Hashcat Uitgelegd: Hoe Wachtwoord-Hashes Gekraakt Worden

8 min Tools

Hoe kan het dat een gestolen database met "versleutelde" wachtwoorden binnen een paar uur op straat ligt in leesbare vorm? Het antwoord heet hashcat: 's werelds snelste password cracker. In dit artikel leer je hoe hashes werken, hoe hashcat ze kraakt, en — belangrijker — hoe je jezelf en je gebruikers hiertegen beschermt. Want wie begrijpt hoe de aanvaller denkt, verdedigt beter.

Gratis: 9 pagina's uit het Pentest Playbook

Leer stap voor stap hoe een echte pentest werkt — van reconnaissance tot rapportage. Geen account, alleen je email.

Download de gratis sample

Wat is een Password Hash?

Als je een account aanmaakt, slaat een goed gebouwde website je wachtwoord nooit letterlijk op. In plaats daarvan wordt je wachtwoord door een hash-functie gehaald. Het resultaat is een vaste reeks tekens die er zo uitziet:

$ echo "password" | md5sum
5f4dcc3b5aa765d61d8327deb882cf99 <- MD5 hash van "password" [TIP] Zelfde invoer = altijd dezelfde hash. Eén letter anders = compleet andere hash.

Drie eigenschappen maken hashes geschikt voor wachtwoord-opslag:

  • One-way - Je kunt van een hash niet terugrekenen naar het wachtwoord
  • Deterministisch - Hetzelfde wachtwoord geeft altijd dezelfde hash, dus de server kan jouw invoer vergelijken
  • Avalanche-effect - "password" en "Password" geven totaal verschillende hashes
Maar wacht — als een hash niet terug te rekenen is, hoe kraakt hashcat hem dan? Simpel: hashcat rekent niet terug, het raadt vooruit. Het probeert miljoenen kandidaat-wachtwoorden, hasht ze allemaal, en kijkt welke hash overeenkomt. Match gevonden? Dan is het wachtwoord bekend.

Wat is Hashcat?

Hashcat is een gratis, open-source password recovery tool die sinds 2009 wordt ontwikkeld. Het ondersteunt meer dan 350 hash-types en is berucht om zijn snelheid: door gebruik te maken van GPU-acceleratie kraakt een high-end videokaart (zoals een NVIDIA RTX 4090) ruim 200 miljard MD5-hashes per seconde. Goedkopere kaarten halen een fractie daarvan, maar zijn nog steeds verrassend snel.

Security professionals gebruiken hashcat voor legitieme doelen:

  • Password audits - Testen hoeveel medewerkers een zwak wachtwoord gebruiken
  • Pentests - Aantonen dat gestolen hashes binnen de afgesproken scope kraakbaar zijn
  • Forensisch onderzoek - Toegang krijgen tot versleuteld bewijsmateriaal (met gerechtelijk bevel)
  • Eigen accounts - Een vergeten wachtwoord van je eigen archief of wallet terughalen

De Vier Aanvalstechnieken

Hashcat kent verschillende aanvalsmodi. Deze vier kom je het vaakst tegen:

1. Dictionary Attack (Wordlist)

De meest gebruikte techniek. Hashcat werkt een lijst met bekende wachtwoorden af — bijvoorbeeld rockyou.txt, een beruchte wordlist met ruim 14 miljoen echte wachtwoorden uit het RockYou-datalek van 2009. Omdat mensen voorspelbaar zijn, kraakt deze aanpak vaak al de helft van een database.

2. Brute Force

Alle mogelijke combinaties proberen: aaa, aab, aac, enzovoort. Gegarandeerd succesvol — uiteindelijk — maar de tijd explodeert met elke extra positie. Een wachtwoord van 8 kleine letters is in minuten gekraakt; 12 willekeurige tekens met symbolen duurt eeuwen.

3. Hybrid Attack

Wordlist plus variaties. Mensen denken slim te zijn met "welkom2024!" — hashcat kent die truc. Rules transformeren elk woord automatisch: password wordt p@ssw0rd, Password1, password2024!, enzovoort.

4. Rainbow Tables

Vooraf berekende tabellen van hash-naar-wachtwoord. Razendsnel bij ongezouten hashes, maar volledig nutteloos zodra een site salts gebruikt — daarover zo meer.

Hashcat in de Praktijk

Je kunt veilig oefenen met hashcat in de HackSimulator.nl terminal. De simulator bevat alleen zwakke demo-hashes, dus je kunt niets kapotmaken. Probeer dit:

$ hashcat 5f4dcc3b5aa765d61d8327deb882cf99
hashcat v6.2.5 - Password Recovery Tool [*] Detecting hash type... MD5 detected [*] Loading wordlist... rockyou.txt (14,344,391 words) [*] Starting attack... [+] HASH CRACKED! Hash: 5f4dcc3b5aa765d61d8327deb882cf99 Password: password Time: 0.02s [TIP] "password" staat in de top 100 meest gebruikte wachtwoorden — direct gekraakt.
Let op de kraaktijd: 0,02 seconden. Niet omdat de computer zo snel is, maar omdat het wachtwoord zo voorspelbaar is. De wordlist-aanval vond het vrijwel meteen. Typ man hashcat in de simulator voor de volledige Nederlandstalige uitleg over hash-types en bescherming.

Waarom het Hash-Type Alles Bepaalt

Niet elke hash is even snel te kraken. Het verschil zit in het algoritme waarmee de site jouw wachtwoord opslaat:

Hash-type Snelheid (high-end GPU) Oordeel
MD5 200+ miljard/sec Onveilig — nooit meer gebruiken
SHA1 100+ miljard/sec Onveilig — verouderd
SHA256 50+ miljard/sec Te snel voor wachtwoorden
bcrypt ~100.000/sec Goed — bewust traag gemaakt
Argon2 ~10.000/sec Beste keuze voor nieuwe systemen

Zie je het patroon? Algoritmes als bcrypt en Argon2 zijn expres traag. Voor één login-poging merk je daar niets van, maar voor een aanvaller die miljarden pogingen nodig heeft, maakt het 't verschil tussen uren en eeuwen.

Salting: de Rainbow Table Killer

Een salt is willekeurige data die per gebruiker aan het wachtwoord wordt geplakt vóór het hashen. Het gevolg: twee gebruikers met hetzelfde wachtwoord krijgen totaal verschillende hashes. Vooraf berekende rainbow tables worden waardeloos en elke hash moet individueel aangevallen worden.

Wil je weten hoe aanvallers wachtwoorden buitmaken vóórdat ze gaan kraken? Lees ons artikel over wachtwoordbeveiliging en hoe hackers kraken — daar behandelen we ook brute force op login-formulieren en credential stuffing.

Ethische en Juridische Grenzen

Password cracking is alleen legaal op hashes waar je expliciete, schriftelijke toestemming voor hebt! Het kraken van gestolen databases of andermans accounts valt in Nederland onder computervredebreuk (artikel 138ab Wetboek van Strafrecht) met straffen tot meerdere jaren cel. "De database stond toch al online" is geen verdediging — ook het gebruik van gelekte gegevens is strafbaar.

De gouden regels:

  1. Eigen hashes of expliciete toestemming - Een pentest-contract of een password audit-opdracht van je werkgever
  2. Blijf binnen de scope - Toestemming voor één systeem betekent niet "alles van het bedrijf"
  3. Rapporteer verantwoord - Gekraakte wachtwoorden deel je nooit letterlijk in een rapport; statistieken zijn genoeg
  4. Oefen in een veilige omgeving - HackSimulator.nl, HackTheBox of TryHackMe

Wil je een echte pentest leren uitvoeren?

Download het Pentest Playbook — van reconnaissance tot rapportage, met beslisbomen bij elke stap.

Download het Playbook

Zo Bescherm je Jezelf (en je Gebruikers)

Alles wat je net hebt geleerd over kraken, vertaalt zich direct naar verdediging:

  • Lengte wint van complexiteit - "fiets!Wolk?Lamp42" (16 tekens) is sterker dan "P@ssw0rd!" (9 tekens). Elke extra positie vermenigvuldigt de brute force-tijd
  • Uniek wachtwoord per site - Eén gelekt wachtwoord mag nooit toegang geven tot je andere accounts
  • Wachtwoordmanager - Bitwarden, 1Password of KeePass genereren en onthouden sterke wachtwoorden voor je
  • 2FA overal - Zelfs een gekraakt wachtwoord is dan niet genoeg om in te loggen
  • Voor developers: bcrypt of Argon2 - Nooit MD5, SHA1 of kale SHA256 voor wachtwoord-opslag, en altijd met salt
  • Check HaveIBeenPwned - Zie of jouw e-mailadres in bekende datalekken voorkomt

Oefenen in HackSimulator.nl

Kraak je eerste hash

Open de simulator en typ hashcat om de demo-hashes te zien. Kraak er een en lees in de output precies waaróm het wachtwoord zwak was. Typ man hashcat voor de volledige Nederlandstalige handleiding, inclusief hash-types en developer best practices.

Start de simulator

Samenvatting

Hashcat kraakt geen hashes door ze "terug te rekenen", maar door slim te raden op industriële schaal. Wat je hebt geleerd:

  • Wachtwoorden worden als hashes opgeslagen: one-way, deterministisch, gevoelig voor elke wijziging
  • Dictionary attacks met wordlists zoals rockyou.txt kraken voorspelbare wachtwoorden in seconden
  • Het hash-algoritme bepaalt de kraaksnelheid: MD5 is hopeloos, Argon2 en bcrypt zijn bewust traag
  • Salts maken rainbow tables nutteloos
  • Lengte, uniciteit en 2FA zijn je beste verdediging

Volgende stap? Lees hoe aanvallers wachtwoorden buitmaken en kraken, ontdek de andere essentiële security tools, of begin bij de basis met wat ethisch hacken precies is.

Nuttige Resources

Vond je dit artikel nuttig?

HackSimulator.nl is een onafhankelijk project — gebouwd door één developer. Met een koffie help je de simulator gratis houden voor iedereen.

Steun met een koffie Of schrijf je in voor updates

Verder Lezen

Tools

Wachtwoordbeveiliging: Hoe Hackers Kraken

Brute force, dictionary attacks en rainbow tables - en hoe je sterke wachtwoorden maakt.

8 min leestijd Tools

5 Essentiële Security Tools

De must-know tools voor elke beginnende ethisch hacker.

8 min leestijd Concepten

Wat is Ethisch Hacken?

White hat vs black hat - leer het verschil en ontdek carrièremogelijkheden in cybersecurity.

8 min leestijd Carrière

Hoe Word je Ethisch Hacker?

Het concrete stappenplan van beginner tot gecertificeerd pentester.

10 min leestijd