1. Wachtwoorden en Hashes
Goede websites slaan jouw wachtwoord ("Welkom123!") nooit in gewone tekst (plaintext) op in hun database. Als de database dan lekt, zou iedereen jouw wachtwoord kunnen lezen. Wat ze doen heet Hashing.
Een Hash-algoritme (zoals SHA-256) is een wiskundige berekening die van jouw wachtwoord een onleesbare reeks tekens maakt.
Bijv. "Welkom123!" wordt: e1b849...
Het belangrijke aan een hash is dat het éénrichtingsverkeer is. Je kunt "Welkom123!" wél veranderen in die lange code, maar je kunt die lange code nóóit met een formule terugrekenen naar "Welkom123!".
Dus, als een hacker een database steelt vol met hashes, moet hij ze "kraken" door te gokken.
2. Soorten Wachtwoord Aanvallen
- Brute Force: De hacker probeert letterlijk elke mogelijke combinatie (A, B, C... AA, AB... aAaA123). Dit duurt enorm lang voor lange wachtwoorden.
- Dictionary Attack: De hacker gebruikt een grote tekstlijst (woordenlijst) met alle bestaande Nederlandse woorden, namen, en populaire wachtwoorden (zoals '123456' en 'password'). Dit gaat extreem veel sneller.
- Rainbow Tables: Enorme, vooraf berekende databases van alle mogelijke hashes voor miljarden wachtwoorden, bedoeld om direct een antwoord op te zoeken.
3. Online vs Offline Kraken
Er is een groot verschil tussen een "Online" en een "Offline" aanval:
Offline Aanval (Hashcat): Je hebt de wachtwoord-hashes al weten te stelen en lokaal opgeslagen. Je kunt je eigen dure Videokaart (GPU) gebruiken om offline honderden miljoenen pogingen per seconde uit te voeren. Niets stopt je.
4. De Tools (Hashcat & John the Ripper)
Hashcat wordt gezien als de allersnelste password cracker ter wereld. Het gebruikt niet je CPU, maar de rekenkracht van je grafische videokaart (GPU) om wachtwoorden te kraken.
John the Ripper is de meest bekende CPU-kraker, erg populair onder pentesters voor snelle analyses.