Sådan gætter hackere dine kodeord

Mange mennesker har prøvet at få hacket deres kodeord, hvad enten de ved det eller ej. It-kriminelle bruger en del af deres tid på at hacke kodeord.

11-04-2022 - 6 minutters læsning. Under kategorien: hacking.

Sådan gætter hackere dine kodeord

Mange mennesker har prøvet at få hacket deres kodeord, hvad enten de ved det eller ej. It-kriminelle bruger en del af deres tid på at hacke kodeord, og de har en del måder, de kan gøre det på.

Hvordan kan hackere gætte dit kodeord?

Der er findes forskellige metoder, som hackere kan benytte for at få adgang til dine kodeord. En simpel, men effektiv metode er brute force-angreb.

Brute force-angreb

Et brute force-angreb er et forsøg på at gætte en adgangskode eller brugernavn ved hjælp af en trial and error-tilgang. Det er efterhånden en gammel angrebsmetode, men den er stadig effektiv og populær blandt hackere i dag.

Afhængigt af længden og kompleksiteten af en kode kan det tage lige fra et par sekunder til mange år at gætte koden. Faktisk viser det sig, at nogle hackere går efter de samme adgangskoder eller systemer hver dag i månedsvis og nogle gange også i årevis.

Typer af brute force-angreb

Et brute force-angreb kan både være online og offline.

Online angreb

Et meget simpelt online brute force-angreb foregår ved, at en hacker manuelt indtaster kombinationer af bogstaver, tal og specialtegn i en loginformular.

Hackere bruger her ordbøger som værktøj. De går gennem alle ord i en ordbog og tilføjer tal og specialtegn. Denne simple metode bruges ikke særlig ofte, da den er meget tidskrævende for hackerne.

En anden type online brute force foregår også ved manuel indtastning af adgangskodekombinationer, men kombinationerne er baseret på information, som hackerne har fået gennem tidligere databrud eller cyberangreb.

På the dark web (det "mørke internet") findes der millioner af lækkede adgangskoder og brugernavne, som hackere kan benytte til at hacke andre adgangskoder og konti.

Hackere tjekker også variationer af kodeord, f.eks. ved at prøve med både store og små bogstaver, bøje ord eller skifte et tal ud med et tegn. Hackeren kan også prøve at få adgang til en konto eller et system ved at benytte en almindelig brugt adgangskode på mange forskellige brugernavne.

Et eksempel kan være, at en hacker gerne vil opnå adgang til en bestemt virksomheds konti og prøver “password123” eller "qwerty" på alle medarbejdernes e-mails - der skal bare en enkelt medarbejder, der bruger et meget benyttet kodeord, før hackeren får adgang.

Den sidste type af online brute force-angreb er de to nævnte typer automatiseret. Det betyder, at hackeren bruger et script eller et softwareprogram til at prøve mange hundrede variationer i sekundet. Med flere hundrede forsøg i sekundet kan hackeren lave mange variationer over enkelte passwords.

Hvis man har fået lækket et eller flere af sine passwords, kan man altså ikke nøjes med at lave variationer over de samme passwords.

Offline angreb

Mange tjenester og hjemmesider har en begrænsning på antallet af gange, man kan prøve at logge ind. Der er også mange steder, hvor man skal indtaste en CAPTCHA, når man skal logge ind på en konto.

Denne form for sikkerhedsforanstaltning kaldes "rate limiting" og brute force-angreb er en af årsager til, at mange virksomheder bruger det. Rate limiting gør det sværere for en hacker at anvende automatiseret brute force, da det tager længere tid for dem at tjekke kombinationer.

I sådanne tilfælde kan hackeren benytte sig af offline brute force i stedet. Hackere kan relativt nemt få adgang til kodeord, som er krypterede i hashes. Hashes er resultatet af en hash funktion, som krypterer data og omdanner dataene til tekststrenge.

Når hackeren skal prøve at dekryptere en adgangskode, som er blevet krypteret gennem en hash funktion, kan hackeren ved at indtaste et kodeord og lade det kryptere på samme måde som den ukendt adgangskode se, om de to krypterede tekststrenge passer sammen.

Ved et offline brute force-angreb findes der ikke nogen rate limiting, så hackeren kan i princippet teste flere milliarder forskellige kombinationer i sekundet.

Kan hackere gætte et stærkt kodeord?

Risikoen for få sine adgangskoder stjålet af it-kriminelle gennem brute force-angreb kan nedsættes ved at bruge lange, komplekse og unikke adgangskoder. Men selvom du bruger stærke og sikre kodeord, så er der stadig måder, hvorpå it-kriminelle kan få adgang til dine kodeord.

Keylogging

Keylogging er en teknik, der ofte bruges i målrettede cyberangreb, hvor en hacker enten kender offeret eller er særligt interesseret i offeret.

Hvad er det?

Keyloggere er en type af software, der registrerer dine bevægelser, når du skriver på tastaturet og kan være et særligt effektivt middel til at få personlige oplysninger til vigtige konti som en online bankkonto.

Hvordan virker det?

Keylogging er et lidt sværere cyberangreb at gennemføre, fordi det først kræver adgang til eller kompromittering af offerets enhed med keylogging malware. Hvis det lykkes for en hacker at installere malware på offerets computer, kører keyloggingen med det samme.

Phishing

De fleste hackerangreb starter med en phishing-mail, og det er derfor en effektiv metode til at lokke adgangskoder ud af folk.

Hvad er det?

Phishing er et social engineering-angreb, der forsøger at narre ofre til at opgive deres personlige oplysninger, tit ved at udgive sig for at være en legitim virksomhed, organisation eller offentlig myndighed.

Hvordan virker det?

Den mest udbredte form for phishing er e-mail phishing, der enten indeholder phishing-links til falske hjemmesider eller vedhæftede filer, der indeholder malware.

Når offeret klikker på linket, ledes vedkommende hen til en phishing-hjemmeside, der har en falsk loginformular. De it-kriminelle får adgang til offerets oplysninger, lige så snart offeret indtaster dem.

Hvis offeret downloader en vedhæftet fil, vil der blive installeret malware på vedkommendes computer, hvilket giver de it-kriminelle adgang til hele computersystemet.

Hold styr på alle dine kodeord med en password manager.

Det kan være meget svært at huske mange, komplekse kodeord, og det er derfor en rigtig ide at bruge en password manager.

Password manageren er et software-program, som er designet til at generere stærke kodeord og gemme dem for dig.

Password manageren laver meget komplekse og lange kodeord til alle dine forskellige digitale tjenester. Når du åbner din password manager, kan du tilgå og logge ind på dine forskellige digitale konti. Password managers autoudfylder både adgangskode og brugernavn, når du skal logge ind på en konto.

De bedste password managers er betalte versioner, som f.eks. 1Password eller Lastpass.

Forfatter Sofie Meyer

Kort om forfatteren

Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.

Lignende indlæg