Gatot Antok WibowoBrute force attack adalah salah satu serangan yang cara kerjanya mengirimkan package data secara terus menerus yang bertujuan untuk mendapatkan informasi dari sebuah situs hingga email.
Untuk melindungi website dari serangan attacker, kita perlu mengetahui metode serangan apa saja yang mungkin bisa terjadi. Dan sebagai pemilik website, kita perlu aware terhadap serangan-serangan ini, agar website kita selalu aman.
Pada artikel ini, kami akan membahas salah satu serangan yang menargetkan akses login atau credential dengan metode brute force attack.
Apa itu Brute Force?
Brute force adalah metode peretasan yang menggunakan trial and error untuk memecahkan kata sandi, kredensial login, dan kunci enkripsi. Peretas mencoba mengirimkan banyak kata sandi atau frasa sandi dengan harapan dapat menebak dengan benar.
Perbedaan serangan brute force dengan metode cracking lainnya yaitu serangan brute force tidak menggunakan strategi intelektual atau mencari bug di website yang bisa di exploit. Namun mengandalkan kombinasi karakter yang berbeda sebanyak mungkin, sampai ditemukan kombinasi yang sesuai.
Tipe Brute Force
Secara umum, brute force attack terbagi atas beberapa type berikut:
Serangan Brute Force Sederhana
Peretas mencoba menebak kredensial login pengguna secara manual tanpa menggunakan perangkat lunak. Serangan ini sederhana karena banyak orang masih memakai kata sandi yang lemah. Sebagai contohnya “abcdefg” atau “password123”, atau menggunakan kata sandi yang sama untuk beberapa situs web.
Kata sandi juga dapat ditebak oleh peretas yang telah melakukan pengintaian sebelumnya untuk memecahkan kata sandi potensial seseorang, seperti nama anggota keluarga, tanggal lahir, atau group band favorit mereka.
Metode Kamus
Metode kamus atau “dictionary attack” dilakukan dengan menelusuri kamus dan mengubah kata dengan karakter dan angka khusus. Jenis serangan ini biasanya memakan waktu dan memiliki peluang keberhasilan yang rendah dibandingkan dengan metode serangan yang lebih baru dan lebih efektif.
Serangan kamus merupakan alat paling dasar dalam serangan brute force. Meskipun tidak selalu berhasil, ini sering digunakan sebagai komponen penting untuk cracking kata sandi.
Brute Force Hybrid
Serangan brute force hybrid yaitu menggabungkan serangan brute force sederhana dengan metode serangan kamus. Dimulai dari logika eksternal untuk menentukan variasi kata sandi mana yang paling mungkin berhasil, dan kemudian dilanjutkan dengan pendekatan sederhana untuk mencoba banyak kemungkinan variasi.
Reverse Brute Force
Metode ini menggunakan kata sandi umum atau kumpulan kata sandi terhadap banyak kemungkinan username. Menargetkan jaringan pengguna yang datanya telah diperoleh penyerang sebelumnya.
Pada metode ini, penyerang mencoba satu kata sandi terhadap beberapa nama pengguna. Bayangkan jika Anda tahu kata sandi tetapi tidak tahu nama pengguna. Dalam hal ini, Anda dapat mencoba kata sandi yang sama dan menebak nama pengguna yang berbeda hingga Anda menemukan kombinasi yang cocok.
Credential Stuffing
Penyerang mengumpulkan kombinasi nama pengguna dan kata sandi yang telah dicuri, yang kemudian mereka uji di situs web lain. Pendekatan ini mungkin saja berhasil jika orang menggunakan kombinasi nama pengguna dan kata sandi yang sama atau menggunakan kembali kata sandi untuk berbagai profil media sosial atau beberapa situs web.
Cara menghindari brute force
Beberapa tips yang bisa dilakukan agar website dapat lebih terlindungi dari serangan brute force:
Membuat kombinasi password yang kuat
Merupakan hal yang wajib untuk membuat password yang kuat agar tidak mudah ditebak. Gunakan kombinasi huruf, angka, dan symbol secara acak dengan panjang karakter yang cukup. Anda juga bisa menggunakan tools password generator dikombinasikan dengan karakter acak agar bisa mendapatkan password yang kuat (strength).
Batasi jumlah kegagalan login
Membatasi jumlah kegagalan login (limit login attempt) akan melindungi website dari percobaan login berulang yang gagal. Sebagai contoh saat install WordPress dari softaculous, akan ada opsi untuk checklist Limit Login Attempt (Loginizer). Atau Anda bisa menambahkan plugin serupa setelah CMS WordPress terinstall.
Menambahkan Captcha
Anda bisa menambahkan captcha pada form login untuk membedakan antara login yang dilakukan manusia ataukah robot. Untuk WordPress, berikut ini contoh panduan menambahkan captcha pada form login
Custom Alamat URL Login
Pada beberapa CMS yang umum digunakan seperti Prestashop atau WordPress,terdapat opsi untuk menerapkan alamat URL login yang unik. Pada Prestashop, saat installasi awal, Anda akan diminta untuk menginputkan alamat URL login yang ingin digunakan.
Di CMS WordPress, Anda bisa menggunakan plugin untuk custom atau merubah alamat URL login. Panduan terkait hal ini dapat mereferensi pada artikel: Cara Mengubah URL Login WordPress
Menambahkan http authentication
Setting http authentication (atau htaccess authentication) ini bisa ditambahkan di sisi server maupun disetting langsung dari document root website melalui file .htaccess
Untuk http authentication yang disetting dari server, Anda akan mendapatkan popup authentikasi http login saat akses URL login, misalnya untuk login WordPress.
Pada server Rumahweb, informasi terkait hal ini dapat mereferensi pada panduan: HTTP Authentication untuk website yang diserang Bruteforce
Menambahkan two factor authentication
Two Factor Authnetication (2FA) akan mencegah bruteforce dengan melakukan konfirmasi pada perangkat yang lain. Pada CMS WordPress, tersedia beberapa pilihan plugin yang bisa digunakan untuk menambahkan 2FA, misalnya Wordfence, Authy Two Factor Authentication, atau plugin lainnya.
Demikian panduan terkait apa itu brute force, pengertian dan cara menghindarinya. Semoga bermanfaat!
Afiandhi Risky
Wahid Husain
Bayo AM