Brute force adalah salah satu serangan dalam dunia digital. Bagi kalian yang memiliki background IT mungkin istilah “Brute Force” sudah tidak asing lagi. Karena aksi brute force ini kerap kali terjadi, oleh karenanya setiap membuat akun pada suatu platform pastilah disarankan untuk membuat password yang rumit yang mana dikombinasikan oleh huruf kapital, huruf kecil, angka dan simbol. Hal ini tidak lain untuk menghindarkan user dari serangan brute force. Lalu sebenarnya apa sih brute force itu? Seberbahaya apa serangan ini?

Apa itu Brute Force?

Brute Force disebut juga serangan trial and error, mengapa begitu? Karena teknik serangan brute force adalah menebak-nebak informasi login dan kunci enkripsi.

Sesuai dengan artinya “Brute Force Attack = Serangan Membabi Buta”, serangan ini merupakan upaya pemaksaan untuk mencoba masuk ke akun pribadi seseorang. Serangan brute force tergolong serangan lama namun masih eksis hingga saat ini. Serangan brute force masih dinilai efektif dikalangan peretas karena terkadang memecahkan password bisa hanya dalam hitungan detik, namun bisa juga berhari-hari hingga bertahun-tahun bergantung dari panjang dan rumitnya password.

Kasarnya serangan brute force adalah upaya pemaksaan yang dilakukan peretas untuk masuk ke akun pribadi seseorang dengan cara membobol password.

Apa Motif Peretas?

Ada banyak keuntungan yang dapat diambil oleh peretas, berikut beberapa motif peretas mengapa melakukan brute force:

• Mengambil Keuntungan dari Iklan

Peretas sering kali mengeksploitasi website orang lain untuk mendapatkan komisi iklan yang mana biasanya menempatkan iklan spam pada website yang sering dikunjungi. Ia juga terkadang merutekan ulang trafik website ke website iklan.

• Mengumpulkan Data Aktivitas

Peretas melakukan pelacakan aktivitas pengunjung dengan bantuan spyware, yang mana data pengunjung dapat dijual kepada pengiklan.

• Mencuri Data Pribadi dan Barang Berharga

Contoh peristiwa yang menggambarkan hal ini adalah pembobolan pada rekening. Dalam hal ini peretas akan mengambil informasi sebanyak-banyaknya, seperti mencuri identitas dan uang Anda.

• Merusak Reputasi Website

Peretas sengaja mengisi konten website Anda dengan konten yang melanggar, seperti konten kekerasan, menyinguung ras hingga pornografi. Dalam hal ini tentu website Anda akan tidak dipercaya lagi oleh customer.

• Membajak Sistem Anda untuk Aktivitas Berbahaya.

Ketika peretas telah masuk pada sistem Anda. Peretas bisa saja menggunakan website atau VPS Anda untuk melakukan penyerangan ke target lain. Contoh, peristiwa VPS Anda dibobol oleh peretas yang selanjutnya VPS tersebut digunakan untuk spam phising dan melakukan DDOS ke target lain.

• Menyebarkan Malware

Terkadang peretas menyusupkan malware pada website. Ketika pengunjung mendownload dan menginstall isi website, hal ini mengakibatkan komputer pengunjung terinfeksi oleh malware.

Metode Serangan Brute Force

Dalam melakukan serangan brute force, peretas menggunakan banyak sekali metode. Berikut merupakan metode serangan brute force paling umum yang sering digunakan oleh peretas:

• Simple Brute Force Attacks

Simple Brute Force Attacks merupakan serangan brute force yang paling sederhana, yaitu dengan mencoba menebak password secara logis. Penebakan ini dilakukan secara berulang-ulang hingga password berhasil ditemukan. Target serangan ini tentu saja akun yang tidak menerapkan pembatasan jumlah login.

• Dictionary Attacks

Disebut sebagai dictionary attacks karena sebelum peretas melakukan brute force peretas mengumpulkan data password terlebih dahulu yang selanjutnya baru melakukan percobaan. Konsep dictionary attacks juga digunakan pada cracking password.

• Hybrid Brute Force Attacks

Hybrid Brute Force Attacks adalah gabungan dari kedua serangan di atas. Pola penyerangan ini dinilai lebih efektif karena peretas menyerang dengan mengumpulkan password yang dibuat secara logis.

• Rainbow Table Attacks

Peretas melakukan pengembalian fungsi kriptografi hash, sehingga hal ini mengakibatkan hasil enkripsi dari password dapat diubah ke password asli.

• Credential Stuffing

Credential Stuffing adalah penyerangan menggunakan password yang digunakan di akun lain. Hal ini tentu efektif karena kebanyakan orang menerapkan password yang sama untuk berbagai layanan.

Tentu saja ini hanya sebagian metode yang dilakukan peretas. Masih ada banyak sekali metode lain yang bisa dilakukan. Oleh karenanya, kita harus mencegah serangan brute force terjadi pada kita.

Cara Mencegah Brute Force pada Website

Berikut cara untuk mencegah serangan brute force:

1. Membuat Password Kombinasi Huruf Kapital, Huruf Kecil, Angka dan Simbol   

Brute force merupakan dasar dari penciptaan password generator. Semakin rumit dan panjang password yang dibuat maka password tidak mudah ditebak oleh peretas. Dan sebaliknya, semakin sederhana password akan memudahkan peretas untuk menebak.

Oleh karenanya, terkadang suatu website meminta agar Anda harus membuat password dengan kombinasi huruf kapital, huruf kecil, angka dan simbol.

2. Menerapkan Autentikasi Dua Faktor (2FA)

Banyak orang memiliki anggapan bahwa menggunakan 2FA untuk login membuat proses login menjadi semakin ribet. Selain harus memasukkan username dan password untuk login, Anda juga diminta memasukkan kode yang mana kode tersebut berasal dari ponsel Anda. Hal inilah yang justru melindungi Anda dari peretas karena peretas tidak memiliki akses ke ponsel Anda.

3. Membatasi Jumlah Login

Membatasi jumlah login dinilai cukup membantu dalam pencegahan serangan brute force. Pasalnya, hal ini membuat upaya peretasan membutuhkan waktu lebih lama.

Ada banyak sekali metode pembatasan login, salah satunya dengan membatasai waktu login, jika terdeteksi adanya kesalahan memasukkan password hingga 4 kali, maka akun akan terkunci selama 10 menit. Atau Anda juga bisa menerapkan pembatasan login tingkat lanjut yang harus melibatkan peran tim IT di dalamnya, seperti jika terdetekai adanya kesalahan memasukkan username atau password hingga 3 kali maka IP yang bersangkutan akan masuk ke dalam blacklist. Jika memang benar yang bersangkutan adalah karyawan perusahaan maka tim IT akan mem-whitelist IP tersebut.

4. Menerapkan Password yang Unik pada Setiap Website atau Layanan yang Digunakan

Meskipun dinilai ribet, cara ini dipercaya dapat mencegah brute force jenis Credential Stuffing. Banyak orang menerapkan password yang sama di beberapa layanan. Anda harus membedakan username dan password pada setiap layanan. Hal ini dapat menjaga layanan lain agar tidak disusupi jika salah satu akun Anda telah diketahui.

5. Memantau Log dan Melakukan Penggantian Password secara Berkala

Anda dapat memantau segala aktivitas user mulai dari login hingga logout melalui log. Dengan rutin memantau log, Anda bisa mengetahui adanya aktivitas mencurigakan, termasuk percobaan login berkali-kali. Dalam hal ini alangkah baiknya jika Anda segera mengganti password jika terdeteksi peristiwa tersebut.

Kesimpulan

Bagaimana Sobat Cloudku? Tentu kalian tidak ingin serangan brute force tembus ke sistem kalian bukan?

Brute Force hanyalah salah satu jenis dari berbagai serangan di dunia IT. Masih ada banyak sekali jenis serangan yang lain. Selain Sobat Cloudku memperhatikan pada hal-hal yang bisa dicegah seperti serangan brute force. Sobat Cloudku juga perlu memperhatikan kemanan hosting website atau VPS atau layanan lain yang Sobat Cloudku sewa.

Hosting website dan VPS di Cloudku.id telah dilengkapi dengan Imunify360, backup Acronis dan DDOS Protection up to 2,5TB, sehingga Sobat Cloudku tak perlu khawatir lagi mengenai aksi penyerangan peretas.

Yuk, cobain layanan Cloudku.id.