Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Brute force aanval

Aanvallen

Een aanvalsmethode waarbij iemand met een hulpmiddel alle mogelijkheden uitprobeert om een geheime code te achterhalen. Bijvoorbeeld een wachtwoord.

Een brute force aanval is een methode waarbij een aanvaller systematisch alle mogelijke combinaties van wachtwoorden, encryptiesleutels of pincodes uitprobeert totdat de juiste combinatie is gevonden. De aanvaller gebruikt geautomatiseerde software die in hoog tempo duizenden tot miljoenen combinaties per seconde test. Het is een van de oudste en meest directe aanvalstechnieken in cybersecurity, en ondanks de eenvoud blijft het effectief tegen slecht beveiligde systemen met zwakke wachtwoorden.

Hoe werkt een brute force aanval?

Bij een klassieke brute force aanval genereert de aanvaller elke mogelijke combinatie van tekens en probeert deze achtereenvolgens als wachtwoord. De software begint bijvoorbeeld met "a", dan "b", vervolgens "aa", "ab" enzovoort totdat het correcte wachtwoord is gevonden. De tijd die dit kost hangt af van de lengte en complexiteit van het wachtwoord. Een wachtwoord van vier kleine letters is binnen seconden gekraakt, terwijl een wachtwoord van twaalf tekens met hoofdletters, cijfers en speciale tekens jaren kan duren om te breken.

Er bestaan verschillende varianten van brute force aanvallen die efficienter werken dan de pure methode. Bij een dictionary attack gebruikt de aanvaller een lijst met veelgebruikte wachtwoorden en woorden uit woordenboeken. Credential stuffing maakt gebruik van eerder gelekte gebruikersnaam-wachtwoordcombinaties die worden uitgeprobeerd op andere diensten. Veel mensen hergebruiken wachtwoorden, waardoor deze aanpak verrassend effectief is.

Reverse brute force is een variant waarbij de aanvaller een bekend wachtwoord neemt en dit probeert bij veel verschillende gebruikersnamen. Password spraying is vergelijkbaar: hierbij wordt een klein aantal veelgebruikte wachtwoorden uitgeprobeerd bij een groot aantal accounts. Dit vermijdt accountlockouts die ontstaan bij te veel mislukte inlogpogingen op een enkel account.

Hybride aanvallen combineren woordenlijsten met brute force technieken. De aanvaller begint met een woord uit het woordenboek en voegt er systematisch cijfers en speciale tekens aan toe. Zo wordt "wachtwoord" gevolgd door "wachtwoord1", "wachtwoord123", "Wachtwoord!" enzovoort. Deze aanpak is effectief omdat veel mensen voorspelbare patronen gebruiken bij het aanmaken van wachtwoorden.

De rekenkracht die beschikbaar is voor brute force aanvallen groeit voortdurend. Moderne grafische kaarten kunnen miljarden hash-berekeningen per seconde uitvoeren. Cloud computing maakt het mogelijk om tijdelijk enorme rekenkracht te huren tegen lage kosten. Hierdoor worden aanvallen die vroeger maanden duurden nu in uren uitgevoerd. Aanvallers bouwen soms zelfs clusters van GPU's specifiek voor het kraken van wachtwoorden.

Hoe herken je een brute force aanval?

Brute force aanvallen laten duidelijke sporen achter in logbestanden. Het meest opvallende signaal is een groot aantal mislukte inlogpogingen vanaf hetzelfde IP-adres of op hetzelfde account binnen korte tijd. Security Information and Event Management systemen, oftewel SIEM-oplossingen, kunnen deze patronen automatisch detecteren en alerts genereren wanneer drempelwaarden worden overschreden.

Let op inlogpogingen op ongebruikelijke tijdstippen of vanuit onverwachte geografische locaties. Als jouw systemen meldingen geven van honderden mislukte inlogpogingen vanuit een land waar je geen medewerkers hebt, is dat een sterk signaal van een brute force aanval. Monitorsystemen die geolocatie koppelen aan inlogpogingen maken deze detectie eenvoudiger.

Vertraagde systeemprestaties kunnen ook wijzen op een brute force aanval. Wanneer aanvallers duizenden verzoeken per seconde naar jouw loginpagina sturen, kan dit de server belasten en de prestaties voor legitieme gebruikers verslechteren. Webapplication firewalls kunnen abnormaal verkeer naar loginendpoints detecteren en blokkeren voordat het impact heeft op jouw systemen.

Credential stuffing aanvallen zijn lastiger te detecteren omdat ze lagere volumes gebruiken en niet per se veel mislukte pogingen genereren per account. Hier helpt het om te monitoren op inlogpogingen met credentials die voorkomen in bekende datalekken. Diensten zoals Have I Been Pwned bieden API's waarmee je kunt controleren of wachtwoorden van jouw gebruikers zijn uitgelekt.

Hoe bescherm je je tegen brute force aanvallen?

De belangrijkste bescherming is het afdwingen van sterke wachtwoorden. Langere wachtwoorden zijn exponentieel moeilijker te kraken dan korte. Een wachtwoord van 16 tekens met gemengde tekentypen is met huidige technologie praktisch onkraakbaar via brute force. Gebruik een wachtwoordmanager om unieke, complexe wachtwoorden te genereren en op te slaan voor elk account.

Multi-factor authenticatie maakt brute force aanvallen vrijwel nutteloos. Zelfs als een aanvaller het juiste wachtwoord vindt, heeft hij nog een tweede factor nodig, zoals een code van een authenticator-app of een hardwaretoken. Implementeer MFA op alle systemen die dit ondersteunen, met prioriteit voor systemen die via het internet bereikbaar zijn.

Account lockout policies blokkeren accounts tijdelijk na een bepaald aantal mislukte inlogpogingen. Stel bijvoorbeeld in dat een account voor 30 minuten wordt geblokkeerd na vijf mislukte pogingen. Wees voorzichtig met permanente lockouts, want aanvallers kunnen dit misbruiken om legitieme gebruikers buiten te sluiten via een denial-of-service aanval op accountniveau.

Rate limiting beperkt het aantal inlogpogingen dat vanaf een enkel IP-adres kan worden gedaan binnen een bepaalde tijdsperiode. CAPTCHA's voegen een extra barriere toe die geautomatiseerde aanvallen bemoeilijkt. Moderne CAPTCHA-systemen zijn ontworpen om menselijke gebruikers minimaal te hinderen terwijl ze bots effectief blokkeren.

Gebruik key stretching-algoritmen zoals bcrypt, scrypt of Argon2 voor het opslaan van wachtwoord-hashes. Deze algoritmen zijn opzettelijk traag gemaakt, waardoor elke poging om een hash te kraken meer rekentijd kost. Dit vertraagt brute force aanvallen aanzienlijk, zelfs wanneer de aanvaller toegang heeft tot de hash-database.

Netwerksegmentatie en het beperken van externe toegangspunten verkleinen het aanvalsoppervlak voor brute force. Zorg ervoor dat beheerinterfaces niet direct bereikbaar zijn vanaf het internet. Gebruik een VPN of bastion host als tussenstap voor toegang tot interne systemen. Implementeer allowlists voor IP-adressen die toegang mogen hebben tot kritieke loginpagina's. Monitoring van mislukte inlogpogingen in combinatie met automatische IP-blokkering via fail2ban of vergelijkbare tools biedt een extra verdedigingslaag tegen geautomatiseerde aanvallen.

Wachtwoordbeleid moet regelmatig worden herzien en aangepast aan actuele dreigingen. Het NIST adviseert tegenwoordig om langere wachtwoorden te verkiezen boven complexiteitseisen, en om periodieke wachtwoordwijzigingen alleen af te dwingen na een vermoeden van compromittering. Dit beleid vermindert de kans dat gebruikers voorspelbare patronen gebruiken om aan complexiteitseisen te voldoen. Op de vergelijkingspagina vind je beveiligingsoplossingen die deze beschermingsmaatregelen implementeren.

Veelgestelde vragen over brute force aanvallen

Hoe lang duurt het om een wachtwoord te kraken met brute force?

Dat hangt af van lengte en complexiteit. Een kort wachtwoord van zes tekens is binnen minuten gekraakt, een lang wachtwoord duurt jaren.

Zijn lange wachtwoorden altijd veilig tegen brute force?

Lange wachtwoorden bieden sterke bescherming tegen brute force, maar zijn kwetsbaar voor phishing en credential stuffing bij hergebruik.

Kan multi-factor authenticatie brute force aanvallen volledig stoppen?

MFA stopt de meeste brute force aanvallen effectief. Het wachtwoord alleen is dan niet voldoende om toegang te krijgen.

Welke tools gebruiken aanvallers voor brute force?

Populaire tools zijn Hydra, John the Ripper en Hashcat. Penetratietesters gebruiken dezelfde tools om zwakke wachtwoorden te vinden.

Hoe detecteer je brute force aanvallen op jouw netwerk?

Monitor logbestanden op herhaalde mislukte inlogpogingen. Configureer SIEM-alerts voor drempelwaarden en ongebruikelijke inlogpatronen.

Wil je jouw systemen beschermen tegen brute force aanvallen? Vergelijk beveiligingsoplossingen op IBgidsNL.