Apa Itu Serangan Brute Force?
Serangan brute force menggunakan metode coba-coba untuk menebak informasi login, kunci enkripsi, atau menemukan halaman web tersembunyi. Peretas mencoba semua kemungkinan kombinasi kata kunci dan berharap bisa menebak dengan benar.
Serangan ini menggunakan metode ‘brute force’ yang berarti mereka menggunakan upaya paksa untuk berusaha 'menjebol' akun pribadi Anda.
Ini metode lama, tetapi masih efektif dan populer bagi para peretas. Karena bergantung pada panjang dan kompleksitas kata sandi, waktu pembobolannya bisa bervariasi dari beberapa detik hingga bertahun-tahun.
Apa yang diperoleh peretas dari Serangan Brute Force?
Pelaku brute force membutuhkan upaya keras supaya bisa berhasil. Meski teknologi bisa mempermudahnya, mungkin Anda masih bertanya-tanya: mengapa seseorang harus berupaya keras untuk melakukannya?
Berikut keuntungan peretas dari serangan brute force:
- Mendapatkan keuntungan dari iklan atau mengumpulkan data aktivitas
- Mencuri data pribadi dan berkas berharga
- Menyebarkan malware untuk menimbulkan gangguan
- Membajak sistem Anda untuk melakukan aktivitas berbahaya
- Merusak reputasi situs web
Mendapatkan keuntungan dari iklan atau mengumpulkan data aktivitas.
Peretas bisa mengeksploitasi sebuah situs web serta situs web lainnya untuk memperoleh uang komisi iklan. Berikut cara populer untuk melakukannya:
- Memasang iklan spam di situs web yang sering dikunjungi untuk menghasilkan uang setiap kali iklan diklik atau dilihat pengunjung.
- Mengalihkan lalu lintas sebuah situs web ke iklan tempat peretas mendapatkan komisi.
- Menginfeksi situs web atau pengunjungnya dengan malware pelacak aktivitas — biasanya spyware. Data dijual kepada pengiklan tanpa seizin Anda untuk membantu mereka meningkatkan pemasaran.
Mencuri data pribadi dan berkas berharga.
Membobol akun online bisa seperti membobol brankas bank: mulai dari rekening bank hingga informasi perpajakan yang bisa dilihat secara online. Yang dibutuhkan hanyalah pembobolan yang tepat bagi penjahat untuk mencuri identitas, uang, atau menjual data pribadi Anda demi keuntungan. Terkadang, basis data sensitif dari seluruh organisasi bisa diekspos dalam pembobolan data perusahaan.
Menyebarkan malware untuk menimbulkan gangguan demi malware itu sendiri.
Jika seorang peretas ingin menimbulkan masalah atau mempraktikkan keahliannya, mereka mungkin akan mengalihkan lalu lintas sebuah situs web ke situs web berbahaya. Atau mereka bisa langsung menginfeksi situs web dengan malware tersembunyi untuk diinstal ke komputer pengunjung.
Membajak sistem Anda untuk melakukan aktivitas berbahaya.
Jika sebuah mesin tidak cukup, peretas bisa memanfaatkan sekumpulan perangkat yang tidak mencurigakan, yaitu botnet, untuk mempercepat upaya mereka. Malware bisa menyusup ke komputer, perangkat seluler, atau akun online Anda untuk melakukan spam phishing, serangan brute force canggih, dan sebagainya. Jika Anda tidak memiliki sistem antivirus, Anda lebih berisiko terkena infeksi.
Merusak reputasi situs web.
Jika Anda mengelola situs web dan menjadi sasaran vandalisme, penjahat siber mungkin akan menginfeksinya dengan konten cabul. Bisa saja berupa teks, gambar, dan audio kekerasan, pornografi, atau konten rasial.
Jenis-Jenis Serangan Brute Force
Masing-masing serangan brute force bisa menggunakan berbagai metode untuk mengungkap data sensitif. Anda bisa saja terkena salah satu metode serangan brute force yang populer berikut:
- Serangan Simple Brute Force
- Serangan Kamus (Dictionary Attack)
- Serangan Hybrid Brute Force
- Serangan Reverse Brute Force
- Credential Stuffing
Serangan simple brute force: Peretas berupaya untuk menebak kredensial Anda secara wajar — tanpa bantuan perangkat lunak atau alat lain sama sekali. Cara ini bisa membobol kata sandi dan PIN sederhana. Misalnya, kata sandi “guest12345”.
Serangan kamus (Dictionary attack): dalam serangan standar, peretas akan memilih sebuah target dan mencoba segala kata sandi yang ada untuk nama penggunanya. Cara ini dikenal dengan sebutan serangan kamus (dictionary attack). Serangan kamus merupakan alat paling mendasar dalam serangan brute force. Meski belum tentu merupakan serangan brute force, serangan ini kerap menjadi komponen penting dalam membobol kata sandi. Sebagian peretas menelusuri kamus lengkap dan menambah kata-kata dengan angka dan karakter khusus atau menggunakan kamus kata-kata khusus, tetapi jenis serangan berurutan ini sangat kompleks.
Serangan hybrid brute force: para peretas menggabungkan sarana dari luar dan tebakan-tebakan wajar untuk melakukan pembobolan. Serangan hybrid biasanya menggabungkan serangan kamus dan serangan brute force. Serangan ini digunakan untuk mencari tahu kata sandi kombinasi yang menggabungkan kata-kata umum dan karakter acak. Contoh serangan brute force semacam ini seperti NewYork1993 atau Spike1234.
Serangan reverse brute force: seperti namanya, serangan ini membalikkan strategi dengan memulainya dari kata sandi yang telah dikenali. Lalu peretas mencarinya di jutaan nama pengguna sampai ada kecocokan. Sebagian besar penjahat ini memulainya dari kata sandi yang telah bocor dan tersedia secara online dari hasil pembobolan data sebelumnya.
Credential stuffing: jika peretas mengetahui kombinasi nama pengguna dan kata sandi yang memang digunakan di satu situs web, mereka akan mencobanya di banyak situs web lainnya. Karena para pengguna diketahui sering menggunakan informasi login yang sama di banyak situs web, mereka menjadi sasaran empuk serangan ini.
Alat-Alat Bantu Upaya Brute Force
Menebak-nebak kata sandi pengguna atau situs web tertentu bisa memakan waktu lama. Jadi, peretas telah mengembangkan alat-alat untuk lebih cepat menyelesaikannya.
Alat otomatis bisa membantu serangan brute force. Alat ini menggunakan tebakan kilat yang dirancang untuk membuat kata sandi yang mungkin digunakan, lalu mengisinya. Perangkat lunak brute force bisa menemukan satu kata sandi dari kamus setiap detik.
Alat-alat semacam ini memiliki solusi terprogram untuk:
- Mengatasi banyak protokol komputer (seperti FTP, MySQL, SMTP, dan Telnet)
- Memungkinkan peretas membobol modem nirkabel.
- Menemukan kata sandi lemah
- Mendekripsikan kata sandi dalam penyimpanan terenkripsi.
- Menafsirkan kata-kata ke dalam leetspeak, misalnya "don'thackme" menjadi "d0n7H4cKm3".
- Menjalankan segala kemungkinan kombinasi karakter.
- Mengoperasikan serangan kamus.
Sebagian alat memindai tabel pelangi prakomputasi untuk mencari input dan output fungsi hash yang telah diketahui. “Fungsi hash” ini merupakan metode enkripsi berbasis algoritme yang digunakan untuk menafsirkan kata sandi menjadi serangkaian huruf dan angka yang panjang dan konsisten. Dengan kata lain, tabel pelangi menghilangkan bagian tersulit dari serangan brute force untuk mempercepat proses.
Upaya Brute Force Berkecepatan GPU
Diperlukan banyak daya komputasi komputer untuk menjalankan perangkat lunak kata sandi brute force. Sayangnya, peretas telah menemukan solusi dari perangkat keras untuk mempermudah pekerjaan ini.
Penggabungan CPU dan Unit Pemrosesan Grafis (GPU) untuk mempercepat daya komputasi. Dengan menambahkan ribuan inti komputasi dalam GPU untuk pemrosesan, sistem ini bisa menangani banyak tugas sekaligus. Pemrosesan GPU digunakan untuk melakukan analisis, rekayasa, dan penerapan lainnya yang memerlukan banyak daya komputasi. Peretas yang memanfaatkan metode ini bisa membobol kata sandi sekitar 250 kali lebih cepat daripada sebuah CPU saja.
Jadi, berapa lama waktu yang dibutuhkan untuk membobol sebuah kata sandi? Sebagai perbandingan, kata sandi yang terdiri dari enam karakter yang menggunakan angka memiliki sekitar 2 miliar kemungkinan kombinasi. Membobolnya dengan CPU kuat dengan pengujian 30 kata sandi per detik membutuhkan waktu lebih dari dua tahun. Dengan menambahkan satu kartu GPU kuat di satu komputer, pengujian 7.100 kata sandi per detik bisa dilakukan dan pembobolan kata sandi akan berhasil dalam 3,5 hari.
Langkah-Langkah untuk Melindungi Kata Sandi bagi Para Profesional
Untuk menjaga keamanan diri dan jaringan, Anda perlu mengambil tindakan pencegahan dan membantu orang lain melakukannya juga. Baik perilaku pengguna maupun sistem keamanan jaringan perlu diperkuat.
Sebaiknya pakar TI dan pengguna mengikuti beberapa anjuran ini:
- Gunakan nama pengguna dan kata sandi yang kompleks. Lindungi diri dari peretas menggunakan kredensial yang lebih kuat dari admin dan password1234. Makin kuat kombinasi kata sandinya, makin sulit bagi siapa pun untuk membobolnya.
- Hapus akun dengan izin khusus yang tidak lagi digunakan. Ini ibarat pintu masuk siber yang kuncinya lemah sehingga mudah dibobol. Akun terabaikan bisa menjadi kerentanan yang tidak boleh ditanggung risikonya. Singkirkan secepatnya.
Setelah memahami dasar-dasarnya, Anda tentu ingin meningkatkan keamanan dan mengajak para pengguna untuk ikut serta.
Mulai dari hal yang bisa Anda lakukan di titik akhir, lalu kami akan memberikan kiat-kiat untuk membentuk kebiasaan yang aman.
Perlindungan Pasif Titik Akhir untuk Kata Sandi
Tingkat enkripsi tinggi: untuk menghambat serangan brute force, administrator perlu memastikan kata sandi sistem dilindungi dengan tingkat enkripsi setinggi mungkin, seperti enkripsi 256 bit. Makin besar bit dalam skema enkripsi, makin sulit untuk membobol kata sandi.
Salt the hash: administrator juga perlu mengacak hash kata sandi dengan menambahkan serangkaian huruf dan angka acak (disebut salt) ke kata sandinya. Rangkaiannya wajib disimpan di basis data terpisah, diambil, dan ditambahkan ke kata sandi sebelum di-hash. Dengan melakukan salt terhadap hash, para pengguna dengan kata sandi yang sama akan memiliki hash yang berbeda.
Autentikasi dua faktor (2FA): selain itu, administrator mungkin membutuhkan autentikasi dua langkah dan menginstal sistem pendeteksian intrusi untuk mendeteksi serangan brute force. Sehingga pengguna perlu melakukan login tambahan menggunakan faktor kedua, seperti kunci keamanan USB atau pemindaian biometrik sidik jari.
Batasi jumlah login berulang: pembatasan jumlah upaya login juga bisa mengurangi kerentanan terhadap serangan brute force. Misalnya, memberikan tiga kali percobaan memasukkan kata sandi dengan benar sebelum mengunci penggunanya selama beberapa menit, bisa menyebabkan penundaan yang cukup lama sehingga peretas beralih ke target yang lebih mudah.
Pemblokiran akun setelah terlalu banyak percobaan login: jika peretas bisa terus mengisi kata sandi, meski ada penguncian sementara, mereka bisa kembali mencobanya. Pemblokiran akun dan permintaan agar pengguna menghubungi bagian TI untuk membuka blokiran, akan mencegah pembobolan ini. Pengatur waktu penguncian singkat bisa memudahkan pengguna, tetapi kemudahan bisa menjadi kerentanan. Untuk menyeimbangkannya, Anda mungkin memerlukan pemblokiran lama jika ada terlalu banyak login gagal setelah pemblokiran singkat.
Penghambatan laju login berulang: Anda bisa memperlambat serangan peretas dengan menghasilkan jeda untuk setiap upaya login. Jika login gagal, pengatur waktu bisa menolak login hingga waktu singkatnya berlalu. Ini akan memberikan waktu jeda kepada tim pemantau waktu nyata Anda untuk menemukan dan menghentikan ancaman ini. Mungkin sebagian peretas akan berhenti mencoba jika penantiannya tidak sepadan.
Pemintaan Captcha setelah upaya login berulang: verifikasi manual bisa mencegah robot membobol data. Ada berbagai jenis Captcha, termasuk mengetik ulang teks dalam gambar, mencentang kotak, atau mengidentifikasi objek dalam gambar. Apa pun jenis yang digunakan, Anda bisa menggunakannya sebelum login pertama dan setelah setiap upaya gagal untuk memberikan perlindungan lebih.
Gunakan daftar penolakan IP untuk memblokir penyerang yang telah diketahui. Pastikan daftar ini terus diperbarui oleh pengelolanya.
Perlindungan Kata Sandi oleh Tim TI Aktif
Pendidikan kata sandi: perilaku pengguna sangat menentukan keamanan kata sandi. Beri edukasi kepada pengguna untuk melakukan praktik aman dan menggunakan alat-alat yang bisa membantu mereka menjaga kata sandi. Dengan layanan seperti Kaspersky Password Manager, pengguna bisa menyimpan kata sandi kompleks yang sulit dihafal di “brankas” terenkripsi, alih-alih mencatatnya di notes tempel yang tidak aman. Karena pengguna cenderung mengorbankan keselamatan demi kenyamanan, harap bantu mereka memiliki peralatan praktis supaya tetap aman.
Pantau akun secara waktu nyata untuk aktivitas janggal: Lokasi login janggal, upaya login berlebihan, dsb. Usahakan temukan kecenderungan aktivitas janggal dan ambil tindakan untuk memblokir calon penyerang secara waktu nyata. Waspadai pemblokiran alamat IP dan penguncian akun. Hubungi pengguna untuk menentukan apakah aktivitas tersebut sah (jika terlihat mencurigakan).
Bagaimana Cara Pengguna Memperkuat Kata Sandi Terhadap Serangan Brute Force
Sebagai pengguna, Anda bisa melakukan banyak hal demi perlindungan di dunia digital. Pertahanan terbaik dari pembobolan kata sandi adalah menjadikannya sekuat mungkin.
Serangan brute force mengandalkan waktu untuk membobol kata sandi. Jadi, Anda perlu memperlambat serangan ini semaksimal mungkin, karena jika peretas membutuhkan waktu terlalu lama untuk melakukan pembobolan… biasanya mereka akan menyerah dan melupakannya.
Berikut beberapa cara untuk memperkuat kata sandi dari serangan brute force:
Kata sandi panjang dengan jenis karakter yang bervariasi. Jika memungkinkan, pengguna harus memilih kata sandi 10 karakter dengan simbol atau angka. Cara ini akan menciptakan 171,3 kuintiliun (1,71 x 1020) kemungkinan. Jika menggunakan prosesor GPU dengan kemampuan 10,3 miliar hash per detik, pembobolan kata sandi ini akan membutuhkan waktu sekitar 526 tahun. Meski komputer super bisa membobolnya dalam beberapa minggu. Jadi, menggunakan lebih banyak karakter akan membuat kata sandi makin sulit dibobol.
Frasa sandi yang rumit. Tidak semua situs web menerima kata sandi panjang. Artinya Anda harus memilih frasa sandi yang rumit daripada kata-kata tunggal. Serangan kamus dibuat khusus untuk frasa kata tunggal sehingga pembobolan mudah dilakukan. Frasa sandi — kata sandi yang terdiri dari beberapa kata atau segmen — harus disertai karakter tambahan dan jenis karakter khusus.
Buat aturan untuk menciptakan kata sandi. Kata sandi terbaik adalah kata sandi yang bisa Anda ingat, tetapi tidak bisa dipahami orang lain yang membacanya. Jika ingin menggunakan frasa sandi, pertimbangkan untuk menggunakan kata-kata yang terpotong, seperti mengganti “wood” dengan “wd” sehingga hanya Anda yang memahami rangkaian katanya. Contoh lainnya bisa berupa penghilangan huruf vokal atau penggunaan hanya dua huruf pertama dari setiap kata.
Jangan gunakan kata sandi yang sering digunakan. Sebaiknya jangan gunakan kata sandi umum. Ubahlah kata sandi secara berkala.
Gunakan kata sandi unik untuk setiap situs web yang digunakan. Supaya tidak menjadi korban credential stuffing, jangan gunakan kembali kata sandi Anda. Jika Anda ingin meningkatkan keamanan, gunakan juga nama pengguna yang berbeda di setiap situs web. Untuk mencegah pembobolan akun lainnya jika salah satu akun Anda diretas.
Gunakan pengelola kata sandi. Penginstalan pengelola kata sandi akan mengotomatiskan pembuatan dan pengawasan informasi login Anda secara online. Sehingga Anda bisa mengakses semua akun Anda dengan terlebih dahulu masuk ke pengelola kata sandi. Anda bisa membuat kata sandi yang sangat panjang dan rumit untuk semua situs yang dikunjungi, menyimpannya dengan aman, dan hanya perlu mengingat satu kata sandi utama.
Jika ingin tahu, “berapa lama waktu yang dibutuhkan untuk membobol kata sandi saya”, Anda bisa menguji kekuatan frasa sandi di .
Kaspersky Internet Security menerima dua penghargaan AV-TEST dalam kategori kinerja & perlindungan terbaik untuk produk keamanan internet pada tahun 2021. Dalam semua pengujian, Kaspersky Internet Security menunjukkan kinerja dan perlindungan yang luar biasa dari ancaman siber.
Produk yang Direkomendasikan:
