Wat is een Brute Force Attack?

De grootste bedreiding voor WordPress websites. Het is bekend bij de ontwikkelaars maar men doet er niets aan. Dit is de reden waarom je een veiligheids plugin nodig heb. WordPress laat standaard toe dat je onbeperkt aantal pogingen doet om in te loggen. Zonder consequenties.

Er zijn hele lijsten te vinden met veel gebruikte wachtwoorden. Hackers gebruiken deze om van alles te proberen om toch met bijvoorbeeld loginnaam: admin en wachtwoord 123456 in te loggen. Daarna proberen ze het weer maar dan met de een ander ‘getal’ of ‘qwerty’ of je geboorte datum etc. Het is schrikbarend hoe vaak men dezelfde wachtwoorden gebruikt.

brute force attack - onveilige website

Zijn jou logingegevens ook gestolen?

Bij veiligheidsproblemen van grote websites zijn al vele wachtwoorden en andere gegevens buit gemaakt.

Check op deze website of jij je inloggevens dient aan te passen: https://haveibeenpwned.com/

Dictionary Rainbow ?!

In dit geval kan je een ‘dictionary rainbow table’ gebruiken. Een regenboogtabel is een database die wordt gebruikt om authenticatie te verkrijgen door de wachtwoordhash te kraken. Aangezien meer dan één tekst dezelfde hash kan produceren, is het niet belangrijk om te weten wat het oorspronkelijke wachtwoord eigenlijk was, zolang het dezelfde hash produceert.

Oplossingen

Een veiligheids plugin kan restricties toevoegen aan wat je wel of niet mag proberen. Bijvoorbeeld na 5 maal proberen wordt je tijdelijk geblokkeerd. Probeer je het nog eens vijf maal wordt je langer geblokkeerd. Je kan ip-nummers whitlisten om vaker te mogen proberen. Wat ik aanraad is een wachtwoord app die voor jou de moeilijke logins bewaard. Wij zorgen er bijvoorbeeld voor dat bepaalde gebruikersnamen niet worden geaccepteerd. Vanbrent Webservices helpt je om je te beschermen tegen deze brute-force attacks.

Even technisch

Wachtwoorden worden niet opgeslagen als de tekst die jij invoert. Ze worden versleuteld door middel van een hashfunctie. Dit gaat om eenrichting verkeer en kan niet worden gedecodeerd. Wanneer een gebruiker een wachtwoord invoert, zal deze omgezet worden in een hash-waarde en vergeleken met de al opgeslagen hash-waarde. Als de waarden overeenkomen, wordt de gebruiker geverifieerd.

Te technisch: Hoe het werkt

Hier wordt de hash van een string genomen en vervolgens gereduceerd om een nieuwe string te maken, die herhaaldelijk wordt gereduceerd. Laten we bijvoorbeeld een tabel maken van het meest voorkomende wachtwoord, 12345678 , met behulp van de MD5-hashfunctie op de eerste 8 tekens:

  • Eerst nemen we de string en voeren deze door de md5-hashfunctie.
    • hashMD5 (12345678) = 25d55ad283aa400af464c76d713c07ad
  • We verminderen de hash door alleen de eerste 8 tekens te nemen. Dan hakken we het opnieuw.
    • hashMD5 (25d55ad2) = 5c41c6b3958e798662d8853ece970f70

Dit wordt herhaald tot voldoende hashes in de uitvoerketen. Dit vertegenwoordigt één keten, die begint bij de eerste tekst zonder opmaak en eindigt bij de laatste hash. Nadat we voldoende kettingen hebben verkregen, bewaren we ze in een tabel.

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *