Een patroon-hack is de gangbare manier van paswoorden kraken. Men begint met wat woordenboek aanvallen en alle wachtwoorden onder 6 tekens + alles lowercase onder 8 tekens of zo brute force. En daarna gaat men patronen gebruiken.
Deze hackers zijn doorgaans al jaren in het vak, en hebben tientalle databases onderzocht. Zij hebben een eigen 'woordenboek' met patronen. Deze patronen kun je met elkaar combineren tot wachtwoorden.
Mensen gebruiken namelijk vrijwel altijd patronen met het maken van wachtwoorden. Zelfs als ze slim proberen/denken te zijn.
Dus ipv brute force te rekenen, rekent men enkel een hele specifieke subset van alle mogelijkheden uit. Daarmee kan men binnen een paar uur vaak al 60% van de wachtwoorden uit een slecht beveiligde database halen. Paar dagen rekenen en men zit op soms angstaanjagende aantallen tegen de 80 a 90% van alle wachtwoorden bij een slecht beveiligde database.
Besef nu dat eBay 2 maanden geleden gehacked is ...
Nu hoop ik dat eBay goede database bescherming heeft. In dat geval ben je veilig zelfs met een relatief kort wachtwoord. Maar aangezien we dat niet weten...
Extreem simplistisch voorbeeld. Mensen gebruiken vaak iets van
Woord123!
Hoofdletter aan het begin, nummer erachter en een leesteken op het laatst. Dus ga je eerst al die combinaties proberen en niet
wOord123!
Maar denk nu niet slim te zijn, en dus zoiets te doen. Immers die 2e letter is ook weer een bekend patroon. Alles wat jij bedenkt, is ook al door iemand anders bedacht, en vaak al eens voorbij gekomen in een database die zo'n hacker gezien heft.
Zelfs wachtwoorden die op het eerste gezicht complex zijn door heel slim typefouten te maken, of zelf random text te gebruiken, zijn vaak helemaal niet random. Menselijke hersenen vinden al snel iets random of moeilijk, waar computers feiloos patronen herkennen. En besef nu dat die hackers al jaren (!) bezig zijn met hun eigen patroon-databases samen te stellen, die men steeds verder bijstelt.
Een lang wachtwoord zoals een zin is dan op eens heel kwetsbaar. Maak je wat spelfouten helpt dan absoluut, maar mensen maken zelden random spelfouten. Pas op dat je jezelf niet in slaap sust.
Samengevat:
- een wachtwoord moet een minimale lengte hebben om brute force tegen te gaan. Doorgaans is 8 a 10 tekens genoeg
mits een combinatie van hoofdletters/cijfers/tekens. Neem echter wat marge.
- geen woord gebruiken
- geen patroon gebruiken
Dat laatste wordt vaak vergeten! Een lange zin met patroon is dan slecht. Een lange zin, met moeilijk patroon niet slecht, maar wel zwakker dan mensen denken, en bovendien vergelijkbnaar met een korter middellang wachtwoord dat geen patron bevat.
Langer dan laten we zeggen 16 tekens heeft meestal geen zin meer. Immers als 16 tekens 100 jaar rekenen vereist, dan is 20 tekens misschien wel 100.000 jaar, maar dat maakt evident niet uit want een hacker stopt al bij iets wat een paar dagen duurt, en schakelt over op een andere methode.
En langer dan 20 tekens heeft zelden zin aangezien de meest gebruikte hashing algorithmen nog steeds MD5 en SHA1 zijn, welke maximaal 20 tekens kunnen bevatten.
[Reactie gewijzigd door Armin op 23 juli 2024 15:15]