwoordelijke achter een Brute Force aanval te vervolgen.
Meestal gaat een Brute Force aanval niet via de computer of website van de aanvaller maar via een gehackte website of webserver van een onschuldig persoon.
Heeft mijn website wel eens een Brute Force aanval gehad?
Elke website die op Google te vinden is, heeft te maken met meerdere gehackte servers of websites die zonder het te weten Brute Force aanvallen uitvoeren op geautomatiseerde basis.
Het kraken van wachtwoorden
Een snelle server/computer kan zonder internet-limieten zo’n 2 miljoen wachtwoorden indienen!!
Bij een wachtwoord van 6 tekens/cijfers heeft een Brute Force aanval het wachtwoord binnen enkele uren gekraakt.
Bij een wachtwoord van 7-8-9 tekens/cijfers is dit al 1 dag.
Bij een wachtwoord van meer als 10-12 tekens/cijfers praat je over enkele maanden.
En bij een “ZinZoals-deze-met_meer-als_21_letters_en_D!verse-tekens” praat je over een tijdsduur van enkele jaren om het te kraken!
Kortom: verzin een goed wachtwoord!
Kan een Brute Force aanval kwaad als het wachtwoord niet geraden wordt?
Zelfs als je wachtwoord zo complex is dat het niet geraden kan worden, en de gebruikersnaam niet te achterhalen is heeft je website flink te lijden onder Brute Force aanvallen.
Als je bedenkt dat bezoekers gemiddeld 1-5 pagina’s opvragen tijdens hun bezoek, maar een Brute Force aanval wel 1.000-10.000 aanvragen per minuut op je website kan doen.. dan begrijp je wel dat dit ten koste gaat van de snelheid van je website en je bezoekers een trage website zien.
Lees ook hoe je een Brute Force aanval kunt voorkomen.
Op een telefoon kun je een 4 cijferige code instellen. als iemand 3 keer de verkeerd code invoert, wordt de telefoon geblokkeerd. Als je een beveiligensplugin hebt die na een aantal aanvallen het ip-adres blokkeert, dan is het toch niet zo erg als je wachtwoord niet zo lang is?
Veel beveiligingplugins zijn ingesteld om iemand 3-5 pogingen te geven, met een kwartier wachttijd waarna nieuwe pogingen gedaan mogen worden.
Uiteindelijk worden ze na 50+ pogingen geblokkeerd in de .Htaccess
Dat is alleen als de beveiliging goed strak ingesteld is.
50 pogingen x 100 botnets (Met allen verschillende IP’s) is alsnog 5000 pogingen.
Als je korte wachtwoord GEEN woordenboek-wachtwoord is kom je meestal nog wel weg met een kort wachtwoord. Maar als je wachtwoord gerelateerd is aan je website, geboortedatums, namen of simpelweg in het woordenboek staat wordt het al riskanter.
Het zijn vooral de websites waar de beveiligingsplugin niet geïnstalleerd is waar dagelijks 100.000 pogingen gedaan kunnen worden die lek raken.
Maar dit kan dus ook op de website van een ander zijn, als die niet goed beveiligd is. Daarom is het gebruik van een gemiddeld tot lang wachtwoord een belangrijk principe.
Het wachtwoord dat je door WordPress kan laten genereren, is een onmogelijk te onthouden wachtwoord. Dit leidt ertoe dat gebruikers het gaan opschrijven of ergens in een bestandje op de computer gaan zetten. Ik vind dit soort wachtwoorden niet praktisch. Ik gebruikt lange wachtwoorden die voor mij makkelijk te onthouden zijn. Bijvoorbeeld: Gisterenwaserheelveelwind=1. Voldoet bijna altijd aan alle voorwaarden en is moeilijk te kraken vanwege de lengte en omdat het niet naar persoonlijke gegevens etc. verwijst.
[…] de aanvallen voort uit het gebruik van een zwak wachtwoord. Hackers maken vaak gebruik van een ‘Brute Force aanval’. Hierbij worden alle mogelijke combinaties van beschikbare tekens geprobeerd. Het klinkt alsof dit […]
@Wendy
Veel brute force aanvallen worden geheel geautomatiseerd uitgevoerd met behulp van botnets. Een botnet is een netwerk van meerdere computers/servers dat ingezet wordt voor bijv brute force aanvallen. Vaak zijn deze computers/servers zelf ook gehackt.
Het is zaak om bijv de gebruikersnamen van jouw WordPress website af te schermen. Botnets geven er namelijk de voorkeur aan om WordPress websites te brute forcen waarvan 1 of meerdere gebruikersnamen al bekend zijn. De kans op een succesvolle brute force aanval is dan groter. Met hoeft immers alleen nog het wachtwoord te brute forcen …
Ook helpt het om de standaard toegang tot het WP Dashboard af te schermen. Als een botnet merkt dat het wp-admin of wp-login.php adres van jouw website niet bereikbaar is dan zoekt het verder naar een makkelijker aan te vallen site. Voorkom dus dat jouw site het zogenoemde laag hangende fruit op het internet is.
Gebruik hiervoor een goede beveiligings plugin zoals de iThemes Security PRO NL.