Rumahweb Journal

Apa itu Brute Force? Pengertian & Cara Menghindarinya

Brute force attack adalah salah satu serangan yang cara kerjanya mengirimkan package data secara terus menerus yang bertujuan untuk mendapatkan informasi dari sebuah situs hingga email.

Untuk melindungi website dari serangan attacker, kita perlu mengetahui metode serangan apa saja yang mungkin bisa terjadi. Dan sebagai pemilik website, kita perlu aware terhadap serangan-serangan ini, agar website kita selalu aman.

Pada artikel ini, kami akan membahas salah satu serangan yang menargetkan akses login atau credential dengan metode brute force attack.

Apa itu Brute Force?

Brute force adalah metode peretasan yang menggunakan trial and error untuk memecahkan kata sandi, kredensial login, dan kunci enkripsi. Peretas mencoba mengirimkan banyak kata sandi atau frasa sandi dengan harapan dapat menebak dengan benar.

Perbedaan serangan brute force dengan metode cracking lainnya yaitu serangan brute force tidak menggunakan strategi intelektual atau mencari bug di website yang bisa di exploit. Namun mengandalkan kombinasi karakter yang berbeda sebanyak mungkin, sampai ditemukan kombinasi yang sesuai.

Tipe Brute Force

Secara umum, brute force attack terbagi atas beberapa type berikut:

Serangan Brute Force Sederhana

Peretas mencoba menebak kredensial login pengguna secara manual tanpa menggunakan perangkat lunak. Serangan ini sederhana karena banyak orang masih memakai kata sandi yang lemah. Sebagai contohnya “abcdefg” atau “password123”, atau menggunakan kata sandi yang sama untuk beberapa situs web.

Kata sandi juga dapat ditebak oleh peretas yang telah melakukan pengintaian sebelumnya untuk memecahkan kata sandi potensial seseorang, seperti nama anggota keluarga, tanggal lahir, atau group band favorit mereka.

Metode Kamus

Metode kamus atau “dictionary attack” dilakukan dengan menelusuri kamus dan mengubah kata dengan karakter dan angka khusus. Jenis serangan ini biasanya memakan waktu dan memiliki peluang keberhasilan yang rendah dibandingkan dengan metode serangan yang lebih baru dan lebih efektif.

Serangan kamus merupakan alat paling dasar dalam serangan brute force. Meskipun tidak selalu berhasil, ini sering digunakan sebagai komponen penting untuk cracking kata sandi.

Brute Force Hybrid

Serangan brute force hybrid yaitu menggabungkan serangan brute force sederhana dengan metode serangan kamus. Dimulai dari logika eksternal untuk menentukan variasi kata sandi mana yang paling mungkin berhasil, dan kemudian dilanjutkan dengan pendekatan sederhana untuk mencoba banyak kemungkinan variasi.

Reverse Brute Force

Metode ini menggunakan kata sandi umum atau kumpulan kata sandi terhadap banyak kemungkinan username. Menargetkan jaringan pengguna yang datanya telah diperoleh penyerang sebelumnya.

Pada metode ini, penyerang mencoba satu kata sandi terhadap beberapa nama pengguna. Bayangkan jika Anda tahu kata sandi tetapi tidak tahu nama pengguna. Dalam hal ini, Anda dapat mencoba kata sandi yang sama dan menebak nama pengguna yang berbeda hingga Anda menemukan kombinasi yang cocok.

Credential Stuffing

Penyerang mengumpulkan kombinasi nama pengguna dan kata sandi yang telah dicuri, yang kemudian mereka uji di situs web lain. Pendekatan ini mungkin saja berhasil jika orang menggunakan kombinasi nama pengguna dan kata sandi yang sama atau menggunakan kembali kata sandi untuk berbagai profil media sosial atau beberapa situs web.

Cara menghindari brute force

Beberapa tips yang bisa dilakukan agar website dapat lebih terlindungi dari serangan brute force:

Membuat kombinasi password yang kuat

Merupakan hal yang wajib untuk membuat password yang kuat agar tidak mudah ditebak. Gunakan kombinasi huruf, angka, dan symbol secara acak dengan panjang karakter yang cukup. Anda juga bisa menggunakan tools password generator dikombinasikan dengan karakter acak agar bisa mendapatkan password yang kuat (strength).

Batasi jumlah kegagalan login

Membatasi jumlah kegagalan login (limit login attempt) akan melindungi website dari percobaan login berulang yang gagal. Sebagai contoh saat install WordPress dari softaculous, akan ada opsi untuk checklist Limit Login Attempt (Loginizer). Atau Anda bisa menambahkan plugin serupa setelah CMS WordPress terinstall.

Cara menghindari brute force - Plugin untuk melindungi bruthforce

Menambahkan Captcha

Anda bisa menambahkan captcha pada form login untuk membedakan antara login yang dilakukan manusia ataukah robot. Untuk WordPress, berikut ini contoh panduan menambahkan captcha pada form login

Cara menghindari brute force - Menambahkan Captcha

Custom Alamat URL Login

Pada beberapa CMS yang umum digunakan seperti Prestashop atau WordPress,terdapat opsi untuk menerapkan alamat URL login yang unik. Pada Prestashop, saat installasi awal, Anda akan diminta untuk menginputkan alamat URL login yang ingin digunakan.

Di CMS WordPress, Anda bisa menggunakan plugin untuk custom atau merubah alamat URL login. Panduan terkait hal ini dapat mereferensi pada artikel: Cara Mengubah URL Login WordPress

Menambahkan http authentication

Setting http authentication (atau htaccess authentication) ini bisa ditambahkan di sisi server maupun disetting langsung dari document root website melalui file .htaccess

Untuk http authentication yang disetting dari server, Anda akan mendapatkan popup authentikasi http login saat akses URL login, misalnya untuk login WordPress.

Menambahkan http authentication

Pada server Rumahweb, informasi terkait hal ini dapat mereferensi pada panduan: HTTP Authentication untuk website yang diserang Bruteforce

Menambahkan two factor authentication

Two Factor Authnetication (2FA) akan mencegah bruteforce dengan melakukan konfirmasi pada perangkat yang lain. Pada CMS WordPress, tersedia beberapa pilihan plugin yang bisa digunakan untuk menambahkan 2FA, misalnya Wordfence, Authy Two Factor Authentication, atau plugin lainnya.

Demikian panduan terkait apa itu brute force, pengertian dan cara menghindarinya. Semoga bermanfaat!

Bermanfaatkah Artikel Ini?

Klik bintang 5 untuk rating!

Rating rata-rata 5 / 5. Vote count: 1

Belum ada vote hingga saat ini!

Kami mohon maaf artikel ini kurang berguna untuk Anda!

Mari kita perbaiki artikel ini!

Beri tahu kami bagaimana kami dapat meningkatkan artikel ini?

Hosting Murah

Gatot Antok Wibowo