Brute force

Een brute-force-aanval probeert systematisch wachtwoorden of sleutels tot er één werkt. Geen slimme truc, maar volhouden — geautomatiseerd, met duizenden pogingen per seconde. Elke server met een open SSH-poort krijgt er dagelijks mee te maken.

Varianten

VariantWerkwijze
Pure brute forceAlle combinaties proberen
Dictionary attackLijsten met veelgebruikte wachtwoorden
Credential stuffingGelekte wachtwoorden van andere sites hergebruiken
Password sprayingEén veelvoorkomend wachtwoord tegen veel accounts (vermijdt lockouts)

Waarom wachtwoordlengte alles is

Elk extra teken vermenigvuldigt het aantal mogelijkheden. Een wachtwoord van 8 tekens is offline in uren te kraken; een wachtzin van 4 losse woorden houdt het eeuwen vol. Complexiteitsregels ("minimaal één leesteken") helpen veel minder dan lengte.

Verdediging

  • SSH-sleutels in plaats van wachtwoorden — niet te brute-forcen
  • Fail2ban — blokkeert IP-adressen na herhaalde mislukte pogingen
  • MFA — het geraden wachtwoord alleen is niet genoeg
  • Sterke hashing (bcrypt, argon2) — vertraagt offline kraken van gelekte databases
  • Rate limiting en lockouts — vertraag online pogingen

Zie ook

  • fail2ban — geautomatiseerd blokkeren van aanvallers
  • ssh-sleutels — wachtwoordloos en brute-force-bestendig
  • hash — hoe wachtwoorden opgeslagen horen te zijn
  • mfa — tweede slot op de deur
beveiliging