Marktkapitalisatie: 24h Vol: BTC: BTC Dom:
Goud: S&P 500: EUR/USD: Olie (BRENT):

Brute Force Attack (BFA)

In de praktijk draait een brute force attack minder om slim gokken en meer om rauwe rekenkracht: software doorloopt kandidaat-wachtwoorden, pincodes of keys razendsnel, soms miljoenen pogingen per seconde, totdat er een raak schot valt. De slaagkans hangt volledig af van de grootte van de ruimte die doorzocht wordt.

Tegen een correct gegenereerde private key van een cryptocurrency is deze methode vrijwel nutteloos. Een standaard key is een 256-bit getal met ongeveer 1,16×10^77 mogelijke waarden, zo groot dat zelfs de snelste supercomputers ter wereld veel langer nodig zouden hebben dan de leeftijd van het universum om alles te doorzoeken. Een typische 12-woorden seed phrase draagt ongeveer 128 bits entropie uit de BIP-39-woordenlijst, eveneens beschouwd als onbreekbaar met huidige of nabije toekomstige hardware.

Echte verliezen die aan "brute forcen" worden toegeschreven, blijken vrijwel altijd terug te voeren op gebrekkige key-generatie in plaats van een doorbroken volledige keyspace. De Profanity vanity-address generator putte bijvoorbeeld keys uit een pool van slechts ongeveer 2^32 mogelijke seeds, klein genoeg om aanvallers private keys te laten reconstrueren voor adressen die het tool had gegenereerd, een zwakte die later in verband werd gebracht met een grote exchange-hack in 2022.

Waar brute force wel een reëel, dagelijks gevaar blijft, is bij accounttoegang, niet bij de cryptografie zelf: exchange-logins, e-mail en custodial platforms. Aanvallers draaien geautomatiseerde wachtwoordlijsten of hergebruiken credentials die uit andere datalekken zijn gelekt (credential stuffing), en spreiden pogingen vaak over veel IP-adressen om rate limits te omzeilen. Twee-factor-authenticatie, login-throttling, CAPTCHA-uitdagingen en accountvergrendeling na herhaalde mislukte pogingen zijn de gangbare tegenmaatregelen.

Voor individuele houders is de praktische verdediging een uniek, voldoende lang wachtwoord per account, hardware-gebaseerde 2FA waar dat beschikbaar is, en het nooit ergens bewaren van een private key of seed phrase waar een gecompromitteerd apparaat of een phishing-poging het zou kunnen blootleggen.