Peretas membobol kata sandi tidak lagi menjadi hal yang asing bagi kita di dunia siber, namun untuk mencegah hal tersebut terjadi pada kita, perlu bagi kita memahami cara kerjanya.
Mempertahankan keamanan perusahaan seperti memperkuat benteng, Anda perlu memahami di mana penyerang akan menyerang dan bagaimana mereka akan mencoba membobol tembok Anda.
Peretas selalu mencari kelemahan, baik itu kebijakan kata sandi yang longgar atau backdoor yang terlupakan. Untuk membangun pertahanan yang lebih kuat, Anda harus berpikir seperti peretas dan mengantisipasi gerakan mereka.
Baca terus untuk mempelajari lebih lanjut tentang strategi peretas untuk memecahkan kata sandi, kerentanan yang mereka eksploitasi, dan bagaimana Anda dapat memperkuat pertahanan Anda untuk mencegahnya.
Baca juga: Teknik Pembobol Kata Sandi |
Analisis Kata Sandi Terburuk
Kata sandi yang lemah dan umum digunakan merupakan target termudah bagi peretas. Setiap tahun, para ahli memberikan daftar kata sandi yang paling sering digunakan, dengan kata sandi klasik seperti “123456” dan “password” muncul dari tahun ke tahun. Kata sandi ini merupakan hasil yang mudah dari strategi serangan peretas.
Meskipun sudah bertahun-tahun ada peringatan keamanan, pengguna masih menggunakan kata sandi yang sederhana dan mudah diingat, sering kali berdasarkan pola yang dapat diprediksi atau detail pribadi yang dapat dengan cepat diperoleh peretas dari media sosial atau catatan publik.
Peretas menyusun basis data kata sandi umum ini dan menggunakannya dalam serangan brute-force, dengan mencoba berbagai kemungkinan kombinasi kata sandi hingga menemukan kata sandi yang tepat. Bagi peretas, kata sandi terburuk memberikan peluang terbaik.
Baik itu mengetik di keyboard seperti “qwerty,” atau frasa umum seperti “iloveyou,” kesederhanaan kata sandi ini menawarkan jalur langsung bagi peretas untuk masuk ke akun, terutama saat autentikasi multifaktor tidak tersedia.
Baca juga: Perlukah Menggunakan Kata Sandi |
Waktu yang Dibutuhkan untuk Memecahkan Kata Sandi
Lamanya waktu yang dibutuhkan untuk memecahkan kata sandi sangat bergantung pada tiga hal:
- Panjang dan kekuatan kata sandi
- Metode yang digunakan untuk memecahkannya
- Alat yang digunakan peretas
Peretas dapat memecahkan kata sandi yang pendek dan sederhana, terutama yang hanya menggunakan huruf kecil atau angka, hanya dalam hitungan detik menggunakan alat pemecah kata sandi modern.
Namun, kata sandi yang lebih rumit, seperti kata sandi yang menyertakan berbagai jenis karakter (misalnya, huruf besar dan kecil, simbol, dan angka) jauh lebih sulit dipecahkan dan membutuhkan waktu yang jauh lebih lama.
Serangan brute force dan dictionary merupakan dua metode peretasan kata sandi yang paling populer.
Dalam serangan brute force, peretas menggunakan berbagai alat untuk mencoba setiap kemungkinan kombinasi kata sandi secara metodis, yang berarti bahwa kata sandi yang lemah dengan tujuh karakter dapat dipecahkan hanya dalam beberapa menit, sementara kata sandi yang lebih rumit dengan 16 karakter yang menyertakan simbol dan angka dapat membutuhkan waktu berbulan-bulan, bertahun-tahun, atau bahkan lebih lama untuk dipecahkan.
Dalam serangan dictionary, peretas menggunakan daftar kata-kata umum atau kata sandi yang telah ditentukan sebelumnya untuk menebak kombinasi yang tepat, sehingga metode ini sangat efektif terhadap kata sandi yang sering digunakan atau sederhana.
Tertarik untuk mengetahui berapa banyak pengguna akhir Anda yang menggunakan kata sandi yang lemah atau telah disusupi? Pindai Direktori Aktif Anda secara gratis dengan Specops Password Auditor untuk mengidentifikasi kata sandi yang duplikat, kosong, identik, telah disusupi, dan kerentanan kata sandi lainnya.
Baca juga: Pencegahan Ransomware Berdasarkan Persyaratan Keamanan Kata Sandi |
Mengelola Risiko Kata Sandi
Apa risiko keamanan kata sandi terbesar perusahaan Anda? Perilaku pengguna. Pengguna akhir cenderung menggunakan kembali kata sandi di berbagai akun, atau menggunakan kata sandi yang lemah atau mudah diingat yang memberikan keuntungan besar bagi peretas.
Setelah peretas berhasil memecahkan kata sandi untuk satu akun, mereka akan sering mencoba kata sandi yang sama di berbagai layanan lain, taktik yang disebut credential stuffing. Dan jika pengguna telah menggunakan kembali kata sandi untuk beberapa situs? Mereka secara efektif telah memberikan peretas kunci kehidupan digital mereka.
Untuk mengelola risiko ini, perusahaan Anda harus mempromosikan kebersihan kata sandi yang baik. Dorong pengguna akhir untuk menghindari penggunaan kembali kata sandi di berbagai situs atau akun.
Lakukan lebih dari sekadar mendidik pengguna; terapkan perlindungan sistem seperti ambang batas penguncian yang membatasi jumlah upaya login yang gagal. Selain itu, terapkan autentikasi multifaktor untuk pengguna akhir dan terapkan kebijakan kata sandi yang kuat yang memberlakukan panjang, kompleksitas, dan interval perubahan.
Baca juga: Panduan Kata Sandi |
Frasa Sandi dan Pembuktian Identitas
Seiring dengan semakin canggihnya peretas dan alat mereka, perusahaan dipaksa untuk mempertimbangkan kembali komposisi kata sandi. Masuki era frasa sandi, kombinasi kata-kata yang tidak berhubungan yang mudah diingat pengguna tetapi sulit ditebak peretas.
Misalnya, frasa sandi seperti “pesawat ruang angkasa llama kayu keras” jauh lebih aman daripada kata sandi pendek yang terdiri dari angka dan huruf acak, tetapi juga lebih mudah diingat pengguna.
Panjang frasa sandi (seringkali 16 karakter atau lebih) dikombinasikan dengan ketidakpastian kombinasi kata, membuat serangan brute-force atau dictionary jauh lebih sulit untuk berhasil. Anda dapat menemukan saran lebih lanjut tentang membantu pengguna akhir membuat frasa sandi di sini.
Pertimbangkan juga untuk menerapkan langkah-langkah pembuktian identitas guna menambahkan lapisan keamanan lainnya. Meminta pengguna untuk memverifikasi identitas mereka melalui email atau konfirmasi SMS menambah perlindungan lebih jauh, bahkan jika peretas berhasil membobol kata sandi.
Sumber berita: