Mengenal Bahaya Brute Force Attack dan Cara Menghindarinya
Brute force attack adalah salah satu topik yang cukup sering menjadi perbincangan terkait dengan keamanan WordPress. Bagaimana tidak, serangan ini populer sebagai teknik cracking password paling populer untuk meretas password.
Peretas biasanya menggunakan teknik serangan ini agar mendapat akses tidak sah ke dalam sistem. Selain brute force attack, serangan lain yang sering dilakukan antara lain seperti dictionary attack, hybrid, dan lain- lain.
Teknik cracking password ini umumnya membutuhkan waktu cukup lama. Waspadalah, karena umumnya serangan ini mempunyai tingkat keberhasilan yang cukup tinggi.
Apa itu Brute Force Attack?
Brute force attack adalah teknik serangan yang dilakukan peretas untuk bisa masuk ke sebuah sistem dengan cara pembobolan password. Untuk melakukannya, peretas akan mencoba berbagai kata sandi sampai menemukan pola yang tepat.
Peretas biasanya menggunakan algoritma dengan menggabungkan huruf, angka, dan simbol untuk menghasilkan kombinasi password yang tepat. Misalnya saja menggunakan serangkaian kata yang predictable, seperti rangkaian kata ‘p@SSword’, atau merangkai kata admin menjadi ‘@dm!n’.
Brute force attack sekilas lebih sederhana dari jenis serangan lain, namun mempunyai tingkat keberhasilan tinggi. Mereka biasanya mempunyai daftar rangkaian kata dalam jumlah banyak untuk menebak kemungkinan password.
Serangan ini bisa memakan waktu beberapa menit, beberapa hari, atau bahkan beberapa bulan. Ini tergantung dari seberapa kuat password pengguna. Itulah mengapa user selalu disarankan untuk menggunakan jenis password yang tidak mudah ditebak oleh para hacker, demi keamanan.
Metode Serangan Brute Force Attack dan Tujuannya
Brute force attack dilakukan untuk berbagai tujuan. Diantaranya adalah sebagai berikut :
- Mendapatkan password atau informasi lain yang untuk mengakses sebuah akun atau sistem.
- Mendapatkan credential atau informasi penting yang akan dijual ke pihak ketiga.
- Menyamar sebagai pemilik akun asli dan mengirim link phishing.
- Mengubah konten sebuah website dengan tujuan merusak reputasi sebuah brand, organisasi, atau perusahaan.
Untuk mengenal lebih jauh tentang brute force, Panda akan membagikan teknik– teknik hacker dalam membobol kata sandi seseorang. Antara lain adalah :
Dictionary Attack
Dalam teknik dictionary attacks, peretas mempunyai daftar kata sandi umum yang biasa digunakan pengguna. Peretas akan menggunakan daftar ini untuk membobol akun seseorang.
Beberapa contoh kata sandi dalam dictionary attack, misalnya “password”, “admin”, “qwerty”, atau “123456”. Keempat jenis kata sandi ini sangat lemah dan predictable, sehingga potensi untuk dibobol sangat lah besar.
Reverse Brute Force Attacks
Serangan reverse brute force attack adalah jenis serangan brute force dimana penyerang mempunyai daftar kata sandi umum yang telah bocor dan digunakan untuk mencoba beberapa nama pengguna dalam upaya mendapat akses ke jaringan.
Dalam kasus ini, hacker sudah mengantongi nama password kita dan tinggal mengkombinasi berbagai kata untuk menemukan username kita. Tujuannya, hacker ingin mendapatkan akses ke situs web, mencuri data, atau bahkan melakukan serangan tambahan.
Credential Stuffing/ Credential Recycling
Ada banyak pengguna yang menggunakan username dan kata sandi yang sama untuk beberapa akun. Pengguna melakukan ini salah satunya agar tidak perlu mengingat kata sandi untuk berbagai akun.
Kebiasaan ini adalah sasaran empuk untuk para hacker. Saat mereka berhasil mengetahui satu kata sandi dan username, mereka akan mencoba masuk ke akun yang lain dengan password yang sama.
Hal yang Kerap Dilakukan Hacker kepada Korban Brute Force Attack
Apa yang terjadi selanjutnya jika sudah menjadi korban Brute Force Attack?
Meski ini bukan yang kita inginkan, kita perlu mengetahui apa saja yang terjadi setelah serangan terjadi.
1. Injeksi Malware
Hacker yang berhasil menyusup ke dalam website bisa menimbulkan injeksi malware. Dalam hal ini, hacker akan menyusupkan malware ke website dan sistem.
Malware ini bisa berupa banyak hal, seperti ransomware yang dapat memeras korban, virus yang bisa menginfeksi program komputer, hingga aplikasi berbahaya yang bisa mengintai data pengguna.
2. Spamvertising
Spamvertising adalah periklanan melalui media spam. Tindakan ini sangat mengganggu karena hacker kerap memanfaatkan metode ini untuk masuk ke dashboard website atau aplikasi.
Langkah selanjutnya, hacker akan mendapatkan keuntungan berupa uang dari iklan spam yang terpasang secara ilegal.
3. Deface
Deface adalah teknik serangan dengan mengubah tampilan website. Peretas yang berhasil masuk ke sistem website biasanya akan meninggalkan jejak dengan cara mengganti tampilan konten. Tindakan ini tentu sangat merugikan untuk pengunjung website maupun pemilik situs itu sendiri.
Cara Menghindari Brute Force Attack
Brute force attack adalah tindakan yang merugikan, siapa pun korbannya. Maka dari itu, agar terhindar dari serangan ini, ada beberapa hal yang bisa kita lakukan.
Antara lain adalah sebagai berikut :
1. Menggunakan Kombinasi Kata Sandi yang Kuat
Trik dasar untuk menghindari pembobolan akun adalah menggunakan kombinasi kata sandi yang unik dan kuat. Baik itu di media sosial, email, atau akun login untuk website bisnis.
Kata sandi unik dan kuat yang disarankan disini adalah menggunakan kombinasi password huruf dan angka atau alfanumeric dengan jumlah karakter lebih dari 6. Semakin panjang password, maka akan semakin baik.
Menggunakan info login dan password yang kuat akan membuat hacker kesulitan menembus celah keamanan karena membutuhkan eksekusi lebih lama, serta komputasi yang jauh lebih kompleks.
2. Mengatur Limit Login
Brute force attack adalah teknik serangan menggunakan database kata- kata umum yang sering digunakan oleh admin website. Sistem ini menggunakan logika penyusunan karakter/ huruf dan mencobanya dengan kombinasi berulang.
Saat Anda mengatur limit login, halaman login secara otomatis akan terkunci saat ada aktivitas mencurigakan. Hasilnya, situs menjadi lebih aman dari serangan peretas.
3. Cookies Authenticator
Cookies authenticator juga bisa menjadi trik andalan untuk meningkatkan keamanan website. Tool ini bekerja mengidentifikasi cookies pada device pengguna saat mengakses halaman login.
Dengan begitu, cookie akan melakukan proses otentikasi terhadap user yang statusnya valid dan invalid.
4. Menggunakan Captcha atau OTP
Captcha adalah sebuah challenge atau tes dalam perkomputeran untuk memastikan jawaban tidak dihasilkan oleh sebuah tool generator. Tes ini bermanfaat untuk mengamankan sistem dari serangan brute force attack.
Captcha paling populer digunakan dalam bentuk kata acak atau kata yang dikaburkan. Untuk memastikan pengguna bukan robot, pengguna harus menuliskan jawaban yang benar ke dalam sebuah kotak isian.
Selain Captcha, metode login yang aman juga kini menggunakan metode OTP atau One Time Password. Pengguna akan mendapatkan notifikasi kode OTP ke device saat sistem ini aktif. Dengan begitu, pengguna bisa login ke sistem dengan aman.
OTP ini bersifat privat dan credential. Artinya, pengguna tidak boleh memberitahu kode OTP ini kepada siapapun, bahkan termasuk petugas resmi perusahaan.
Kesimpulan
Brute force attack adalah serangan sederhana nan berbahaya untuk sebuah akun website. Teknik ini bisa menyerang siapa saja, dan bila tidak jeli, kita bisa menjadi salah satu korbannya.
Itulah mengapa setiap hal yang berkaitan dengan akun, akses, atau keamanan website, pengguna wajib memastikan keamanan aksesnya. Selalu gunakan kata sandi yang kuat dan manfaatkan fitur yang tersedia untuk meningkatkan sistem keamanan website.
Sebagai penutup, Panda akan memberikan sedikit resume FAQ yang berkaitan langsung dengan artikel ini.
Brute force attack adalah metode serangan yang dilakukan peretas agar bisa masuk ke sebuah sistem dengan cara pembobolan password.
Ada beberapa teknik yang digunakan hacker dalam melancarkan serangan ini. Mulai dari dictionary attack, reverse brute force attack, hingga credential stuffing.
Ada beberapa tips yang bisa kita gunakan untuk menghindari serangan ini. Mulai dari penggunaan kombinasi kata sandi yang kuat, mengatur limit login, cookies authenticator, hingga penggunaan captcha dan OTP. Simak ulasan lebih lengkapnya di artikel PandaGila.com ini.