® 
Brute-force-aanval
Definitie
Bij een brute-force-aanval probeert een aanvaller systematisch alle mogelijke combinaties van wachtwoorden of sleutels uit totdat de juiste gevonden wordt. Dit is een van de meest directe methoden om toegang te verkrijgen.
Een brute force-aanval is een methode waarbij een aanvaller systematisch alle mogelijke combinaties van wachtwoorden, encryptiesleutels of pincodes uitprobeert totdat de juiste wordt gevonden. Brute force is een van de oudste aanvalstechnieken maar blijft effectief tegen zwakke wachtwoorden. Volgens Verizon DBIR 2024 is credential-misbruik betrokken bij meer dan 40% van alle datalekken.
Hoe werkt een brute force-aanval?
De aanvaller gebruikt geautomatiseerde software die duizenden tot miljoenen inlogpogingen per seconde uitvoert. Bij een simpele brute force wordt elke mogelijke combinatie geprobeerd. Dictionary attacks gebruiken lijsten van veelvoorkomende wachtwoorden en gelekte credentials. Credential stuffing gebruikt eerder gelekte gebruikersnaam-wachtwoord-combinaties op andere diensten. Hybride aanvallen combineren woordenboeken met variaties. Rainbow table-aanvallen gebruiken vooraf berekende hash-tabellen om gehashte wachtwoorden te kraken.
Soorten brute force
Online brute force voert aanvallen uit tegen live authenticatiesystemen. Offline brute force kraakt gestolen wachtwoordhashes zonder interactie met het doelsysteem en is daardoor veel sneller. Password spraying probeert een klein aantal veelgebruikte wachtwoorden bij een groot aantal accounts om lockout-mechanismen te omzeilen. Reverse brute force begint met een bekend wachtwoord en probeert verschillende gebruikersnamen.
Impact voor organisaties
Brute force-aanvallen zijn een constante dreiging voor elke organisatie met online authenticatie. Zwakke wachtwoorden, ontbrekende MFA en geen account lockout maken organisaties kwetsbaar. NIS2 vereist adequate authenticatiemaatregelen. PCI DSS stelt eisen aan wachtwoordbeleid en lockout-mechanismen.
Bescherming
Implementeer MFA op alle accounts: zelfs bij een succesvol brute force-wachtwoord kan de aanvaller niet inloggen. Stel account lockout in na een beperkt aantal mislukte pogingen. Gebruik CAPTCHA voor online formulieren. Implementeer rate limiting op authenticatie-endpoints. Vereis sterke wachtwoorden van minimaal 12 tekens. Monitor op brute force-patronen via SIEM.
Hoe DEFION helpt
DEFION test de weerbaarheid tegen brute force als onderdeel van External Pentests en Web Application Pentests. Het team evalueert wachtwoordbeleid, lockout-mechanismen en MFA-implementatie.