Brute force adalah sebuah metode trial-and-error yang dilakukan aplikasi untuk dapat ‘membaca’ atau menebak informasi login seperti username dan password dan kemudian mendapatkan akses untuk masuk ke suatu akun/sistem/website.
Jenis-Jenis Brute Force
Meski memiliki fungsi yang sama, ternyata brute force attack memiliki beberapa jenis yang membedakan yakni langkah-langkahnya.
- Credential stuffing–serangan akan dilakukan ketika akun pengguna telah disusupi oleh dan cracker akan mencoba kombinasi username dan password di berbagai platform sistem.
- A reverse bruce attack–menggunakan password pengguna yang telah diketahui dan mencoba menebak beberapa kemungkinan nama pengguna. Korbannya adalah pengguna jaringan yang datanya sudah dimiliki sebelumnya.
- A dictionary attack–merupakan jenis lain dari serangan brute force, yang menggunakan semua kata dari kamus dan dites satu per satu untuk menemukan password. Cracker juga menambahkan kombinasi angka maupun simbol untuk meretas password yang lebih panjang.
Jenis lain dari brute force adalah menggunakan password yang sering digunakan seperti password, 12345678, qwerty, atau urutan password yang lain.
Mengenal Beberapa Brute Force Attack Tools
Untuk meluncurkan serangan brute force, cyber criminal sering menggunakan sejumlah alat yang membantu mereka memverifikasi dan mencoba kombinasi kata sandi yang berbeda. Beberapa dari mereka adalah
1. Aircrack-ng
Aircrack-ng adalah alat peretasan yang digunakan untuk meretas kata sandi wifi. Dalam prosesnya, alat ini melakukan serangan berbasis kamus. Oleh karena itu, keberhasilan serangan akan sangat dipengaruhi oleh efektivitas alat kamus kata sandi. Aircrack-ng berfungsi di perangkat Windows, Linux, iOS, dan Android.
2. Ophcrack
Ophcrack adalah alat berbasis papan pelangi yang dirancang khusus untuk meretas kata sandi perangkat Windows. Alat ini hanya dapat menembus kata sandi yang kurang dari 14 karakter dan menggunakan karakter alfanumerik.
3. John the Ripper
John the Ripper adalah salah satu alat peretasan paling populer dan dapat digunakan pada lima belas platform sistem operasi; termasuk Unix, Windows, OpenVMS, DOS dan BeOS. Alat ini mampu menggabungkan teks dan angka, serta melakukan serangan berbasis kamus.
4. THC Hydra
THC hydra dapat digunakan untuk melakukan serangan kamus terhadap lebih dari 30 protokol berbeda; termasuk HTTP, HTTPS, Telnet, FTP, SMB, SMTP, RDP, dll. Alat ini juga mendukung beberapa sistem operasi termasuk Linux, Windows, MacOS, Solaris, OpenBSD dan QNX.
5. L0phtCrack
Tidak hanya Ophcrack, L0phtCrack juga mampu meretas password perangkat Windows. Perbedaannya adalah alat ini dapat meluncurkan serangan dengan metode yang berbeda; dari serangan kamus, tabel pelangi hingga serangan hibrida.
Selain lima alat di atas, peretas dapat mengirim serangan brute force menggunakan perangkat lunak lain; termasuk Rainbow Crack, Hashcat, DaveGrohl, Brutus, Ncrack dan Medusa.
Cara Mencegah Brute Force Attack
Inilah cara membuat akun kamu lebih aman dan tidak terlalu rentan terhadap serangan brute force:
1. Buat kombinasi kata sandi yang rumit
Tujuan utama serangan brute force adalah menggunakan kata sandi yang lemah. Semakin lemah kata sandi yang kamu gunakan, semakin mudah bagi peretas untuk mengambil alih akun kamu.
Kamu dapat mulai menghindari penggunaan kata sandi yang lemah. Misalnya, dengan menggunakan hingga karakter yang berbeda. Gunakan kata sandi yang unik dan berbeda untuk setiap akun.
2. Batasi jumlah login
Serangan kekerasan bekerja dengan coba-coba, yaitu mencoba untuk memecahkan kata sandi dengan masuk beberapa kali hingga kata sandi yang benar digunakan.
Untuk menghindari hal ini, kamu dapat menetapkan batas jumlah koneksi ke akun kamu. Misalnya, kamu membatasi login akun kamu hanya 3 kali. Jadi ketika seseorang memaksa kamu untuk masuk ke akun kamu lebih dari 3 kali, akun kamu dapat diamankan secara instan.
3. Pantau aktivitas login
Untuk mencegah login yang mencurigakan, kamu dapat memantau aktivitas login di situs web kamu secara berkala.
Jadi, jika login paksa berulang kali, kamu dapat segera mengambil tindakan pencegahan untuk mengamankan akun kamu. Ada beberapa opsi plugin pencatatan aktivitas untuk situs web, seperti WP Activity Log.
4. Gunakan Captcha
Beberapa metode brute force attack memanfaatkan kecanggihan komputer untuk melakukan aksinya. Oleh karena itu, verifikasi manual harus dilakukan untuk mencegah “bot” mencoba mengakses akun kamu.
Captcha memiliki berbagai macam jenis mulai dari captcha teks, captcha gambar, captcha audio dan masih banyak lagi pilihan lainnya. kamu dapat menampilkan captcha saat pertama kali masuk atau saat tidak dapat masuk untuk mengamankan akun kamu.
5. Maksimalkan pengamanan dengan 2FA
Otentikasi dua faktor atau 2FA adalah metode pengamanan kredensial akun dengan menggunakan verifikasi dua langkah. Menggunakan keamanan 2FA, setiap login akan selalu membutuhkan verifikasi dari 2 perangkat. Dan ketika aktivitas login yang mencurigakan terjadi, seperti serangan brute force, kamu akan segera menyadarinya dan dapat langsung mengamankan akun kamu.
Lindungi Diri Kamu dari Brute Force Attack
Setelah mengetahui apa itu brute force attack dan bahayanya terhadap sistem dan jaringan, kamu semakin memahami pentingnya melindungi diri dari ancaman yang ditimbulkan oleh serangan tersebut.
Tindakan pencegahan untuk menjaga keamanan sistem dan jaringan kamu. Beberapa di antaranya adalah:
– Tingkatkan kompleksitas password dengan mengkombinasikan huruf, simbol, dan angka;
– Perhatikan panjang password yang dibuat. Semakin panjang karakter yang digunakan, semakin sulit akun kamu untuk diretas;
– Sebaiknya, gunakan kata sandi yang berbeda untuk setiap akun;
– Hindari menggunakan pola kata sandi yang umum serta menuliskan informasi yang mudah ditebak (seperti nama dan tanggal lahir);
– Manfaatkan aplikasi password manager untuk membuat dan menyimpan kata sandi yang unik dan kuat untuk setiap akun.
– Beberapa opsi software yang dapat dipertimbangkan adalah Dashlane, RoboForm, LastPass, 1Password, dan Zoho Vault;
– Terapkan account lockout policy untuk mengunci akun pengguna dalam jaringan kamu jika terdeteksi gagal memasukkan kata sandi beberapa kali;
– Maksimalkan captcha untuk menerapkan proses autentikasi tambahan sebelum log in;
– Menggunakan multifactor authentication adalah sebuah keharusan. Dengan metode ini, akun kamu akan dibekali dengan layer keamanan berlapis, yakni dengan menerapkan proses identifikasi lanjutan—seperti memindai sidik jari, memasukkan kode khusus, atau berbagai metode lainnya.