Brute Force aanval, wat is dat?

Brute Force aanval, wat is dat?
datum-geschreven 22 jan 2016
In dit artikel

Een Brute Force aanval wordt vaak ingezet voor het kraken van wachtwoorden. Met name het wachtwoord om in het WordPress admin te komen.

Hierbij worden alle mogelijke combinaties van beschikbare tekens geprobeerd. Dit is een zeer inefficiënte methode door de zeer lange duur, maar op den duur heeft het vrijwel altijd resultaat.

Vrij vertaald is Brute Force een aanval met brute kracht zonder een specifiek plan.

Waar richt een Brute Force aanval zich op?

Een Brute Force aanval richt zich bij WordPress op het wp-admin waar je inlog velden zijn.

Hierbij heeft een aanvaller je username nodig waarna hij het wachtwoord met een Brute Force aanval gaat proberen te “raden”.

De username is overigens zeer gemakkelijk te achterhalen, zelfs handmatig duurt dit meestal slechts 1-2 minuten..

De verantwoordelijke voor de Brute Force aanval vervolgen

brute-force-verdachteHet is erg lastig om de exacte verantwoordelijke achter een Brute Force aanval te vervolgen.

Meestal gaat een Brute Force aanval niet via de computer of website van de aanvaller maar via een gehackte website of webserver van een onschuldig persoon.

Heeft mijn website wel eens een Brute Force aanval gehad?

Elke website die op Google te vinden is, heeft te maken met meerdere gehackte servers of websites die zonder het te weten Brute Force aanvallen uitvoeren op geautomatiseerde basis.

Het kraken van wachtwoorden

Een snelle server/computer kan zonder internet-limieten zo’n 2 miljoen wachtwoorden indienen!!

tijd wordpress nodig

Bij een wachtwoord van 6 tekens/cijfers heeft een Brute Force aanval het wachtwoord binnen enkele uren gekraakt.

Bij een wachtwoord van 7-8-9 tekens/cijfers is dit al 1 dag.

Bij een wachtwoord van meer als 10-12 tekens/cijfers praat je over enkele maanden.

En bij een “ZinZoals-deze-met_meer-als_21_letters_en_D!verse-tekens” praat je over een tijdsduur van enkele jaren om het te kraken!

Kortom: verzin een goed wachtwoord!

Kan een Brute Force aanval kwaad als het wachtwoord niet geraden wordt?

Zelfs als je wachtwoord zo complex is dat het niet geraden kan worden, en de gebruikersnaam niet te achterhalen is heeft je website flink te lijden onder Brute Force aanvallen.

Als je bedenkt dat bezoekers gemiddeld 1-5 pagina’s opvragen tijdens hun bezoek, maar een Brute Force aanval wel 1.000-10.000 aanvragen per minuut op je website kan doen.. dan begrijp je wel dat dit ten koste gaat van de snelheid van je website en je bezoekers een trage website zien.

Lees ook hoe je een Brute Force aanval kunt voorkomen.

Meer WordPress:
De meeste artikelen zijn geschreven door Mathieu Scholtes, eigenaar van WPBeveiligen. Volg Mathieu op LinkedIn voor het laatste WordPress-nieuws, handige tips en exclusieve aanbiedingen.
Bezoeken op LinkedIn!

Deel jouw vraag, tip of mening!

Abonneer
Breng me op de hoogte
guest
5 Reacties
Inline Feedbacks
Bekijk alle reacties
Saskia

Op een telefoon kun je een 4 cijferige code instellen. als iemand 3 keer de verkeerd code invoert, wordt de telefoon geblokkeerd. Als je een beveiligensplugin hebt die na een aantal aanvallen het ip-adres blokkeert, dan is het toch niet zo erg als je wachtwoord niet zo lang is?

Mark

Het wachtwoord dat je door WordPress kan laten genereren, is een onmogelijk te onthouden wachtwoord. Dit leidt ertoe dat gebruikers het gaan opschrijven of ergens in een bestandje op de computer gaan zetten. Ik vind dit soort wachtwoorden niet praktisch. Ik gebruikt lange wachtwoorden die voor mij makkelijk te onthouden zijn. Bijvoorbeeld: Gisterenwaserheelveelwind=1. Voldoet bijna altijd aan alle voorwaarden en is moeilijk te kraken vanwege de lengte en omdat het niet naar persoonlijke gegevens etc. verwijst.

trackback

[…] de aanvallen voort uit het gebruik van een zwak wachtwoord. Hackers maken vaak gebruik van een ‘Brute Force aanval’. Hierbij worden alle mogelijke combinaties van beschikbare tekens geprobeerd. Het klinkt alsof dit […]

dwinden

@Wendy

Veel brute force aanvallen worden geheel geautomatiseerd uitgevoerd met behulp van botnets. Een botnet is een netwerk van meerdere computers/servers dat ingezet wordt voor bijv brute force aanvallen. Vaak zijn deze computers/servers zelf ook gehackt.

Het is zaak om bijv de gebruikersnamen van jouw WordPress website af te schermen. Botnets geven er namelijk de voorkeur aan om WordPress websites te brute forcen waarvan 1 of meerdere gebruikersnamen al bekend zijn. De kans op een succesvolle brute force aanval is dan groter. Met hoeft immers alleen nog het wachtwoord te brute forcen …

Ook helpt het om de standaard toegang tot het WP Dashboard af te schermen. Als een botnet merkt dat het wp-admin of wp-login.php adres van jouw website niet bereikbaar is dan zoekt het verder naar een makkelijker aan te vallen site. Voorkom dus dat jouw site het zogenoemde laag hangende fruit op het internet is.

Gebruik hiervoor een goede beveiligings plugin zoals de iThemes Security PRO NL.

Pak 20% korting met de combo deal!
▼ Nee nog niet