Apa itu Brute Force Attack dan Bagaimana Cara Anda Mencegahnya?

Device hacking the computer through internet
Klik di sini untuk lihat rangkuman singkat
Apa itu Brute Force Attack? Penjelasan Singkat

Brute force attack adalah upaya untuk menebak username atau kata sandi melalui percobaan. Perangkat lunak brute force mencoba untuk log in ke sebuah layanan menggunakan ribuan, atau bahkan jutaan, kombinasi karakter. Beberapa brute force attack lebih rumit. Mereka menggunakan informasi lama yang diretas sebagai dasar percobaan brute force.

Jika ingin melindungi diri dari jenis serangan ini, berikut hal yang perlu dilakukan:

  1. Gunakan kata sandi yang lebih panjang dan rumit.
  2. Pasang autentikasi multi-faktor.
  3. Langganan layanan pengelola kata sandi. Kami sarankan 1Password. Layanannya aman dan terjangkau.
Kunjungi 1Password

Jika Anda ingin cari tahu lebih lanjut tentang cara kerja brute force attack, dan cara melindungi diri, baca artikel lengkap kami di bawah ini.

Apa Anda pernah penasaran cara peretas mendapat kata sandi dari korban yang sedang tidak curiga? Caranya tidak selalu dengan mengekploitasi kelemahan keamanan platform besar. Kadang, caranya sesederhana mencoba beragam kombinasi huruf dan angka. Ini yang dilakukan brute force attack.

Brute force attack adalah upaya percobaan untuk menebak informasi login pengguna, artinya username dan kata sandi mereka. Upaya ini didasari pada sebuah algoritme yang menggunakan kamus atau daftar kemungkinan kredensial. Algoritmanya akan mencoba beragam variasi sampai menemukan login yang berhasil.

Ini ide dasarnya – tapi brute force attack modern jauh lebih rumit. Bagaimana cara kerjanya? Dan bagaimana Anda bisa melindungi diri dari brute force attack?

Bagaimana Cara Kerja Brute Force Attack?

Dalam bentuknya yang paling sederhana, upaya brute force akan mencoba untuk menebak kombinasi username dan kata sandi. Berikut cara peretas biasanya melakukan hal tersebut:

  1. Dengan menghasilkan kemungkinan kredensial, mereka akan memberi instruksi alat brute force attack untuk menghasilkan kombinasi kredensial di antara parameter yang telah ditentukan, seperti panjang kata sandi yang lebih dari enam simbol.
  2. Perangkat lunak akan membuat daftar (yang sangat) panjang berisi kombinasi. Jumlahnya bisa mencapai triliunan.
  3. Alat brute force attack akan mencoba untuk log in ke sebuah layanan spesifik dengan setiap kombinasi kredensial individu. Keseluruhan proses ini butuh waktu berhari-hari, berminggu-minggu, atau berbulan-bulan, bahkan dengan komputer yang kuat.

Jika sebuah kombinasi kredensial bisa membuka akun, brute force attack berhasil dan peretas punya akses ke akun tersebut.

Beragam Jenis Upaya Brute Force

Penjelasan di atas menggambarkan upaya brute force hipotesis. Namun pada nyatanya, brute force attack sederhana biasanya tidak cukup untuk meretas sebuah akun. Sering kali, brute force attack yang berhasil membutuhkan kombinasi beragam jenis upaya. Kami telah mencantumkannya di bawah ini.

Infographic showing the types of Brute force attempts

1. Brute force attack dasar

Upaya dasar untuk meretas akun orang-orang dilakukan dengan daftar kredensial yang dihasilkan. Perangkat lunak seperti Hydra menghasilkan kombinasi kredensial, yang lalu bisa dicoba sebagai username dan kata sandi di beragam platform. Namun, jenis upaya brute force ini tidak terlalu efektif — dan alasannya bisa mudah terlihat.

Total jumlah kombinasi huruf, angka, dan simbol dalam string enam karakter bisa jadi triliunan. Tambahkan ke sensitivitas huruf besar dan fakta bahwa ada banyak kata sandi yang lebih dari enam karakter di dalamnya, dan Anda akan menyadari masalahnya. Bahkan untuk komputer, jumlah kombinasi acaknya sangat banyak untuk dicoba.

Singkat kata, brute force attack dasar ini tidak akan terlalu membantu peretas.

2. Brute force attack hybrid

Brute force attack hybrid menambahkan peraturan logis ke proses penghasilan kredensial. Peretas mungkin membuat daftar username umum dan hanya mencoba menghasilkan kredensial untuk kata sandi, contohnya.

Contohnya seorang peretas ingin masuk ke area admin untuk sebuah situs kecil. Dibanding menghasilkan simbol untuk username, mereka akan membuat daftar pilihan seperti “admin,” “office,” dan nama pemilik situs.

Perangkat lunak hanya akan berusaha untuk memenuhi kotak username dengan pilihan dari daftar tersebut. Untuk kotak kata sandi, alatnya akan menggunakan brute force attack dasar untuk mencoba banyak kombinasi untuk mendapat kata sandi yang tepat.

3. Reverse brute force attack

Reverse brute force attack akan menggunakan kata sandi umum, seperti “12345” atau “password,” lalu menghasilkan username sampai menemukan yang cocok dengan kata sandi tersebut. Tentunya, peretas juga bisa menggabungkan reverse brute force attack dengan pendekatan hybrid supaya lebih efisien.

Reverse brute force attack biasanya dilakukan pada aplikasi atau situs yang telah diketahui banyak informasinya oleh peretas.

4. Dictionary attack

Dictionary attack adalah seperti versi serangan biasa yang ditingkatkan. Dibanding menggabungkan semua karakter, dictionary attack merotasi string dan frasa yang biasanya digunakan dalam kredensial. Semua pola yang umumnya digunakan akan dikumpulkan dalam sebuah kamus, lalu digunakan untuk upaya login. Contohnya adalah nama-nama untuk kotak user dan rangkaian nomor untuk kotak kata sandi.

Upaya dictionary brute force punya tingkat keberhasilan yang lebih tinggi, tapi mereka lebih sulit disiapkan. Semakin banyak informasi yang bisa ditambahkan peretas ke dalam kamus, semakin bagus (dan berbahaya).

5. Daur ulang kredensial

Salah satu upaya brute force paling efektif adalah mendaur ulang kredensial. Hal ini tejadi saat peretas memulai upaya brute force mereka menggunakan kumpulan data kredensial curian yang mereka dapat dari tempat lain, sering kali dark web.

Jika seorang peretas membeli bot dari Genesis Market, contohnya, beberapa kredensial mungkin sudah tidak bekerja. Mereka lalu bisa menggunakan brute force untuk mencoba kata sandi baru untuk username yang sudah mereka ketahui.

6. Rainbow table brute force attack

Rainbow table brute force attack sedikit lebih rumit dibanding rata-rata brute force attack Anda. Untuk memahaminya, kami perlu memberikan sedikit latar belakang.

Situs bisa menyimpan kata sandi kita dengan tiga cara:

  • Teks biasa yang cukup berbahaya, karena pelanggaran akses apapun bisa berakibat pada hilangnya kredensial.
  • Teks terenkripsi yang lebih bagus, tapi tidak sempurna, karena teks terenkripsi bisa juga dibuka enkripsinya. Prosesnya berjalan dua arah.
  • Hash yang hanya berfungsi satu arah: Anda bisa meng-hash sebuah string teks biasa, tapi Anda tidak bisa mengubahnya kembali ke teks biasa. Ini artinya, secara teori, hash adalah metode sempurna untuk menyimpan kredensial.

Sayangnya, dalam prakteknya, hash tetap bisa dibuka enkripsinya — dan ini fokus dari rainbow table brute force attack. Sebagian besar algoritma hashing (program yang mengubah kata sandi teks biasa menjadi hash) dioptimalkan untuk bekerja sangat cepat, sehingga mereka bisa menghitung input sebanyak mungkin. Dengan memanfaatkan cacat rancangan ini, peretas tetap bisa mencoba semua kata sandi di dunia sebagai hash, sampai mereka menemukan yang tepat.

Untuk melakukannya secara efisien, peretas menggunakan rainbow table. Ini merupakan daftar hash yang telah dihitung sebelumnya yang mewakili kata sandi yang sering digunakan, seperti “password,” “1234,” atau “qwerty.” Jika Anda punya kata sandi yang lemah seperti itu, kemungkinannya lebih besar bagi Anda untuk menjadi korban brute force attack, bahkan saat kata sandi Anda di-hash. Namun, karena mereka membutuhkan lebih banyak pengetahuan dalam bidang kriptografi, mereka tidak umum digunakan.

Apa Bahaya dari Brute Force?

Brute force attack membahayakan privasi dan keamanan orang-orang di seluruh dunia. Mereka lebih marak terjadi dibanding yang Anda pikirkan. Pada tahun 2021, 23% perusahaan yang dilacak oleh Verizon melaporkan adanya brute force attack.

Saat peretas berhasil melakukan upaya brute force, hal ini bisa menyebabkan banyak masalah. Untuk individu, konsekuensinya bisa mencakup:

  • Konten spam yang diunggah pada profil media sosial mereka.
  • Kehilangan akses ke akun yang diretas.
  • Pelanggaran akses ke data dan percakapan pribadi.
  • Penyebaran perangkat lunak berbahaya atau penipuan melalui daftar kontak seseorang.

Saat brute force attack menyasar akun developer, konsekuensinya akan jauh lebih buruk. Anda mendapat semua efek negatif di atas — dikalikan dengan jumlah pengguna di aplikasi atau situs developer tersebut.

Cara Mencegah Brute Force Attack

Jika Anda mengutamakan privasi dan ingin terlindungi dari upaya brute force, berikut beberapa hal yang bisa Anda lakukan:

Infographic showing examples of how to prevent Brute force attacks

  • Buat kata sandi yang lebih panjang. Semakin panjang kata sandinya, semakin sulit untuk ditebak melalui brute force. Setiap upaya brute force berdasarkan penghasilan kredensial membutuhkan panjang untuk kata sandi yang mereka hasilkan. Jika kata sandi Anda lebih panjang dari, contohnya, 15 atau 20 karakter, kemungkinannya kecil bahwa serangan bahkan akan menyasar Anda.
  • Buat kata sandi yang lebih rumit. Jika Anda menggunakan beragam jenis karakter dalam kata sandi Anda, termasuk huruf, angka, dan simbol, akan lebih sulit bagi peretas untuk menebaknya, bahkan saat mereka menggunakan algoritma.
  • Jangan gunakan satu kata sandi untuk lebih dari satu layanan. Dengan begitu, jika peretas menyasar salah satu akun Anda, pelaku kejahatan tidak bisa menggunakan informasi yang sama untuk mendapat akses ke akun lainnya.
  • Aktifkan autentikasi multi-faktor. Ini merupakan lapisan perlindungan tambahan di akun Anda yang mengharuskan adanya verifikasi kedua sebelum Anda bisa log in — contohnya dengan memasukkan kode yang Anda terima melalui teks. Dengan autentikasi multi-faktor, bahkan jika seorang peretas menebak kata sandi Anda, mereka tidak bisa langsung mendapat akses ke akun Anda.
  • Gunakan pengelola kata sandi. Jika Anda tidak ingin buang waktu membuat kata sandi yang panjang dan kompleks untuk semua akun Anda, layanan pengelola kata sandi dapat melakukannya. Layanan ini akan memungkinkan Anda untuk menggunakan kata sandi yang lebih baik tanpa harus mengingatnya semua. Kami pribadi menyarankan 1Password, karena layanannya aman dan sangat ramah konsumen.

Tingkat keamanan online Anda

Bahkan dengan kata sandi terbaik, kredensial Anda tetap rentan diakses. Hal-hal seperti kampanye phishing dan serangan man-in-the-middle selalu mungkin terjadi. Jika kredensial Anda diretas dengan cara lain, mereka bahkan bisa digunakan untuk upaya brute force pengisian kredensial. Ini alasan kenapa penting untuk meningkatkan keamanan online Anda secara keseluruhan.

Jika ingin tetap terlindungi di internet, Anda sebaiknya hati-hati saat menekan tautan yang tidak dikenal, curigai individu tidak dikenal yang menghubungi Anda, dan hindari aplikasi atau situs yang mencurigakan.

Selain itu, kami juga menyarankan penggunaan aplikasi keamanan khusus. Aplikasi yang akan menjamin tingkat keamanan online yang lebih tinggi adalah VPN yang bagus dan antivirus yang bisa diandalkan. Hal ini akan mengamankan koneksi dan melindungi Anda dari malware dan virus yang tidak diinginkan.

Hal yang Perlu Dilakukan Saat Anda Jadi Sasaran Brute Force Attack

Sulit untuk menyadari bahwa Anda sedang menjadi sasaran brute force attack. Indikator kuatnya adalah jika Anda mendapat banyak email dari platform bahwa upaya login telah terjadi di saat Anda tidak mencoba untuk log in. Namun terlepas dari itu, Anda mungkin bahkan tidak akan sadar adanya upaya serangan sampai setelah akun Anda sudah berhasil diretas.

Berikut hal yang bisa Anda lakukan saat Anda menjadi sasaran dari brute force attack:

  • Hubungi platform tempat akun Anda terdaftar. Jika Anda beruntung, seorang perwakilan akan membantu Anda membekukan akun Anda. Jika akun sudah diretas dan Anda tidak dapat memulihkannya, mereka mungkin akan menghapus akun tersebut supaya tidak ada yang berpura-pura sebagai Anda.
  • Ubah kata sandi Anda. Jika Anda masih punya akses ke akun Anda, pastikan untuk mengubah kata sandi ke sesuatu yang lebih unik dan aman. Hal ini akan mengurangi kemungkinan brute force attack berhasil menebak kredensial Anda.
  • Pasang autentikasi multi-faktor jika belum. Hal ini akan memastikan bahwa, bahkan jika upaya brute force berhasil, peretas tidak akan bisa mendapat akses ke akun Anda.

Mengingat brute force attack bisa digunakan untuk menyasar siapapun, tidak ada cara pasti untuk menjamin Anda tidak akan menjadi target. Namun, dengan perubahan kata sandi secara rutin dan tips lainnya di atas, Anda bisa mengurangi kemungkinan brute force attack berhasil mengakses akun Anda.

Perlindungan Brute Force untuk Developer

Jika Anda mengelola sebuah aplikasi atau situs yang menyimpan informasi login, penting untuk mengambil beberapa langkah upaya melindungi pengguna Anda dari upaya brute force. Berikut beberapa praktek terbaik untuk membatasi upaya brute force pada platform Anda:

  • Batasi upaya login. Dengan begitu, brute force attack akan butuh waktu yang lebih lama pada situs Anda. Sebagian besar peretas akan menyerah untuk bahkan mencoba brute force attack pada situs yang punya jumlah percobaan login terbatas.
  • Aktifkan captcha di halaman login Anda. Kami paham hal ini mungkin mengganggu beberapa pengguna, tapi captchas (popup yang meminta Anda untuk “membuktikan Anda bukan robot”) adalah salah satu metode yang paling bisa diandalkan untuk mencegah brute force attack.
  • Pasang one-time password (OTPs). OTP adalah kata sandi sekali pakai yang dibutuhkan untuk log in ke layanan atau melakukan verifikasi transaksi. Mereka biasanya digunakan di bidang keuangan. Ini bukan cara yang paling ramah konsumen untuk mengamankan platform online, tapi jika Anda berurusan dengan data sensitif (contohnya, jika Anda punya startup Fintech) ini hal yang patut dipertimbangkan.

Lindungi diri Anda dari jenis kejahatan cyber lainnya dengan membaca sumber kami tentang serangan watering hole, man-in-the-middle, swatting, dan banyak hal lain.

Brute Force Attack: FAQ

Kami harap artikel kami menjawab semua pertanyaan Anda tentang brute force attack. Jika Anda masih ingin tahu hal lain, cek bagian FAQ kami di bawah ini.

Brute force attack adalah upaya peretasan yang menggunakan perangkat lunak khusus untuk menebak kredensial pengguna. Perangkat lunaknya akan mengambil karakter dari kamus, atau daftar kredensial, lalu memasukkannya ke halaman login. Jika Anda ingin cari tahu lebih lanjut tentang cara kerjanya dan cara melindungi diri dari jenis serangan ini, cek artikel kami tentang brute force attack di sini.

Sayangnya, brute force attack bekerja. Di tahun 2021, 23% perusahaan yang disurvei Verizon melaporkan upaya brute force pada sistem mereka. Meskipun begitu, brute force attack butuh waktu yang sangat lama untuk berhasil meretas kredensial akun. Hal ini ini akan mempersulit keadaan, khususnya penjahat cyber yang tidak punya komputer kuat. Jika Anda ingin cari tahu lebih lanjut tentang brute force attack, baca artikel kami yang berjudul “Apa itu Brute Force Attack dan Bagaimana Cara Mencegahnya?”.

Bayangkan ada penjahat cyber yang ingin meretas akun melalui situs e-commerce kecil yang punya sedikit upaya keamanan. Mereka akan menggunakan perangkat lunak seperti Hydra untuk menghasilkan kombinasi kredensial. Lalu, perangkat lunaknya akan memasukkan kombinasi tersebut ke halaman login situs e-commerce. Saat kombinasinya berhasil log in (mohon diingat, ini butuh waktu berminggu-minggu atau berbulan-bulan), maka alatnya akan memberi tahu penjahat cyber, dan penjahat cyber akan mendapat akses.

Ya, di sebagian besar kasus, brute force attack termasuk ilegal. Peretas etis mungkin mengupayakan brute force attack untuk mengungkap eksploitasi keamanan. Ini biasanya terjadi pada platform internal perusahaan. Namun, brute force attack yang berusaha mencuri kredensial seseorang termasuk dalam aktivitas ilegal.

International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.
Kumpulkan sebuah komentar
Kumpulkan sebuah komentar