Untuk melindungi website dari serangan attacker, kita perlu mengetahui metode serangan apa saja yang mungkin bisa terjadi. Dan sebagai pemilik website, kita perlu aware terhadap serangan-serangan ini, agar website kita selalu aman.
Pada artikel ini, kami akan membahas salah satu serangan yang menargetkan akses login atau credential dengan metode brute force attack.
Apa itu Brute Force Attack?
Brute force adalah metode peretasan yang menggunakan trial and error untuk memecahkan kata sandi, kredensial login, dan kunci enkripsi. Peretas mencoba mengirimkan banyak kata sandi atau frasa sandi dengan harapan dapat menebak dengan benar.
Tipe Brute Force
Secara umum, brute force attack terbagi atas beberapa type berikut:
Serangan Brute Force Sederhana
Peretas mencoba menebak kredensial login pengguna secara manual tanpa menggunakan perangkat lunak. Serangan ini sederhana karena banyak orang masih memakai kata sandi yang lemah. Sebagai contohnya “abcdefg” atau “password123”, atau menggunakan kata sandi yang sama untuk beberapa situs web.
Metode Kamus
Metode kamus atau “dictionary attack” dilakukan dengan menelusuri kamus dan mengubah kata dengan karakter dan angka khusus. Jenis serangan ini biasanya memakan waktu dan memiliki peluang keberhasilan yang rendah dibandingkan dengan metode serangan yang lebih baru dan lebih efektif.
Brute Force Hybrid
Serangan brute force hybrid yaitu menggabungkan serangan brute force sederhana dengan metode serangan kamus. Dimulai dari logika eksternal untuk menentukan variasi kata sandi mana yang paling mungkin berhasil, dan kemudian dilanjutkan dengan pendekatan sederhana untuk mencoba banyak kemungkinan variasi.
Reverse Brute Force
Metode ini menggunakan kata sandi umum atau kumpulan kata sandi terhadap banyak kemungkinan username. Menargetkan jaringan pengguna yang datanya telah diperoleh penyerang sebelumnya.
Pada metode ini, penyerang mencoba satu kata sandi terhadap beberapa nama pengguna. Bayangkan jika kamu tahu kata sandi tetapi tidak tahu nama pengguna. Dalam hal ini, kamu dapat mencoba kata sandi yang sama dan menebak nama pengguna yang berbeda hingga kamu menemukan kombinasi yang cocok.
Credential Stuffing
Penyerang mengumpulkan kombinasi nama pengguna dan kata sandi yang telah dicuri, yang kemudian mereka uji di situs web lain. Pendekatan ini mungkin saja berhasil jika orang menggunakan kombinasi nama pengguna dan kata sandi yang sama atau menggunakan kembali kata sandi untuk berbagai profil media sosial atau beberapa situs web.
Metode Rainbow Table
Metode rainbow table adalah metode brute force attacks yang paling unik.
Hacker tidak menebak password, tapi melakukan dekripsi proteksi hasil-hasil enkripsi dari sebuah password. Metode ini lebih berpeluang memberikan password yang akurat.
Cara Mencegah Serangan Brute Force
Nah, setelah mengetahui apa itu brute force attack, mari pelajari cara mencegahnya. Ini dia langkahnya:
1. Buat Kombinasi Password yang Rumit
Kalau kamu masih menggunakan password “123456” atau tanggal lahir, segeralah ganti password tersebut karena terlalu umum dan mudah ditebak. Hacker akan mudah mengetahuinya dengan serangan dalam waktu singkat.
Bagaimana membuat password yang kuat? Gabungkan huruf kapital, huruf kecil, simbol, dan angka yang tidak berurutan. Jangan lupa untuk membuat password minimal 8 karakter.
Semakin kuat password kamu, semakin sulit hacker menebak password tersebut.
2. Mengatur Limit Login
Limit login akan membatasi seberapa banyak percobaan login bisa dilakukan. Hal ini cukup membantu dalam menghindari serangan. Sebab, setelah beberapa percobaan, login akan terkunci beberapa waktu.
Ini tentu menyulitkan upaya peretasan karena akan memakan waktu lebih lama.
Limit login memberi kebebasan kamu untuk mengatur tingkat keamanannya berapa banyak percobaan yang dilakukan atau berapa lama login dikunci.
3. Gunakan Captcha
Untuk mengamankan website dari brute force attack, kamu dapat menggunakan captcha (Completely Automated Public Test to Tell Computers and Humans Apart).
Sistem ini akan membantu memastikan bahwa login dilakukan oleh pengguna yang berwenang, bukan oleh sebuah program komputer yang dirancang hacker untuk membobol sistem.
Dengan captcha yang aktif, ketika login,kamu tak hanya mengisi username dan password saja, tapi juga captcha. Captcha hanya bisa dipahami oleh visual manusia. Jadi robot/program komputer tidak akan bisa tahu isinya.
Awalnya, captcha hanya berupa huruf dan angka random. Namun, saat ini telah berkembang, ada yang berupa penjumlahan dan mencocokan gambar.
4. Manfaatkan Two Factor Authentication
Two Factor Authentication (2FA) adalah upaya mencegah brute force attack dengan menggunakan konfirmasi dari perangkat lain. Jadi, diperlukan otentikasi dua kali untuk bisa login dengan akun kamu, yaitu password dan kode khusus.
Dengan 2FA yang diaktifkan, kamu akan mendapatkan kode otentikasi setiap kali login. Biasanya kode akan kamu terima lewat nomor telepon kamu atau email.
Keuntungan menggunakan 2FA adalah kamu akan mendapat informasi adanya aktivitas login yang dilakukan. Selain itu, tanpa kode dari kamu, tak seorang pun bisa melanjutkan upaya login.
Serangan brute force adalah upaya yang sangat merugikan baik bagi pemilik website atau bahkan pengunjung/pengguna website tersebut. Bayangkan jika website kamu diretas, kemudian hacker mencuri data penting atau menyisipkan halaman phising, tentu akan mengundang kerugian yang lebih besar, bukan?
Oleh karena itu, cegahlah brute force attack sebelum hal buruk terjadi pada website atau layanan kamu.
Sumber
