(0275) 2974 127
Serangan brute force adalah upaya mendapatkan akses sebuah akun dengan menebak username dan password yang digunakan. Brute force attack sebenarnya merupakan teknik lama dalam aksi cyber crime. Namun, masih banyak digunakan karena dianggap masih efektif.
Metode yang digunakan dalam serangan brute force memang terlihat lebih sederhana dari jenis serangan yang lain. Jika pada umumnya perentas menggunakan strategi intelektual, pada serangan ini mereka hanya mencoba merangkai kombinasi karakter yang berbeda sampai menemukan kombinasi yang benar.
Selain terlihat sederhana, waktu yang dibutuhkan untuk bisa menemukan kata sandi yang tepat juga tidak bisa ditentukan. Jika users atau target serangan menggunakan kata sandi yang cukup panjang dan kompleks, maka perlu beberapa hari, bulan, atau bahkan bertahun-tahun untuk memecahkan kata sandi. Namun perlu diperhatikan bahwa saat ini teknologi terus berkembang. Perentas dapat menggunakan sistem komputer yang dapat digunakan untuk mencoba dan menebak miliaran kata sandi hanya dalam waktu beberapa jam saja. Dengan mengetahui apa itu brute force, diharapkan users dapat lebih berhati-hati ketika membuat kata sandi pada akun atau sistem yang digunakan.
Berikut ini beberapa tujuan dilakukan brute force, yaitu :
Pada praktiknya, hacker mencoba menggunakan beberapa metode untuk melakukan brute force attack. Berikut ini beberapa metode brute force, yaitu :
Pada umumnya, hacker akan sekedar menebak-nebak password yang mungkin dipakai pada akun target. Metode ini cukup sering berhasil. Terutama pada akun yang tidak menerapkan batasan login.
Hacker bisa mencoba kombinasi username password sebanyak mungkin.
Berbeda dengan metode sederhana, pada metode kamus (dictionary attack), hacker telah menyiapkan sekumpulan password yang paling memungkinkan digunakan. Jadi, bukan asal menebak saja.
Dengan daftar password yang telah disiapkan, hacker akan mulai mengeliminasi setiap daftar yang telah dicoba dan gagal. Artinya, hanya kombinasi password yang sering cocok saja yang digunakan sehingga lebih efisien dalam menjalankan aksinya.
Metode hybrid adalah serangan brute force dengan menggabungkan metode sederhana dan kamus. Artinya, hacker telah memiliki daftar password untuk menebak login. Namun, selain mencoba menebak kombinasi pada daftar yang ada, mereka akan mencoba menambahkan angka atau huruf yang dianggap potensial.
Sesuai namanya, metode ini akan menggunakan username dan password yang cocok pada suatu akun untuk akun lainnya. Idenya adalah tidak sedikit orang yang menggunakan password yang sama dalam berbagai layanan. Jadi, dalam satu aksi pembobolan bisa banyak akun yang dikuasai.
Metode rainbow table adalah metode brute force yang paling unik. Hacker tidak menebak password tapi melakukan dekripsi proteksi hash hasil enkripsi dari sebuah password.
Metode ini lebih berpeluang memberikan password yang akurat karena serangan brute force bisa menimpa siapa saja, terutama website WordPress.
Berikut ini beberapa cara mencegah serangan brute force, yaitu :
Kalau masih menggunakan password “123456”, segeralah ganti password tersebut karena terlalu umum dan mudah ditebak. Hacker akan mudah mengetahuinya dengan serangan brute force dalam waktu singkat.
Cara membuat password yang kuat dengan menggabungkan huruf kapital, huruf kecil, simbol dan angka yang tidak berurutan. Jangan lupa untuk membuat password minimal 8 karakter.
Pada WordPress, pastikan sudah mendapatkan keterangan Strong yang menunjukkan password sudah kuat. Semakin kuat password, semakin sulit hacker menebak password tersebut.
Limit login akan membatasi seberapa banyak percobaan login bisa dilakukan. Hal ini cukup membantu dalam menghindari serangan brute force. Sebab, setelah beberapa percobaan, login akan terkunci beberapa waktu.
Katakanlah mengatur limit login 5 kali. Maka, setelah gagal login 5 kali di halaman WordPress, akun akan dikunci dan perlu waktu untuk mencoba kombinasi username dan password yang lain.
Ini tentu menyulitkan upaya perentasan karena akan memakan waktu lebih lama. Limit login memberi kebebasan untuk mengatur tingkat keamanannya : berapa banyak percobaan yang dilakukan atau berapa lama login dikunci.
Bagi pengguna WordPress bisa mengatur limit login dengan mudah menggunakan plugin keamanan seperti iThemes Security, Wordfence Security dll.
Untuk mengamankan website dari brute force attack dapat menggunakan captcha (Completely Automated Public Test to Tell Computers and Humans Apart).
Sistem ini akan membantu memastikan bahwa login dilakukan oleh pengguna yang berwenang, bukan oleh sebuah program komputer yang dirancang hacker untuk membobol sistem.
Dengan captcha yang aktif, ketika login tidak hanya mengisi username dan password saja, tapi juga captcha. Captcha hanya bisa dipahami oleh visual manusia. Jadi robot atau program komputer tidak akan bisa tahu isinya. Awalnya, captcha hanya berupa huruf dan angka random. Namun, saat ini telah berkembang, ada yang berupa penjumlahan dan mencocokan gambar.
Untuk menggunakan captcha, pengguna WordPress cukup memasang plugin WP Captcha.
Setelah terpasang, aktifkan plugin tersebut. Selanjutnya tinggal memilih jenis captcha yang diinginkan dan melakukan beberapa pengaturan seperti penempatan captcha.
Two Factor Authentication (2FA) adalah upaya mencegah brute force attack dengan menggunakan konfirmasi dari perangkat lain. Jadi, diperlukan otentikasi dua kali untuk bisa login dengan akun Anda, yaitu password dan kode khusus.
Dengan 2FA yang diaktifkan maka akan mendapatkan kode otentikasi setiap kali login. Biasanya kode akan diterima lewat nomor telepon atau email.
Keuntungan menggunakan 2FA adalah akan mendapat informasi adanya aktivitas login yang dilakukan. Selain itu, tanpa kode dari tidak seorang pun bisa melanjutkan upaya login.
Untuk login ke WordPress, URL yang digunakan adalah www.namawebsite.com/wp-admin. URL default ini sering digunakan hacker untuk melakukan brute force.
Jika ingin mengganti URL login akan lebih sulit hacker menebaknya. Hanya perlu install dan aktifkan plugin All in One WP Security & Firewall. Setelah aktif, pilih menu Brute force.
Masukkan URL login baru yang diinginkan pada kolom Login Page URL. Lalu centang check this if you want to enable the rename login page feature dan klik Save Settings.
Sekarang, alamat URL login website telah berubah.
CloudFlare merupakan layanan keamanan untuk melindungi website WordPress, termasuk dari brute force attack. Dengan CloudFlare, pengguna dapat melakukan pengaturan untuk membatasi halaman login dan memeriksa integritas browser.
Penting untuk mengecek daftar aktivitas user yang ada pada website. Dari data tersebut bisa tahu jika ada aktivitas mencurigakan pada website. Termasuk percobaan login berkali-kali, lengkap dengan alamat IP-nya.
Cara untuk memantaunya pun sangat mudah bisa memanfaatkan plugin keamanan seperti plugin WP Security Audit Log.
Cukup install dan aktifkan plugin terlebih dahulu. Setelah aktif dapat melihat log WordPress pada bagian Audit Log Viewer.
Ada banyak hal merugikan yang bisa terjadi ketika hacker berhasil menggunakan teknik brute force. Berikut ini merupakan beberapa contoh kejadian yang kerap terjadi di lapangan :
Setelah hacker berhasil menyusup kedalam website dengan cara melakukan brute force attack, maka salah satu aktivitas yang kerap kali terjadi adalah injeksi malware atau menyusupkan malware kedalam website. Malware ini bisa berupa banyak hal, seperti ransomeware yang sifatnya untuk memeras korban, virus yang bisa menginfeksi program komputer, hingga aplikasi berbahaya yang bisa mengintai data pengguna.
Dengan adanya malware yang disisipkan, maka setiap pengunjung yang mengakses website bisa dipastikan bakal jadi sasaran empuk dari para hacker tersebut.
Spamvertising merupakan hal yang lumrah terjadi di era teknologi seperti saat ini, hampir sama seperti malware, tindakan ini biasanya dimanfaatkan oleh hacker yang berhasil masuk ke dashboard suatu website untuk memperoleh keuntungan berupa uang dari iklan spam yang telah dipasang secara ilegal.
Selain mencuri data sensitif pengguna sebagaimana yang baru-baru ini menimpa Bhinneka dan Tokopedia. Hacker yang berhasil masuk melalui cara brute force attack biasanya juga meninggalkan jejak dengan cara mengganti tampilan konten. Tindakan ini tentu sangat merugikan bagi pengunjung maupun pemilik situs.
Apakah Anda menggunakan kartu ATM atau kartu debit? Suka bertransaksi secara cashless? Sepertinya Anda perlu…
Design website toko online tidak hanya soal estetika, tapi juga UX yang bagus secara keseluruhan.…
Sebelum memulai karir Anda sebagai desainer UX, Anda harus membuat portofolio yang mencakup semua pengalaman…
Keep-Alive memungkinkan browser pengunjung Anda mendownload semua konten (JavaScript, CSS, gambar, video, dll) melalui koneksi…
Job description seorang web developer adalah membuat situs web menggunakan berbagai bahasa pemrograman. Tanggung jawab…
Secara default, WordPress tidak mendukung A/B testing. Tapi jangan khawatir. Di bawah ini, kami telah…