Kata sandi, meskipun merupakan bentuk autentikasi digital yang paling banyak digunakan, sering kali menjadi mata rantai terlemah dalam rantai pertahanan keamanan siber. Dengan teknik pembobol kata sandi apa saja bisa terjadi.
Denga kerentanan bawaannya menjadikan mereka target favorit para penjahat dunia maya. Pelaku menggunakan banyak teknik canggih untuk menembus pertahanan kata sandi, memanfaatkan kecanggihan teknologi dan psikologi manusia.
Dari serangan brute force yang menebak kata sandi secara metodis hingga taktik social engineering yang mengelabui pengguna agar mengungkapkan kredensial mereka, persenjataan yang dimiliki peretas bervariasi dan efektif.
Baca juga: Phising Induk Ragam Serangan |
Teknik Pembobol Kata Sandi
Seiring dengan meningkatnya kompleksitas dan frekuensi serangan siber, memahami strategi pembobolan kata sandi ini menjadi hal yang sangat penting.
Ini bukan hanya tentang memilih kata sandi yang sulit ditebak tetapi juga tentang menerapkan pendekatan multi-segi untuk mengamankan otentikasi.
Hal ini termasuk mengikuti tren peretasan kata sandi terbaru yang digunakan oleh peretas, seperti menggunakan tabel pelangi, memanfaatkan kampanye phising, atau mengeksploitasi kerentanan sistem.
Hal yang juga penting adalah menumbuhkan budaya keamanan yang mencakup kebersihan kata sandi yang kuat, penggunaan autentikasi multi-faktor, dan pendidikan keamanan siber yang berkelanjutan.
Dengan menyadari kecanggihan teknik pembobolan kata sandi ini, langkah-langkah dapat diambil untuk memperkuat garis pertahanan dari pembobolan data.
Artikel ini akan mengeksplorasi teknik pembobol kata sandi terbaik yang dilakukan peretas dan memberikan tips untuk mencegahnya.
Serangan Brute Force
Serangan brute force adalah teknik pemecahan kata sandi umum yang melibatkan percobaan setiap kemungkinan kombinasi karakter hingga kata sandi yang benar ditemukan.
Peretas menggunakan perangkat lunak khusus untuk mengotomatiskan proses ini dan dapat memecahkan kata sandi yang rumit sekalipun dengan waktu yang cukup.
Gunakan kata sandi yang kuat dan unik dengan huruf besar dan kecil, angka, dan simbol untuk mencegah serangan brute force.
Menerapkan kebijakan kata sandi yang mengharuskan pengguna mengubah kata sandi secara berkala dan membatasi jumlah upaya login yang gagal.
Serangan Kamus
Serangan kamus mirip dengan serangan brute force tetapi menggunakan daftar kata dari kamus atau kata sandi yang umum digunakan untuk memecahkan kata sandi.
Dalam serangan ini peretas menggunakan perangkat lunak yang dapat mencoba ribuan kata per menit hingga kata sandi yang benar ditemukan.
Ancaman serangan kamus ini dapat dicegah dengan menghindari penggunaan kata, frasa, atau sandi umum yang mudah ditebak.
Sebaliknya, gunakan kombinasi karakter acak, dan jangan gunakan kata sandi yang sama atau menggunakan kata sandi daur ulang.
Baca juga: Permukaan Serangan atau Attack Surface |
Serangan Tabel Pelangi
Yang dimaksud serangan tabel pelangi adalah serangan hash yang telah dihitung sebelumnya yang menggunakan tabel hash yang telah dihitung sebelumnya untuk memecahkan kata sandi dengan cepat.
Penyerang membuat tabel kata sandi umum dan hashnya yang sesuai, lalu membandingkan hash kata sandi target dengan tabel untuk menemukan kecocokan.
Mengatasi serangan tabel pelangi, gunakan algoritma hashing yang kuat seperti bcrypt atau scrypt, dan tambahkan garam unik ke setiap kata sandi sebelum melakukan hashing.
Social Engineering
Rekayasa sosial atau social engineering adalah teknik yang melibatkan manipulasi orang agar mengungkapkan kata sandi atau informasi sensitif lainnya.
Hacker mungkin menyamar sebagai orang tepercaya, mengirim email phising, atau menggunakan taktik lain untuk mengelabui pengguna agar memberikan kata sandinya.
Mendidik pengguna tentang risiko berbagi kata sandi dan informasi sensitif untuk mencegah serangan rekayasa sosial atau social engineering.
Gunakan autentikasi dua faktor (2FA) untuk menambahkan lapisan keamanan ekstra dan memverifikasi identitas siapa pun yang meminta informasi sensitif.
Selancar Bahu
Selancar bahu adalah serangan fisik yang melibatkan menonton seseorang memasukkan kata sandinya di komputer atau perangkat seluler.
Pelaku mungkin mengawasi seseorang di tempat umum atau memasang kamera tersembunyi untuk menangkap kata sandi.
Cara mencegah serangan selancar bahu, waspadai lingkungan sekitar saat memasukkan kata sandi, dan hindari memasukkan kata sandi di tempat umum.
Selain itu, Anda dapat menggunakan layar privasi untuk mencegah orang lain melihat layar Anda dan mengunci perangkat saat tidak digunakan.
Phising
phising adalah teknik yang melibatkan pengiriman email atau pesan yang tampaknya berasal dari sumber yang sah untuk mengelabui pengguna agar mengungkapkan kata sandi atau informasi sensitif lainnya.
Peretas menggunakan taktik rekayasa sosial dan bahasa persuasif untuk meyakinkan pengguna agar mengeklik tautan atau membuka lampiran yang memasang malware atau mencuri data.
Mencegahnya, saat membuka email atau pesan dari sumber tidak dikenal, dan cari tanda-tanda phising, seperti salah eja atau tautan mencurigakan.
Gunakan juga filter email untuk memblokir pesan mencurigakan dan mengaktifkan autentikasi multifaktor (MFA) untuk mencegah akses akun yang tidak sah.
Pencatatan Keystroke
Pencatatan keystroke adalah teknik yang melibatkan penangkapan setiap keystroke yang dimasukkan pada komputer atau perangkat seluler, termasuk kata sandi.
Peretas mungkin memasang malware atau menggunakan perangkat fisik untuk menangkap atau merekam setiap penekanan tombol dan mencuri kata sandi.
Mencegah serangan keystroke logging atau perekaman tombol keyboard, gunakan perangkat lunak antivirus dan selalu perbarui, hindari mengklik tautan yang mencurigakan.
Atau mengunduh software dari sumber yang tidak tepercaya, dan gunakan pengelola kata sandi berbasis perangkat keras untuk menyimpan kata sandi.
Baca juga: 7 Alasan Perusahaan Harus Mewaspadai Serangan DDoS |
Malware
Perangkat lunak berbahaya atau malware adalah jenis perangkat lunak yang dirancang untuk merusak atau mendapatkan akses tidak sah ke komputer atau jaringan.
Malware dapat digunakan untuk mencuri kata sandi, menangkap penekanan tombol, dan melakukan serangan lainnya.
Selalu perbarui perangkat lunak dan sistem operasi Anda dengan patch dan pembaruan keamanan terbaru untuk mencegah serangan malware.
Gunakan perangkat lunak antivirus dan selalu perbarui, hindari mengeklik tautan mencurigakan atau mengunduh perangkat lunak dari sumber tidak tepercaya, dan berhati-hatilah terhadap email atau pesan yang berisi lampiran.
Serangan Man-in-the-Middle (MITM).
Serangan man-in-the-middle (MITM) adalah ketika seorang peretas menyadap komunikasi antara dua pihak untuk mencuri informasi sensitif, termasuk kata sandi.
Peretas menggunakan perangkat lunak atau perangkat fisik untuk menyadap komunikasi dan menangkap kata sandi.
Untuk mencegah serangan MITM, gunakan saluran komunikasi yang aman, seperti HTTPS atau jaringan pribadi virtual (VPN), saat mengakses informasi sensitif atau masuk ke akun.
Dan selain itu, verifikasi identitas situs web atau layanan yang Anda akses, dan berhati-hatilah dengan jaringan Wi-Fi publik atau tidak aman.
Penggunaan Kembali Kata Sandi
Penggunaan kembali kata sandi adalah praktik umum di kalangan pengguna dan menimbulkan risiko keamanan yang signifikan.
Peretas dapat menggunakan password yang dicuri dari satu akun untuk mengakses akun lain jika kata sandi yang sama digunakan kembali.
Untuk mencegah serangan penggunaan kembali kata sandi, gunakan kata sandi unik untuk setiap akun, dan pertimbangkan untuk menggunakan pengelola kata sandi untuk membuat dan menyimpan kata sandi yang kuat.
Selain itu, terapkan autentikasi multi faktor (MFA) di semua akun untuk menambah lapisan keamanan ekstra, dan pantau akun Anda secara rutin untuk mengetahui adanya aktivitas mencurigakan.
Perangkat Brute Force
Beberapa perangkat lunak populer yang digunakan oleh peretas untuk serangan brute force dan serangan kamus meliputi:
- Cain and Abel – alat pemulihan kata sandi berbasis Windows yang dapat memecahkan kata sandi menggunakan serangan brute force dan kamus. Ini juga mencakup packet sniffer dan alat analisis jaringan lainnya.
- John the Ripper – alat pemecah kata sandi baris perintah yang dapat melakukan serangan brute force dan serangan kamus pada berbagai format hash kata sandi. Dapat digunakan di Linux, Unix, Windows, dan sistem operasi lainnya.
- Aircrack-ng – seperangkat alat untuk audit jaringan nirkabel yang mencakup alat peretas kata sandi untuk enkripsi WEP dan WPA/WPA2-PSK. Ia menggunakan serangan brute force dan serangan kamus untuk memecahkan kata sandi jaringan nirkabel.
- Hydra – cracker logon jaringan yang mendukung berbagai protokol, termasuk HTTP, FTP, SSH, Telnet, dan lain-lain. Ia menggunakan serangan brute force dan serangan kamus untuk menebak kata sandi untuk kredensial login.
- Hashcat – alat pemecah kata sandi yang dapat melakukan serangan brute force dan serangan kamus pada berbagai format hash, termasuk MD5, SHA1, dan lainnya. Ini dapat digunakan di Windows, Linux, dan macOS.
Ini hanyalah beberapa contoh perangkat lunak yang digunakan peretas untuk teknik peretasan kata sandi. Penting untuk dicatat bahwa profesional keamanan dan peretas etis juga dapat menggunakan alat ini untuk tujuan yang sah.
Seperti menguji kekuatan kata sandi dan mengidentifikasi kerentanan dalam sistem dan aplikasi komputer. Penggunaan alat-alat ini secara bertanggung jawab dan dalam lingkup pedoman hukum dan etika sangatlah penting.
Baca juga: Panduan Menghadapi Serangan Botnet |
Kesimpulan
Kata sandi adalah komponen penting dari keamanan siber, dan penting untuk mengambil tindakan untuk mencegah teknik peretasan kata sandi yang digunakan oleh peretas.
Anda dapat mengurangi risiko serangan terkait kata sandi secara signifikan dengan menggunakan kata sandi yang kuat dan unik, menerapkan kebijakan kata sandi, dan menggunakan autentikasi multifaktor (MFA).
Didik pengguna Anda tentang risiko penggunaan ulang kata sandi dan social engineering, serta ikuti perkembangan tren keamanan terkini dan praktik terbaik untuk menjaga keamanan akun dan data Anda.
Ingat, cara terbaik untuk melindungi kata sandi Anda adalah dengan berasumsi bahwa kata sandi tersebut telah disusupi dan mengambil langkah proaktif untuk mencegah akses tidak sah ke akun dan data Anda.
Sumber berita: