Di dunia siber ada beberapa cara untuk meretas kata sandi, di antaranya ada beberapa yang sangat berbahaya. Berikut adalah cara mengatasi 3 teknik pembobol kata sandi paling berbahaya.
Kata sandi jarang dihargai hingga terjadi pelanggaran keamanan; cukup untuk mengatakan, pentingnya kata sandi yang kuat menjadi jelas hanya ketika dihadapkan dengan konsekuensi dari kata sandi yang lemah.
Namun, sebagian besar pengguna akhir tidak menyadari betapa rentannya kata sandi mereka terhadap metode pembobolan kata sandi yang paling umum. Berikut ini adalah tiga teknik umum untuk membobol kata sandi dan cara mempertahankan diri darinya.
|
Baca juga: Peretas Membobol Kata Sandi |
Serangan Brute Force
Serangan brute force adalah teknik yang mudah tetapi sangat efektif untuk membobol kata sandi. Serangan ini melibatkan pelaku jahat yang menggunakan alat otomatis untuk secara sistematis mencoba setiap kemungkinan kombinasi kata sandi melalui upaya login berulang kali.
Meskipun alat tersebut telah ada selama bertahun-tahun, munculnya daya komputasi dan penyimpanan yang terjangkau telah membuatnya semakin efisien saat ini, terutama ketika kata sandi yang lemah digunakan.
Cara kerjanya
Dalam hal serangan brute force, pelaku jahat menggunakan berbagai taktik, mulai dari serangan brute force sederhana yang menguji setiap kemungkinan kombinasi kata sandi hingga pendekatan yang lebih bernuansa seperti serangan brute force hybrid dan reverse.
Setiap metode memiliki strategi tersendiri, tetapi motif di balik serangan brute force sama: untuk mendapatkan akses tidak sah ke data atau sumber daya yang dilindungi.
Beberapa alat otomatis populer untuk melakukan serangan brute force meliputi:
- John the Ripper: peretas kata sandi multiplatform dengan dukungan untuk 15 sistem operasi berbeda dan ratusan jenis hash dan sandi
- L0phtCrack: alat yang menggunakan tabel pelangi, kamus, dan algoritme multiprosesor untuk memecahkan kata sandi Windows
- Hashcat: utilitas peretasan/pemulihan kata sandi yang mendukung lima mode serangan unik untuk lebih dari 300 algoritme hash yang sangat dioptimalkan
Langkah-langkah pertahanan
Pengguna harus memilih kata sandi yang kuat dan kompleks serta autentikasi multifaktor (MFA) untuk melindungi dari serangan brute force.
Administrator harus menerapkan kebijakan penguncian akun dan terus mengaudit lingkungan Windows mereka untuk kata sandi yang lemah dan dilanggar. Alat seperti Specops Password Auditor dapat mengotomatiskan proses ini di seluruh lingkungan TI yang luas.
|
Baca juga: Panduan Kata Sandi |
Serangan Kamus
Dalam serangan kamus kata sandi, penyerang siber mencoba mendapatkan akses dengan menggunakan daftar kata sandi umum atau kata-kata dari kamus.
Daftar kata yang telah ditentukan sebelumnya ini biasanya mencakup kata-kata, frasa, dan kombinasi sederhana yang paling sering digunakan (misalnya, “admin123”).
Serangan kamus kata sandi menggarisbawahi pentingnya kata sandi yang kompleks dan unik, karena jenis serangan ini sangat efektif terhadap kata sandi yang lemah atau mudah ditebak.
Cara kerjanya
Prosesnya dimulai dengan menyusun daftar kata sandi potensial dari pelanggaran data, daftar kata sandi umum, atau sumber daya yang tersedia untuk umum.
Dengan menggunakan alat otomatis, pelaku kejahatan melakukan serangan kamus, menguji setiap kata sandi secara sistematis terhadap akun atau sistem target. Jika ditemukan kecocokan, peretas dapat memperoleh akses dan melakukan serangan atau gerakan berikutnya.
Langkah-langkah pertahanan
Saat membuat atau mengatur ulang kata sandi, pengguna harus menggunakan kombinasi huruf, angka, dan karakter khusus, dan menghindari penggunaan kata-kata umum atau frasa yang mudah ditebak.
Administrator dapat menerapkan persyaratan kompleksitas kata sandi dalam kebijakan mereka untuk menegakkan mandat ini di seluruh organisasi.
Serangan Tabel Pelangi
Serangan tabel pelangi menggunakan tabel khusus (yaitu, “Tabel Pelangi”) yang terdiri dari string yang telah dihitung sebelumnya atau kata sandi yang umum digunakan dan hash yang sesuai untuk memecahkan hash kata sandi dalam basis data.
|
Baca juga: 5 Cara Peretas Mencuri Kata Sandi |
Cara kerjanya
Serangan tabel pelangi bekerja dengan memanfaatkan rantai operasi hashing dan reduksi untuk memecahkan kata sandi yang di-hash secara efisien.
Kata sandi potensial pertama-tama di-hash dan disimpan bersama dengan kata sandi plaintext di tabel pelangi, kemudian diproses dengan fungsi reduksi yang memetakannya ke nilai baru, yang menghasilkan rantai hash. Proses ini diulang beberapa kali untuk membangun tabel pelangi.
Saat peretas memperoleh daftar hash, mereka dapat melakukan pencarian balik setiap nilai hash di tabel pelangi, setelah kecocokan diidentifikasi, kata sandi plaintext yang sesuai akan terungkap.
Langkah-langkah pertahanan
Seperti yang disebutkan sebelumnya, hash yang diberi salting telah secara signifikan mengurangi efektivitas tabel yang telah dihitung sebelumnya.
Oleh karena itu, organisasi harus menerapkan algoritma hashing yang kuat (misalnya, bcrypt, scrypt) dalam proses kata sandi mereka. Administrator juga harus memperbarui dan merotasi kata sandi secara berkala untuk mengurangi kemungkinan kecocokan/ketemuannya pada tabel kamus.
Singkatnya, kata sandi tidaklah sempurna, tetapi frasa sandi yang rumit dan cukup panjang tetap menjadi garis pertahanan pertama yang penting terhadap teknik pembobolan kata sandi tingkat lanjut.