Brute force attack menjadi salah satu jenis ancaman keamanan siber yang masih dilakukan saat ini oleh beberapa kalangan hacker. Tujuan utama brute force ini jelas untuk bisa memasuki akun dan mendapatkan informasi dari akun tersebut.
BSSN atau Badan Siber dan Sandi Negara, menyebutkan setidaknya hingga pertengahan tahun 2023, terdapat serangan brute force di indonesia hingga 50 juta kali, hal ini belum digabung bersama dengan serangan siber lainnya.
Brute force attack sendiri biasanya menyasar beberapa hal seperti, sistem, jaringan, sosial media serta layanan online lainnya yang memerlukan autentikasi password. Serangan siber ini dilakukan oleh para hacker karena kemungkinan keberhasilannya yang paling tinggi diantara serangan siber lainnya.
Lalu apa sebenarnya brute force attack itu, apakah cukup membahayakan bagi sistem dan jaringan kita?, mungkinkah bisa dicegah oleh kita? Mari simak pembahasannya berikut ini.
Apa itu Brute Force Attack?
Brute Force Attack pada dasarnya adalah teknik serangan siber di mana penyerang mencoba semua kemungkinan kombinasi untuk mendapatkan akses ke suatu sistem atau akun. Teknik ini dapat digunakan untuk mencoba mendekripsi kata sandi atau mengakses informasi rahasia dengan mencoba sebanyak mungkin kombinasi yang mungkin.
Dalam konteks keamanan siber, serangan ini dapat ditargetkan pada berbagai tingkatan, termasuk sistem, jaringan, dan akun media sosial. Para penyerang atau hacker biasanya melakukan serangan dengan cara manual dengan mengkombinasikan satu per satu kata sandi untuk memasuki sistem. Pada tahap yang lebih serius, seringkali penyerang menggunakan program otomatis untuk melakukan percobaan login secara masif, mencoba ribuan atau bahkan jutaan kombinasi kata sandi dalam waktu singkat.
Serangan ini terbilang cukup membahayakan karena apabila penyerang sudah memasuki sistem atau akun kita, mereka bisa dengan mudah melakukan berbagai hal yang merugikan seperti mengakses data pribadi, mengubah informasi, atau bahkan mencuri identitas. Ancaman yang ditimbulkan oleh Brute Force Attack tidak hanya bersifat individual, tetapi juga dapat merusak sistem secara menyeluruh.
Tools yang Digunakan Dalam Brute Force
Sebagai informasi dan pengetahuan, ada beberapa tools yang sering digunakan dalam Brute Force Attack. Tools ini dirancang untuk secara otomatis mencoba berbagai kombinasi kata sandi dalam upaya untuk mendapatkan akses ke sistem atau akun. Untuk memberikan sedikit gambaran, berikut pembagian beberapa tools brute force berdasarkan potensi bahaya yang ditimbulkan
Potensi bahaya tinggi
Pada level ini, bahaya yang ditimbulkan dapat mengakibatkan suatu perusahaan mengalami kebocoran sistem keamanan dan jaringan, karena tools ini mempunyai kelebihan dalam seranganya yang bersifat massal. Contoh tools dalam kategori ini adalah
- Aircrack-Ng
- THC Hydra
Potensi bahaya menengah
Pada level ini cenderung memiliki tingkat keefektifan yang tetap tinggi namun tidak sekuat tools pada level bahaya tinggi. Mereka masih dapat mengakibatkan kerugian serius jika digunakan dengan tepat oleh para penyerang yang terampil. Contoh tools pada kategori ini meliputi:
- John The Ripper
- L0phtcrack
- Hashcat
- Brutus
Potensi bahaya rendah
Pada level ini, tools cenderung kurang agresif dan mungkin memerlukan lebih banyak waktu untuk mencoba kombinasi. Meskipun demikian, mereka masih dapat menjadi ancaman potensial jika digunakan oleh penyerang yang memiliki pengetahuan yang memadai. Contoh tools dalam kategori ini meliputi:
- Ophcrack
- Rainbow Crack
- Ncrack
- Medusa
Sebagai catatan, penggunaan tools pada serangan ini tidak hanya berdasarkan fungsionalitasnya, tetapi juga berdasarkan tingkat kemahiran penyerang dan konteks dimana tools tersebut digunakan, sehingga tingkat bahaya juga bisa berubah berdasarkan tingkat kemahiran penyerang atau hacker.
Metode yang Digunakan Dalam Brute Force
Pada praktiknya, para hacker biasanya melakukan berbagai cara dalam brute force attack. Metode-metode ini mencakup berbagai pendekatan untuk mencoba kombinasi kata sandi dengan harapan mendapatkan akses ke sistem atau akun. Metode tersebut diantaranya:
Simple Brute Force Attacks
Dalam metode ini. Para hacker melibatkan percobaan semua kemungkinan kombinasi kata sandi satu per satu hingga kombinasi yang benar ditemukan. Meskipun metode ini sangat langsung, tetapi bisa memakan waktu yang sangat lama terutama jika kata sandi yang dicari kompleks.
Dictionary Attacks
Dengan Dictionary attack, para hacker menggunakan daftar kata atau “dictionary” yang berisi kombinasi kata-kata yang umum digunakan, nama-nama, atau kata sandi yang lemah. Kemudian, tools tersebut mencoba setiap kata dari daftar tersebut.
Hybrid Brute Force Attacks
Hybrid brute force attacks menggabungkan pendekatan simple brute force dengan dictionary attack. Pada metode ini para hacker akan mencoba kombinasi kata sandi dari daftar kata-kata umum dan secara bersamaan mencoba semua kemungkinan kombinasi.
Reverse Brute Force Attack
Berbeda dengan tipe lainnya, dalam reverse brute force attack, para penyerang atau hacker telah mengetahui kata sandi korbannya atau menggunakan password yang paling umum. Pelaku kemudian mencari berbagai kemungkinan usernames yang cocok dengan kata sandi tersebut.
Credential Stuffing
Metode ini menggunakan kombinasi nama pengguna dan kata sandi yang telah diambil dari aktivitas hacking sebelumnya. Kemudian, hacker mencoba menggunakan kombinasi tersebut pada berbagai situs web atau layanan karena banyak orang menggunakan kata sandi yang sama untuk beberapa akun.
Cara mudah Menghindari Brute Force
Setelah mengetahui beberapa hal tentang brute force attack, mulai dari tools dan metode yang digunakan para hacker. Tentunya langkah yang harus dilakukan adalah mencoba melakukan pencegahan atau menghindari terjadinya ancaman siber tersebut.
- Untuk menghindari serangan ini setidaknya ada beberapa cara mudah yang bisa dilakukan diantaranya yaitu
- Kombinasikan huruf, simbol, dan angka untuk meningkatkan kompleksitas password.
- Jaga panjang karakter password agar semakin tinggi, membuat akun sulit untuk diretas.
- Gunakan kata sandi yang berbeda untuk setiap akun, hindari penggunaan kata sandi yang sama di berbagai platform.
- Hindari pola kata sandi umum dan informasi mudah ditebak seperti nama atau tanggal lahir.
- Manfaatkan password manager (contoh: Dashlane, RoboForm, LastPass) untuk membuat dan menyimpan kata sandi yang unik.
- Terapkan account lockout policy untuk melindungi akun pengguna dengan mengunci akun setelah beberapa percobaan login yang gagal.
- Maksimalkan penggunaan CAPTCHA untuk memerlukan autentikasi tambahan sebelum login, menghalangi upaya login otomatis oleh bot.
- Gunakan multi-factor authentication (MFA) sebagai lapisan keamanan tambahan, mewajibkan proses identifikasi lanjutan seperti sidik jari atau kode khusus.
Cara cara ini tentunya bisa dilakukan tanpa adanya keahlian khusus, dan pastinya akan memberikan keamanan yang lebih daripada sebelumnya.
Ditulis Oleh : Rian Jakawardana
