Mayoritas orang menyadari pentingnya kebiasaan keamanan online yang baik. Namun, banyak yang gagal menerapkannya sepenuhnya, membuat mereka rentan terhadap serangan kamus. Meski sadar akan pentingnya melindungi akun mereka, banyak orang yang tidak mengikuti panduan dasar seperti menciptakan kata sandi yang kuat. Faktanya, menurut studi Google, sekitar 65% orang cenderung menggunakan kata sandi yang sama di beberapa akun. Selain itu, 59% orang menggunakan data pribadi dalam kata sandi mereka, seperti nama hewan peliharaan atau tanggal lahir, yang mudah ditebak.
Selain itu, orang-orang sering kali menggunakan kata sandi yang terlalu sederhana dan mudah dibobol. Beberapa studi mengungkapkan bahwa pola seperti “123456” dan “qwerty”, serta frasa seperti “Password”, “iloveyou”, dan “Welcome” adalah kata sandi paling umum dan sering ditemukan dalam insiden kebocoran data.
Akibatnya, serangan kamus menjadi sangat lazim—dan sangat efektif—hanya karena banyak orang tidak serius mencegahnya.
Serangan kamus: Definisi
Serangan kamus pada dasarnya adalah serangan brute force, di mana peretas menebak kata sandi pengguna di akun online mereka dengan menggunakan daftar kata, frasa, serta kombinasi angka yang umum digunakan. Ketika serangan kamus berhasil membobol kata sandi, peretas bisa mengakses berbagai hal seperti rekening bank, profil media sosial, dan bahkan berkas yang dilindungi kata sandi. Pada titik ini, situasinya bisa menjadi masalah serius bagi korban.
Bagaimana cara kerja serangan kamus?
Jenis peretasan ini menggunakan pendekatan sistematis untuk membobol kata sandi. Ada tiga langkah utama dalam melakukan serangan ini, dan memahami prosesnya dapat membantu Anda untuk mencegah serangan kamus.
- Penyerang biasanya membuat daftar kata sandi potensial yang sudah ditentukan sebelumnya—kamus brute force—yang terdiri dari kombinasi kata dan angka yang populer.
- Perangkat lunak otomatis kemudian memanfaatkan kamus brute force ini untuk mencoba masuk dan meretas akun online.
- Setelah serangan kamus berhasil meretas akun tersebut, peretas memanfaatkan data sensitif yang ditemukan untuk kepentingan mereka sendiri. Tujuan peretas bisa berupa penipuan, tindakan jahat, atau keuntungan finansial melalui akses ke akun.
Dalam menyusun daftar kata sandi potensial, peretas sering menggunakan nama hewan peliharaan umum, karakter budaya terkenal, atau tim olahraga dan atlet populer. Ini karena banyak orang menggunakan jenis kata yang memiliki arti dan mudah diingat oleh mereka saat membuat kata sandi. Daftar kata sandi ini sering kali mencakup variasi seperti kombinasi kata yang berbeda atau penambahan karakter khusus.
Menjalankan daftar ini dengan alat otomatis juga membuat serangan kamus lebih mudah berhasil. Penggunaan daftar kata sandi bersama alat otomatis memungkinkan peretas mencoba membobol kata sandi ke akun online dengan lebih cepat. Jika serangan dilakukan secara manual, prosesnya akan terlalu lama dan memberi waktu bagi pemilik akun—atau administrator sistem—untuk menyadarinya dan memperkuat pertahanan.
Karena mekanismenya, serangan kamus biasanya tidak menargetkan individu tertentu. Alih-alih, serangan ini dilakukan dengan harapan salah satu kata sandi dalam daftar akan cocok. Namun, jika penyerang menargetkan tempat atau organisasi tertentu, mereka akan membuat daftar kata yang lebih terfokus dan bersifat lokal. Misalnya, jika serangan dilakukan di Spanyol, alih-alih bahasa Inggris, daftar tersebut mungkin menggunakan kata-kata umum dalam bahasa Spanyol. Atau, jika menargetkan organisasi tertentu, penyerang mungkin akan menggunakan kata yang terkait dengan perusahaan tersebut.
Serangan kamus vs brute force: Apa perbedaannya?
Meskipun peretasan melalui serangan kamus adalah salah satu jenis serangan brute force, ada perbedaan penting di antara keduanya. Serangan kamus menggunakan daftar kata yang telah ditentukan sebelumnya untuk mencoba masuk dan membobol kata sandi akun, sedangkan brute force tidak menggunakan daftar, namun menggunakan kombinasi acak huruf, simbol, dan angka yang mungkin digunakan untuk membuat kata sandi. Oleh karena itu, serangan kamus lebih efisien—dengan tingkat keberhasilan lebih tinggi—karena ada lebih sedikit kombinasi yang perlu dicoba dibandingkan brute force.
Dengan 26 huruf alfabet dan 10 angka satu digit—total 36 karakter— banyaknya kemungkinan kombinasi yang harus dicoba oleh serangan brute force agar berhasil hampir tidak praktis. Sebagai gambaran, dalam serangan brute force untuk meretas kata sandi dengan 10 karakter, ada sekitar 3,76 kuadriliun kemungkinan kombinasi kata sandi alfanumerik yang bisa dicoba.
Di sisi lain, keuntungan serangan brute force adalah lebih mungkin membobol kata sandi yang kompleks dan unik dengan pendekatan coba-coba. Karena serangan brute force mencoba daftar kata sandi yang begitu banyak, ada kemungkinan yang lebih tinggi bahwa serangan ini pada akhirnya akan dapat menemukan kombinasi karakter yang tepat dari kata sandi apa pun.
Cara mencegah serangan kamus
Memahami serangan kamus dan cara kerjanya adalah langkah penting dalam mencegah serangan ini. Tetapi bagi mereka yang serius ingin mencegah serangan kamus, tip berikut ini dapat membantu:
- Hindari penggunaan kata sandi jika memungkinkan: Cara paling sederhana untuk mencegah peretasan melalui serangan kamus adalah dengan menghilangkan penggunaan kata sandi. Sebagai gantinya, gunakan opsi autentikasi tanpa kata sandi atau login biometrik untuk melindungi akun Anda.
- Gunakan kata sandi acak: Hindari membuat kata sandi berdasarkan informasi pribadi seperti tanggal lahir, nama hewan peliharaan, atau informasi lain yang mudah ditemukan. Pengelola kata sandi bisa membantu membuat, menyimpan, dan memasukkan kata sandi dalam format yang aman.
- Jangan gunakan kata sandi yang jelas: Anehnya, banyak orang masih menggunakan kombinasi kata dan angka sederhana, seperti “Password123” atau “abcd1234,” yang mudah diretas. Kombinasi ini adalah yang paling rentan terhadap peretasan karena serangan kamus secara khusus ditujukan untuk membobol kata sandi yang mudah ditebak.
- Pilih frasa sandi: Sebagai alternatif dari kata sandi, buatlah frasa lengkap untuk mengamankan akses ke akun Anda. Frasa lebih sulit ditebak tetapi tetap mudah diingat oleh pengguna. Misalnya, seseorang yang menyukai sepak bola mungkin menggunakan frasa “Saya ingin menjadi gelandang untuk Patriots”. Agar frasa sandi lebih aman, tambahkan angka, karakter, dan huruf besar secara acak, misalnya mengubahnya menjadi "IW@nT2B@L!n3B@ckER4THEPatr!0tS!".
- Gunakan autentikasi dua faktor: Atur akun sehingga setiap login membutuhkan dua (atau lebih) faktor autentikasi. Misalnya, kata sandi, kata sandi sekali pakai yang dihasilkan aplikasi autentikasi, dan sidik jari.
- Coba aplikasi autentikasi: Jika memungkinkan, gunakan aplikasi autentikasi sebagai pengganti atau tambahan kata sandi. Sebagian besar aplikasi ini dapat dengan mudah diunduh ke ponsel dan ditautkan ke akun tertentu, dan menyediakan kata sandi satu kali yang dihasilkan secara acak untuk setiap upaya login.
- Batasi upaya login: Beberapa situs web dan aplikasi kini menerapkan batasan jumlah percobaan login yang diizinkan dalam jangka waktu tertentu. Jika tersedia, aktifkan opsi ini pada setiap akun untuk mencegah peretasan melalui serangan kamus.
- Lakukan reset paksa: Peretasan melalui serangan kamus sering kali bergantung pada beberapa percobaan untuk membobol kata sandi. Kurangi kemungkinan keberhasilan serangan dengan memaksa reset kata sandi setelah sejumlah percobaan gagal dilakukan. Jika opsi ini tidak bisa diaktifkan secara otomatis pada akun Anda, pertimbangkan untuk menerapkan metode manual dengan mengatur agar akun online mengirimkan email kepada Anda jika ada percobaan login yang gagal. Jika Anda menerima notifikasi tentang seseorang yang mencoba mengakses akun Anda, terutama jika notifikasi tersebut tiba secara berurutan, segera login dan ubah kata sandi Anda untuk memastikan keamanan akun.
- Hindari penggunaan kata-kata tertentu: Menghindari penggunaan kata-kata umum dalam semua kata sandi Anda akan menambah lapisan perlindungan ekstra untuk keamanan akun.
Dapatkah pengelola kata sandi membantu mencegah serangan kamus?
Pengelola kata sandi bisa menjadi alat yang berguna untuk mengelola kredensial akun Anda dengan aman dan mengurangi kemungkinan menjadi korban peretasan melalui serangan kamus. Aplikasi seperti Kaspersky Password Manager menawarkan berbagai manfaat untuk menjaga keamanan kata sandi. Berikut adalah beberapa alasan untuk mempertimbangkan penggunaannya:
- Menggunakan hanya satu kata sandi: Dengan pengelola kata sandi, Anda hanya perlu mengingat satu kata sandi master untuk login ke akun Anda dan mengelola login lainnya ke masing-masing akun.
- Menghasilkan kata sandi yang kuat dan acak: Sebagian besar program ini memungkinkan pengguna membuat kata sandi yang sangat kuat dan acak. Karena tidak menggunakan kata atau frasa umum, kata sandi ini biasanya aman dari peretasan melalui serangan kamus. Meskipun tetap saja, serangan brute force bisa berhasil.
- Mendapatkan akses mudah ke akun: Pengelola kata sandi sering kali menyimpan detail login dengan aman untuk masing-masing akun dan secara otomatis mengisi detail tersebut saat Anda mencoba login ke situs web, akun, atau aplikasi.
- Membagikan kata sandi dengan aman: Jika Anda perlu berbagi kata sandi dengan teman, keluarga, atau kolega, pengelola kata sandi memungkinkan Anda melakukannya dengan aman sambil mengelola akses.
- Menggunakan penyimpanan yang aman: Banyak pengelola kata sandi saat ini juga menyediakan kemampuan untuk menyimpan berbagai hal, seperti dokumen pribadi, catatan medis, dan foto dalam format terenkripsi, sehingga data sensitif tetap aman.
Mengambil langkah-langkah untuk mencegah serangan kamus
Peretasan melalui serangan kamus adalah salah satu bentuk kejahatan siber yang sangat umum, di mana peretas mencoba mendapatkan akses ke akun pribadi seseorang, seperti rekening bank, profil media sosial, atau email. Dengan akses ini, peretas dapat melakukan berbagai tindakan berbahaya, mulai dari penipuan finansial hingga posting media sosial yang merugikan, bahkan kejahatan siber lebih lanjut seperti phishing. Namun, pencegahan serangan kamus bisa cukup sederhana, yaitu dengan menerapkan langkah-langkah perlindungan tertentu untuk mengurangi risiko menjadi korban dari serangan ini. Menggunakan kebiasaan pengelolaan kata sandi yang cerdas, mengaktifkan autentikasi berlapis, dan memanfaatkan pengelola kata sandi yang tersedia dapat membantu menjaga keamanan kata sandi dan akun Anda.
Pertanyaan yang sering diajukan tentang serangan kamus
Bagaimana cara kerja serangan kamus?
Ada tiga langkah utama dalam melancarkan serangan kamus. Pertama, peretas menyusun daftar kata sandi potensial menggunakan kata-kata umum atau kombinasi angka, seperti nama, tanggal lahir, atau tim olahraga. Setelah itu, peretas memasukkan daftar tersebut ke perangkat lunak otomatis yang mencoba berbagai kemungkinan kata sandi dengan cepat untuk menemukan yang dapat digunakan meretas akun. Jika serangan berhasil dan kata sandi ditemukan, peretas akan mengeksplorasi akun yang rentan untuk mendapatkan data yang bisa digunakan untuk mencapai tujuan mereka, seperti melakukan transaksi keuangan atau memposting konten berbahaya di media sosial.
Apa perbedaan antara serangan kamus dan serangan brute force?
Serangan kamus pada dasarnya adalah serangan brute force yang lebih terfokus. Serangan kamus menggunakan daftar kata sandi yang telah ditentukan sebelumnya, sementara serangan brute force mencoba setiap kombinasi dari 26 huruf dan 10 angka untuk meretas akun yang rentan. Karena menggunakan "kamus" kata sandi yang sudah ditentukan sebelumnya, serangan kamus biasanya lebih cepat dan sering kali lebih berhasil dibandingkan serangan brute force skala besar.
Bagaimana cara melindungi diri dari serangan kamus?
Meskipun pencegahan total atas serangan kamus mungkin tidak sepenuhnya dimungkinkan, ada banyak langkah yang bisa diambil untuk mengurangi risiko peretasan kata sandi. Penting untuk mengikuti praktik keamanan online dasar, seperti membuat kata sandi yang panjang dan rumit, mengubahnya secara berkala, serta tidak menggunakan kata sandi yang sama di beberapa akun. Anda juga bisa mengambil langkah lebih jauh jika teknologi memungkinkan, seperti menggunakan login biometrik, autentikasi multi-faktor, aplikasi autentikasi, atau membatasi jumlah percobaan login dan memaksa reset kata sandi setelah beberapa kali gagal.
Kaspersky Endpoint Security telah meraih tiga penghargaan AV-TEST dalam kategori kinerja, perlindungan, dan kegunaan terbaik untuk produk keamanan titik akhir perusahaan pada tahun 2021. Setelah diuji seluruhnya, Kaspersky Endpoint Security menunjukkan kinerja, perlindungan, dan kegunaan yang luar biasa untuk perusahaan.
Produk dan Layanan Terkait: