Serangan brute force adalah salah satu trik tertua yang dimiliki peretas, namun tetap sangat efektif. Bayangkan seseorang tanpa lelah mencoba menebak kombinasi di brankas Anda, namun bukan hanya satu orang, ini adalah algoritme canggih yang menguji jutaan kombinasi setiap detik.
Dalam artikel ini, saya akan membahas seluk beluk mekanisme serangan brute force, jenis-jenisnya, dan yang paling penting, cara mencegah serangan brute force secara efektif. Kami akan membahas strategi penting, pertahanan khusus platform, dan alat canggih untuk membantu Anda mengamankan sistem Anda dan mengakali penjahat dunia maya.
- Apa itu Serangan Brute Force?
- Praktik Terbaik untuk Mencegah Serangan Brute-Force
- Pencegahan Serangan Brute-Force di WordPress
- Mengamankan Terhadap Brute-Forcing SSH
- Alat Serangan Brute-Force yang Biasa Digunakan dan Cara Melawannya
- Pemikiran Akhir dan Tindakan Pencegahan Serangan Brute-Force Tingkat Lanjut
Apa itu Serangan Brute Force?
Salah satu serangan paling umum yang dihadapi pengembang web adalah serangan brute force. Di sinilah penyerang menggunakan algoritma yang mencoba setiap kombinasi huruf, angka, dan simbol dengan metode coba-coba hingga menemukan kombinasi yang tepat.
Yang sulit dari serangan semacam ini adalah kesederhanaan dan kegigihannya; tidak ada trik cerdas atau celah khusus yang dapat ditemukan dan diblokir dengan mudah, karena kata sandi adalah bagian penting dari sistem keamanan apa pun.
Serangan brute force tidak pilih-pilih—serangan ini menargetkan apa pun yang bisa mereka dapatkan, mulai dari akun pribadi hingga sistem perusahaan besar. Namun, dampak serangan ini seringkali bergantung pada platform yang bersangkutan. Login admin WordPress yang disusupi dapat berarti situs web dirusak atau data pelanggan dicuri, sementara serangan brute force SSH dapat membuka pintu air ke seluruh infrastruktur server perusahaan.
Serangan-serangan ini juga berdampak buruk pada reputasi dan menyebabkan downtime yang merugikan. Bisnis yang mengandalkan operasi online, seperti penyedia eCommerce atau SaaS, sering kali kehilangan pendapatan dan kepercayaan pelanggan karena pelanggaran. 60% usaha kecil akan berakhir dalam waktu enam bulan setelah terjadinya serangan siber besar, yang menunjukkan betapa dahsyatnya dampak dari insiden ini.
Namun sebelum kita membahas cara mencegah serangan brute force, Anda perlu mengetahui cara kerjanya, dan berbagai jenis metode brute force yang digunakan penyerang.
Mulai Ngeblog
Hosting sendiri WordPress Anda di perangkat keras kelas atas, yang dilengkapi penyimpanan NVMe dan latensi minimal di seluruh dunia — pilih distro favorit Anda.
Dapatkan VPS WordPress
Berbagai Jenis Serangan Brute Force
Ada beberapa jenis serangan brute force.
- Serangan Kamus: Targetkan kata sandi yang mudah ditebak dengan berulang kali mencoba daftar kata sandi yang umum digunakan, seperti “123456” atau “kata sandi”.
- Isian Kredensial: Peretas menggunakan kombinasi nama pengguna dan kata sandi yang bocor dari pelanggaran sebelumnya untuk mendapatkan akses ke banyak akun.
- Membalikkan Serangan Brute Force: Mulai dengan kata sandi yang dikenal (seperti “123456” atau “selamat datang”) dan secara sistematis memeriksanya dengan nama pengguna yang tak terhitung jumlahnya untuk menemukan kecocokan, serupa dengan memancing dengan satu umpan.
- Serangan Meja Pelangi: Memanfaatkan tabel yang telah dihitung sebelumnya yang memetakan hash ke kata sandi, memungkinkan pemecahan kata sandi yang di-hash lebih cepat tanpa langsung menghitung setiap hash.
- Penyemprotan Kata Sandi: Daripada membombardir satu akun dengan beberapa tebakan kata sandi, beberapa kata sandi umum diuji di banyak nama pengguna untuk mengeksploitasi kelemahan tanpa memicu penguncian.
- Serangan Brute Force Online: Targetkan sistem langsung seperti situs web dan aplikasi. Mereka berinteraksi dengan server namun mungkin menghadapi potensi pembatasan atau pembatasan kecepatan, sehingga membuatnya lebih lambat namun berbahaya terhadap formulir login yang lemah.
- Serangan Brute Force Offline: Dilakukan pada file curian dengan kata sandi terenkripsi, memungkinkan peretas menguji kunci dekripsi dengan kecepatan tinggi di mesin mereka, tidak terdeteksi oleh firewall atau sistem pemantauan.
Mengapa serangan ini begitu lazim? Sebagian besar masalahnya ada pada diri kita sendiri. Penelitian menunjukkan hal itu 65% orang menggunakan kembali kata sandi di beberapa akun. Ini seperti memberikan kunci utama kepada pencuri—setelah mereka memiliki satu kata sandi, mereka berpotensi dapat membuka semuanya. Dan tidak membantu jika kata sandi seperti “qwerty” masih menduduki puncak tangga lagu favorit dari tahun ke tahun.
Untuk mengetahui seberapa umum serangan ini terjadi, berikut statistiknya: 22,6% dari semua upaya login di situs web eCommerce pada tahun 2022 adalah serangan brute force atau credential-stuffing. Itu hampir satu dari empat upaya! Bisnis menghadapi penipuan pembelian, pencurian data pelanggan, dan mimpi buruk PR yang besar karena serangan yang tiada henti ini.
Selain itu, peretas menjangkau halaman situs target dan menyempurnakan alat brute force mereka agar sesuai dengan persyaratan parameter spesifik situs. Halaman login adalah target yang jelas, namun portal admin CMS juga merupakan hotspot populer bagi penyerang. Ini termasuk:
- WordPress: Titik masuk umum seperti wp-admin dan wp-login.php.
- Magento: Jalur yang rentan seperti /index.php dan panel admin.
- Joomla!: Halaman administratornya sering menjadi sasaran.
- vBuletin: Dasbor admin seperti admin cp sering kali menjadi sasaran.
Kabar baiknya? Memahami risiko adalah setengah dari perjuangan. Baik Anda mengamankan situs WordPress, server SSH, atau platform lainnya, mengetahui di mana letak kerentanan Anda adalah langkah pertama dalam mencegah serangan brute force.
Praktik Terbaik untuk Mencegah Serangan Brute-Force
Menghentikan serangan brute force memerlukan kombinasi akal sehat dan strategi cerdas. Anggap saja seperti mengunci setiap pintu dan jendela di rumah Anda—dan menambahkan sistem keamanan untuk berjaga-jaga. Praktik terbaik ini berfungsi di sebagian besar platform dan memberi Anda landasan kuat untuk menjaga sistem Anda tetap aman dan merupakan langkah penting dalam mencegah serangan brute force.
Gunakan Kata Sandi yang Kuat dan Unik
Kata sandi yang lemah atau digunakan kembali merupakan undangan terbuka untuk serangan brute force. Pilih kata sandi yang panjangnya minimal 12 karakter, sertakan campuran huruf, angka, dan simbol, dan hindari kata sandi apa pun yang dapat diprediksi. A studi ditemukan bahwa “123456” dan “kata sandi” masih menjadi kata sandi yang paling umum pada tahun 2022.
Menerapkan Otentikasi Multi-Faktor (MFA)
Dengan MFA, meskipun peretas menebak sandi Anda, mereka memerlukan langkah verifikasi tambahan, seperti kode satu kali yang dikirimkan ke ponsel Anda. Menurut Microsoft, MFA memblokir lebih dari 99,2% serangan penyusupan akun. Lihat panduan kami di cara mengaktifkan Otentikasi Dua Faktor di Windows 10.
Aktifkan Penguncian Akun
Batasi upaya login yang gagal sebelum mengunci akun untuk sementara. Fitur sederhana ini menghentikan serangan brute force di jalurnya.
Tetapkan Pembatasan Tarif
Batasi seberapa sering upaya login dapat dilakukan dalam jangka waktu tertentu. Misalnya, mengizinkan hanya lima upaya per menit dapat mengurangi kemungkinan terjadinya serangan brute force.
Pantau dan Tanggapi Aktivitas Tidak Biasa
Gunakan alat seperti sistem deteksi intrusi (IDS) untuk menangkap upaya kekerasan sejak dini.
Pertahanan terbaik adalah yang berlapis. Menggabungkan taktik ini dan mengetahui cara menghentikan serangan brute force akan mempersulit penyerang untuk berhasil. Selanjutnya, kita akan mempelajari cara menerapkan prinsip-prinsip ini pada platform tertentu seperti WordPress, di mana serangan brute force sangat umum terjadi.
Pencegahan Serangan Brute-Force di WordPress
Situs WordPress adalah magnet peretas. Dengan jutaan situs web yang berjalan di platform ini, para penyerang tahu bahwa besar kemungkinan mereka akan menemukan situs yang keamanannya lemah. Mengetahui cara mencegah serangan brute force di WordPress dapat membuat perbedaan besar—dan ini lebih mudah dari yang Anda kira.
Ubah URL Masuk Default
Peretas menargetkan halaman login default (/wp-admin atau /wp-login.php). Beralih ke URL khusus seperti memindahkan pintu depan—lebih sulit ditemukan oleh penyerang.
Instal Plugin Keamanan
Plugin seperti Wordfence dan Sucuri menawarkan alat pencegahan serangan brute force yang kuat, termasuk CAPTCHA, pemblokiran IP, dan pemantauan waktu nyata.
Nonaktifkan XML-RPC
XML-RPC adalah gateway yang dieksploitasi peretas untuk upaya login. Menonaktifkannya adalah suatu keharusan untuk mengurangi kerentanan terhadap serangan brute force yang biasa dihadapi situs WordPress.
Tambahkan CAPTCHA ke Halaman Login
CAPTCHA memastikan hanya manusia yang bisa masuk, mematikan alat brute force otomatis.
Perkuat wp-config.php
Batasi akses ke wp-config.php, cetak biru situs Anda, dengan menyesuaikan aturan .htaccess atau server.
Perbarui Secara Teratur
Plugin dan tema yang ketinggalan jaman merupakan pintu terbuka bagi penyerang. Pembaruan rutin menambal kerentanan yang diketahui, melindungi terhadap risiko serangan brute force WordPress. Ini adalah kunci untuk bertahan dari serangan brute force yang sangat rentan terjadi pada situs WordPress.
Dengan langkah-langkah ini, situs WordPress Anda menjadi lebih aman secara signifikan. Selanjutnya, kita akan menangani pengamanan server SSH, yang merupakan target umum serangan brute force lainnya.
Mengamankan Terhadap Brute-Forcing SSH
Server SSH seperti kunci digital kerajaan Anda, yang menjadikannya target utama para peretas. Mengetahui cara mencegah serangan brute force pada SSH tidak hanya cerdas—tetapi juga penting untuk melindungi sistem sensitif.
Gunakan Otentikasi Kunci SSH
Login berbasis kata sandi berisiko. Beralih ke otentikasi kunci SSH menambahkan lapisan keamanan ekstra, karena penyerang memerlukan akses ke kunci pribadi Anda, bukan hanya kata sandi yang dapat ditebak. Hal ini secara drastis mengurangi tingkat keberhasilan serangan brute force SSH.
Nonaktifkan Login Root
Pengguna root sering kali menjadi target pertama dalam brute force SSH. Nonaktifkan login root langsung dan buat akun pengguna terpisah dengan hak istimewa terbatas. Peretas tidak bisa memaksakan apa yang tidak bisa mereka targetkan.
Siapkan UFW dan Fail2Ban
Alat seperti UFW dan Fail2Ban memantau upaya login yang gagal dan memblokir IP yang menunjukkan perilaku mencurigakan. Ini adalah salah satu pertahanan paling efektif untuk menghentikan serangan brute force pada server SSH. Berikut panduan terperinci kami tentang cara menginstal, mengaktifkan, dan mengelola UFW dan Fail2Ban.
Ubah Port Default
Secara default, SSH menggunakan port 22, dan peretas mengetahuinya. Memindahkan SSH ke port non-standar menambahkan lapisan ketidakjelasan yang sederhana namun efektif.
Gunakan Daftar Putih IP
Batasi akses SSH ke alamat IP tertentu. Ini memblokir lalu lintas yang tidak diinginkan sepenuhnya, bahkan mencegah alat brute force untuk memulai.
Dengan langkah-langkah ini, server SSH Anda tidak akan terlalu rentan terhadap serangan. Setelah kita membahas praktik umum tentang cara mencegah serangan brute force, mari kita bahas cara memerangi alat khusus yang digunakan para penyerang ini.
Alat Serangan Brute-Force yang Biasa Digunakan dan Cara Melawannya
Meskipun praktik di atas dapat membantu secara signifikan dalam pencegahan serangan brute force, sebagian besar praktik tersebut bersifat umum tentang cara mencegah serangan brute force; namun, masalahnya adalah banyak penyerang menggunakan beberapa alat tertentu, dan mengetahui cara memeranginya sangatlah penting.
Alat Pembobol Kata Sandi Wi-Fi
Aircrack-ng: Alat serbaguna untuk memecahkan kata sandi Wi-Fi melalui serangan kamus pada WEP, WPA, dan WPA2-PSK, tersedia untuk berbagai platform.
- Mitigasi: Gunakan enkripsi WPA3, buat kata sandi yang panjang dan rumit, aktifkan pemfilteran alamat MAC, dan terapkan sistem deteksi intrusi nirkabel (WIDS).
Alat Pemecah Kata Sandi Umum
Yohanes si Pencabik: Mengidentifikasi kata sandi yang lemah dan memecahkannya menggunakan kekerasan atau serangan kamus, mendukung 15+ platform, termasuk Windows dan Unix.
- Mitigasi: Terapkan kebijakan kata sandi yang kuat (minimal 12 karakter, kompleksitas tinggi), gunakan hash asin, dan lakukan audit dan rotasi kata sandi secara teratur.
Retak Pelangi: Memanfaatkan tabel pelangi yang telah dihitung sebelumnya untuk mempercepat pemecahan kata sandi, mendukung Windows dan Linux.
- Mitigasi: Gunakan hash asin untuk membuat tabel pelangi menjadi tidak efektif dan terapkan algoritma hashing seperti bcrypt, Argon2, atau skrip.
L0phtRetak: Memecahkan kata sandi Windows menggunakan kamus, brute force, serangan hybrid, dan tabel pelangi sambil mendukung fitur-fitur canggih seperti ekstraksi hash dan pemantauan jaringan.
- Mitigasi: Kunci akun setelah upaya gagal, gunakan frasa sandi untuk entropi yang lebih kuat, dan terapkan autentikasi multifaktor (MFA).
celah terbuka: Berfokus pada pemecahan kata sandi Windows melalui hash LM menggunakan tabel pelangi bawaan, sering kali selesai dalam hitungan menit.
- Mitigasi: Tingkatkan ke sistem yang tidak bergantung pada hash LM (misalnya, Windows 10+), gunakan kata sandi yang panjang dan rumit, dan nonaktifkan SMBv1.
Alat Kata Sandi Canggih dan Serbaguna
Hashcat: Alat dengan akselerasi GPU yang mendukung berbagai hash dan serangan seperti brute force, kamus, dan hybrid.
- Mitigasi: Terapkan kebijakan kata sandi yang kuat, simpan file hash dengan aman, dan enkripsi data sensitif dengan kunci yang kuat.
DaveGrohl: Alat eksklusif Mac OS X yang mendukung serangan brute force dan kamus terdistribusi.
- Mitigasi: Audit sistem Mac OS X, batasi akses file kata sandi, dan terapkan autentikasi multifaktor (MFA).
Otentikasi Jaringan dan Alat Protokol
retak: Memecahkan protokol otentikasi jaringan seperti RDP, SSH, dan FTP di berbagai platform.
- Mitigasi: Batasi akses ke layanan yang terhubung ke jaringan melalui firewall, terapkan pemblokiran berbasis IP setelah beberapa kali upaya login gagal, dan gunakan port non-default untuk layanan penting.
THC Hidra: Melakukan serangan brute force berbasis kamus pada lebih dari 30 protokol, termasuk Telnet, FTP, dan HTTP(S).
- Mitigasi: Menerapkan CAPTCHA atau mekanisme lain untuk membatasi percobaan ulang, menggunakan protokol terenkripsi (misalnya FTPS, HTTPS), dan mewajibkan MFA untuk akses yang aman
Alat Khusus untuk Web, Subdomain, dan CMS
Gobuster: Ideal untuk subdomain dan direktori yang memaksa dalam pengujian penetrasi web.
- Mitigasi: Gunakan firewall aplikasi web (WAF), batasi akses ke direktori sensitif, dan sembunyikan atau samarkan struktur file default.
Riset: Menemukan jalur dan direktori web tersembunyi selama pengujian keamanan.
- Mitigasi: Gunakan .htaccess atau aturan server untuk membatasi akses, menghapus direktori yang tidak digunakan, dan mengamankan jalur web sensitif
Suite bersendawa: Rangkaian pengujian keamanan web lengkap dengan kemampuan brute force dan pemindaian kerentanan.
- Mitigasi: Tambal aplikasi web secara teratur, lakukan pengujian penetrasi, dan pantau aktivitas brute force yang tidak wajar.
Pencarian CM: Berfokus pada penemuan dan eksploitasi kerentanan CMS selama pengujian.
- Mitigasi: Selalu perbarui platform CMS, amankan konfigurasi, dan batasi upaya kekerasan dengan plugin pelindung.
Token, Media Sosial, dan Alat Lain-Lain
Kerupuk JWT: Mengkhususkan diri dalam memecahkan Token Web JSON untuk tujuan pengujian.
- Mitigasi: Gunakan kunci yang panjang dan aman untuk penandatanganan JWT, terapkan waktu kedaluwarsa token yang pendek, dan tolak algoritme yang lemah atau tidak ditandatangani.
Kotak Sosial: Digunakan untuk pengujian brute-force akun media sosial.
- Mitigasi: Aktifkan penguncian akun setelah upaya gagal, terapkan autentikasi dua faktor, dan edukasi pengguna tentang kesadaran phishing.
Prediktor: Pembuat kamus untuk membuat daftar kata yang disesuaikan untuk serangan brute force.
- Mitigasi: Pantau kebocoran kredensial, hindari penggunaan kata sandi default yang lemah, dan terapkan audit berkelanjutan untuk keamanan.
Patator: Alat brute force multiguna yang mendukung beragam protokol dan metode.
- Mitigasi: Terapkan pembatasan tingkat, pesan kesalahan khusus, dan mekanisme penguncian akun yang kuat untuk memperlambat penyerang.
pelacak jaringan: Mengotomatiskan tugas pengujian penetrasi, termasuk kekerasan dan penilaian lainnya.
- Mitigasi: Pantau log jaringan secara teratur, isolasi kredensial pengujian, dan pastikan alat penetrasi dikelola dengan aman.
Pemikiran Akhir dan Tindakan Pencegahan Serangan Brute-Force Tingkat Lanjut
Alat canggih seperti perangkat lunak analisis perilaku, honeypot, dan pemblokir reputasi IP dapat mengenali dan menghentikan ancaman sebelum terjadi. Langkah-langkah proaktif ini sejalan dengan langkah-langkah utama, seperti autentikasi multi-faktor dan kata sandi yang kuat, untuk menciptakan pertahanan yang kokoh.
Mempelajari cara mencegah serangan brute force berarti berpikir jangka panjang. Memasangkan strategi cerdas dengan alat pencegahan serangan brute force membantu melindungi sistem Anda bahkan dari penyerang yang paling gigih sekalipun. Tetap tajam, tetap bisa beradaptasi, dan perlakukan keamanan siber sebagai investasi masa depan Anda.
