Apa Itu Brute Force?
Serangan brute force atau brute force attack adalah upaya yang dilakukan para peretas (hacker) untuk bisa masuk ke suatu website dengan cara membobol password website tersebut.
Serangan brute force bisa terjadi pada website manapun, baik perorangan maupun perusahaan. Selain itu, brute force tidak hanya terbatas pada sebuah website tetapi juga sistem secara umum seperti server dan sebagainya.
Adapun motif atau tujuan penyerangan dari hacker bisa beragam. Seperti mencuri informasi penting, menyamar sebagai pemilik asli, mengirim link phising hingga menyebarkan konten palsu demi merusak reputasi sebuah website dari perseorangan atau bisnis.
Salah satu motif terburuk dari sebuah upaya brute force adalah membobol data perbankan ataupun lembaga finansial tertentu untuk melakukan pencurian. Namun terlepas dari apapun motifnya, brute force merugikan korban dan harus dicegah sedapat mungkin.
Metode Serangan Brute Force
Dalam melakukan serangan brute force, peretas bisa menggunakan metode tertentu. Berikut beberapa metode yang bisa digunakan dalam melancarkan brute force attack.
1. Simple Brute Force Attack
Metode ini adalah yang paling mudah dan biasa digunakan oleh peretas karena tidak membutuhkan logika atau peralatan khusus. Peretas cukup menebak-nebak password yang digunakan pada akun target. Proses tebak-menebak dilakukan secara berulang hingga ia menemukan password yang tepat.
Metode ini sangat mungkin dilakukan pada website yang tidak menerapkan pembatasan jumlah log masuk atau login.
2. Dictionary Attack
Sama halnya dengan metode simple (sederhana) di atas, hanya saja pada metode dictionary atau kamus ini peretas membuat terlebih dahulu daftar password yang mungkin digunakan.
Peretas akan mencoba satu persatu password tersebut dan mengeliminasi yang telah dicoba dan gagal. Hal ini membuat upaya penyerangan lebih efisien.
3. Hybrid Brute Force Attacks
Metode ini adalah gabungan dari dua metode sebelumnya. Hacker akan mulai menyerang dengan kumpulan password yang dibuat dengan logika tertentu yang biasanya sukses digunakan. Sebagai contoh, password yang dibuat berdasarkan tanggal lahir dan sebagainya.
Setelah itu, pembobol akan melanjutkan dengan metode sederhana untuk membuat beberapa variasi yang memungkinkan.
4. Rainbow Table Attacks
Metode satu ini cukup rumit, hacker tidak melakukan upaya-upaya penebakan seperti yang dijelaskan sebelumnya melainkan mengembalikan fungsi kriptografi hash.
Gampangnya, hackers mencari hasil enkripsi dari password dalam bentuk karakter dengan panjang tertentu dan menemukan password dari sana. Keakuratan password dari metode ini dapat lebih baik dari metode sebelumnya.
5. Reverse Brute Force Attack
Peretas menggunakan password umum atau koleksi password terhadap banyak username yang memungkinkan. Target dari serangan brute force metode ini adalah jaringan pengguna yang datanya sudah didapatkan oleh hacker sebelumnya.
6. Credential Stuffing
Metode ini digunakan saat hacker sudah mendapatkan kecocokan antara username dan password di satu akun, mereka menggunakan informasi tersebut untuk membobol akun atau layanan lainnya. Motif dari praktek ini adalah karena banyaknya orang yang menggunakan password yang sama dalam berbagai layanan.
Para peretas bisa saja menggunakan salah satu, beberapa atau bahkan semua metode di atas untuk mendapatkan username dan password sebuah website atau sistem lainnya. Oleh karena itu, sebelum hal buruk tersebut terjadi, kita harus tahu cara mencegah brute force attack tersebut.
Cara Mencegah Brute Force
Setiap orang tentu tidak ingin akun mereka dibobol oleh pihak tidak bertanggung jawab. Anda pun demikian, bukan? Agar hal tersebut tidak terjadi, beberapa cara di bawah bisa untuk Anda lakukan.
1. Buat Password yang Rumit atau Sulit Ditebak
Memang banyak orang memilih untuk menggunakan password sederhana dengan tujuan agar mudah diingat, tapi bahayanya password tersebut juga akan mudah ditebak.
Jika ingin terhindar dari upaya brute force, Anda harus membuat password yang sulit seperti mengkombinasikan huruf dengan angka, simbol dan/atau menggunakan variasi huruf kecil dan kapital.
2. Batasi Login ke Website Anda
Dari apa yang kami tuliskan sebelumnya, salah satu metode brute force adalah menebak-nebak kemungkinan password dan mencobanya. Oleh karena itu, cara sederhana untuk mencegah brute force adalah membatasi jumlah login ke website Anda.
Ada banyak cara untuk melakukan ini, jika website Anda dibangun dengan WordPress, Anda bisa menggunakan plugin semacam Loginizer dan sejenisnya. Atau akan lebih baik lagi jika Anda membangun website pada server hosting yang sudah dibekali perangkat keamanan seperti Imunify360.
3. Gunakan Captcha
Captcha merupakan singkatan dari Completely Automated Public Test to Tell Computers and Humans Apart. Sederhananya, ia adalah sistem yang bertugas untuk memastikan bahwa login dilakukan oleh pengguna bukan program komputer atau bot tertentu yang digunakan hacker untuk membobol sistem.
Ketika captcha aktif, upaya login tidak cukup hanya dengan menggunakan username dan password saja tetapi juga harus menyelesaikan captcha tersebut.
4. Mengganti URL Login Pada Website
Website yang dibuat dengan CMS (Content Management System) seperti WordPress umumnya menggunakan URL login standar (default). Peretas bisa mengakses halaman login tersebut untuk melakukan serangan brute force. Oleh karena itu, mengganti URL login akan meminimalisir kemungkinan website menjadi target brute force attack.
5. Menggunakan Two Factor Authentication
Two Factor Authentication (2FA) memang membuat langkah login menjadi lebih rumit. Metode ini membutuhkan konfirmasi pada perangkat lain agar proses login bisa berhasil. Alhasil, Anda memang harus melakukan otentikasi dua kali, tapi sebagai gantinya website Anda lebih sulit diretas karena hacker tidak memiliki akses ke perangkat tersebut.
Proses validasi atau konfirmasi 2FA bisa dilakukan melalui nomor telepon, email atau bahkan aplikasi yang dipasang pada perangkat komputer atau mobile Anda.
6. Memantau Log dan Rutin Mengganti Password
Upaya lainnya yang bisa Anda lakukan untuk mencegah brute force adalah dengan rajin memantau log website atau sistem Anda. Perhatikan apakah ada upaya masuk yang tidak Anda kenali, jika ada akan lebih baik jika Anda mengganti password.
Namun, jika pun tidak ada, mengganti password secara rutin tidak ada salahnya untuk dicoba agar Anda terhindar dari upaya pembobolan. Tapi pastikan password yang dibuat bukan yang mudah ditebak ya.