Brute force aanval op WordPress door botnet

Enkele dagen geleden werd er al melding gemaakt van een aanval van een botnet, een netwerk van tienduizenden geÏnfecteerde ‘zombiecomputers’, op WordPress.com. Eén cloudprovider meldde 90 miljoen inlogpogingen in een uur tijd geblokkeerd te hebben. Als we vandaag diverse websites mogen geloven, dan is deze aanval nog steeds gaande.

Ook de baas van Kaspersky Labs heeft zich inmiddels in de discussie gemengd, dus het ziet er serieus uit. Voor een goed veilig wachtwoord kan ik in ieder geval de volgende tips geven:

  • – Gebruik geen woord uit het woordenboek: hackers hebben zonder problemen toegang tot een slordige 100 miljoen verschillende woorden. Daar kan jij niet tegenop.
  • – Combinaties van hoofd- en kleine letters (e,E), cijfers (7,8,9) en alfanumerieke tekens (&#*@) werken goed
  • – Ga niet een woord verbasteren met deze tekens (‘G3he1M’ is een leuk voorbeeld): ook zo’n password is simpel te kraken voor iemand met speciale software. Kies in plaats hiervan voor een willekeurige reeks. ‘G8–>ll.@jq!!’ is al heel wat beter. 😉
  • – Gebruik een wachtwoord maar op één plek. Zo voorkom je dat als je wachtwoord gekraakt is, al je accounts ineens bedreigd zijn.

Ik hoor je al denken: hoe onthoud ik zoiets in vredesnaam?

Nou dat is simpel: stel je wachtwoord in op je PC en zet je screensaver op ‘lock screen’, met een hele korte tijd voordat ‘ie aanslaat. Nu ben je gedwongen om je password om de haverklap in te toetsen. Binnen een paar dagen ken je het uit je hoofd.
Gebruik nu dit password als basis voor andere wachtwoorden. Hiervoor kan je een systeempje verzinnen. Bijvoorbeeld door letters toe te voegen die afkomstig zijn uit de domeinnaam van de dienst die je gebruikt. Deze voeg je op vaste posities in in je eigen wachtwoord. Ook kan je bijvoorbeeld de naam van de webdienst gebruiken als een soort formule om juist letters weg te halen uit je basispassword of te vervangen. Een dergelijk systeem is vrij eenvoudig qua opzet, maar moeilijk te achterhalen voor een hacker: ook als hij 1 van jouw wachtwoorden bezit, zal het zo nauwelijks te doen zijn om je andere passwords te bemachtigen.

Zo’n systeem werkt bijvoorbeeld als volgt:

We nemen als basispassword G8–>ll.@jq!! en maken een wachtwoord voor WordPress. Het woord ‘WordPress’ heeft 10 tekens. Trek hier nu 3 van af en voeg het resulterende getal (10-3=7) in op de derde positie van je password. Neem nu de 5e letter van ‘WordPress’ en voeg deze toe aan het einde van je password. Nu ziet je password er zo uit: G87–>ll.@jq!!P Bedenk zelf even hoeveel van zulke stappen voor jou wenselijk zijn. Met een stuk of 3 bewerkingen heb je al een moeilijk te doorgronden systeem.

Met behulp van 1 basiswachtwoord en een formule die alleen jij kent, ben je dan voor de komende tijd wel redelijk veilig. In ieder geval zal je niet zo snel bij het kleine percentage horen dat wél gekraakt wordt bij een aanval als vandaag.

Auteur: edwin ijsman

Idealist met een kwinkslag | Schrijft | Fotografeert | Ontwerpt | Onderzoekt | Voorliefde voor nutteloze dingen | Twitter: @edwinijsman

1 thought on “Brute force aanval op WordPress door botnet”

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s