Serangan brute force adalah salah satu trik paling lama dalam dunia hacking, namun tetap sangat efektif hingga kini. Bayangkan seseorang yang terus-menerus mencoba menebak kombinasi kunci brankas Anda — bedanya, bukan hanya satu orang, melainkan sebuah algoritma yang menguji jutaan kombinasi setiap detiknya.
Dalam artikel ini, saya akan membahas secara mendalam cara kerja serangan brute-force, berbagai jenisnya, dan yang terpenting, cara mencegahnya secara efektif. Kita akan membahas strategi-strategi penting, pertahanan khusus per platform, serta alat-alat canggih yang dapat membantu Anda mengamankan sistem dan selangkah lebih maju dari para pelaku kejahatan siber.
Apa Itu Serangan Brute-Force?
Salah satu serangan yang paling sering dihadapi developer web adalah brute-force attack. Penyerang menggunakan algoritma yang mencoba setiap kombinasi huruf, angka, dan simbol secara trial-and-error hingga menemukan kombinasi yang tepat.
Yang membuat serangan ini sulit ditangani adalah kesederhanaannya dan ketekunannya yang tak kenal lelah. Tidak ada celah tersembunyi atau trik khusus yang bisa dengan mudah ditemukan dan diblokir, karena password adalah bagian inti dari sistem keamanan mana pun.
Brute-force attack tidak pilih-pilih sasaran — mulai dari akun pribadi hingga sistem perusahaan besar semuanya rentan. Dampaknya bergantung pada platform yang diserang. Login admin WordPress yang berhasil dibobol bisa berujung pada website yang dirusak atau data pelanggan yang dicuri, sementara brute-force attack pada SSH bisa membuka akses ke seluruh infrastruktur server perusahaan.
Serangan ini juga merusak reputasi dan menyebabkan downtime yang mahal. Bisnis yang bergantung pada operasi online, seperti eCommerce atau penyedia SaaS, sering kehilangan pendapatan sekaligus kepercayaan pelanggan saat terjadi pelanggaran keamanan. 60% dari bisnis kecil tutup dalam enam bulan setelah mengalami serangan siber besar, yang menunjukkan betapa merusaknya insiden semacam ini.
Namun sebelum membahas cara mencegah brute-force attack, Anda perlu memahami cara kerjanya dan berbagai metode brute-force yang digunakan penyerang.
Mulai Blogging
Host WordPress Anda sendiri di atas hardware terbaik dengan storage NVMe dan latensi rendah di seluruh dunia. Pilih distro favorit Anda.
Dapatkan WordPress VPS
Berbagai Jenis Serangan Brute-Force
Ada beberapa jenis brute-force attack.
- Serangan Kamus: Menargetkan password yang mudah ditebak dengan mencoba berulang kali daftar password yang umum digunakan, seperti "123456" atau "password".
- Credential Stuffing: Pengisian Kredensial: Hacker menggunakan kombinasi username dan password yang bocor dari pelanggaran data sebelumnya untuk mengakses banyak akun sekaligus.
- Reverse Brute-Force Attack: Dimulai dengan password yang sudah diketahui (seperti "123456" atau "welcome") lalu mencobanya secara sistematis ke berbagai username untuk menemukan yang cocok, mirip seperti memancing dengan satu umpan.
- Rainbow Table Attack: Menggunakan tabel yang sudah dihitung sebelumnya untuk memetakan hash ke password, sehingga cracking password yang di-hash bisa dilakukan lebih cepat tanpa perlu menghitung setiap hash satu per satu.
- Penyemprotan Kata Sandi: Alih-alih membombardir satu akun dengan banyak tebakan password, beberapa password umum diuji ke banyak username sekaligus untuk mengeksploitasi kelemahan tanpa memicu lockout.
- Online Brute-Force Attack: Menargetkan sistem yang aktif seperti website dan aplikasi. Serangan ini berinteraksi langsung dengan server, tetapi bisa terhambat oleh throttling atau rate limiting, sehingga lebih lambat namun tetap berbahaya terhadap form login yang lemah.
- Offline Brute-Force Attack: Dilakukan pada file curian berisi kata sandi terenkripsi, memungkinkan peretas menguji kunci dekripsi dengan kecepatan tinggi di mesin mereka sendiri, tanpa terdeteksi oleh firewall atau sistem pemantauan.
Mengapa serangan ini begitu marak? Sebagian besar masalahnya ada pada kita sendiri. Penelitian menunjukkan bahwa 65% dari orang-orang menggunakan kata sandi yang sama di banyak akun. Ini seperti memberikan kunci master kepada pencuri - begitu mereka mendapatkan satu kata sandi, mereka berpotensi membuka segalanya. Belum lagi fakta bahwa kata sandi seperti "qwerty" masih terus bertengger di posisi teratas sebagai favorit dari tahun ke tahun.
Untuk menggambarkan betapa umumnya serangan ini, perhatikan statistik berikut: 22,6% dari seluruh percobaan login di situs eCommerce pada tahun 2022 merupakan serangan brute force atau credential stuffing. Hampir satu dari empat percobaan! Bisnis menghadapi pembelian palsu, pencurian data pelanggan, dan krisis reputasi besar akibat serangan yang terus-menerus ini.
Selain itu, peretas mempelajari halaman target dan menyesuaikan alat brute force mereka agar cocok dengan parameter spesifik situs tersebut. Halaman login adalah target paling jelas, tetapi portal admin CMS juga menjadi sasaran populer. Ini termasuk:
- WordPress: Titik masuk umum seperti wp-admin dan wp-login.php.
- Magento: Jalur rentan seperti /index.php dan panel admin.
- Joomla!: Halaman administrator-nya sering menjadi sasaran utama.
- vBulletin: Dashboard admin seperti admin cp juga kerap masuk dalam bidikan penyerang.
Kabar baiknya? Memahami risikonya adalah separuh dari solusi. Baik Anda mengamankan situs WordPress, server SSH, atau platform lainnya, mengetahui di mana letak kerentanan Anda adalah langkah pertama untuk mencegah serangan brute force sejak awal.
Praktik Terbaik untuk Mencegah Serangan Brute-Force
Menghentikan serangan brute force membutuhkan kombinasi akal sehat dan strategi yang tepat. Bayangkan seperti mengunci setiap pintu dan jendela rumah Anda, lalu menambahkan sistem keamanan sebagai lapisan perlindungan tambahan. Praktik terbaik ini berlaku di hampir semua platform dan memberi Anda fondasi yang kuat untuk menjaga keamanan sistem - sekaligus menjadi langkah penting dalam mencegah serangan brute force.
Gunakan Kata Sandi yang Kuat dan Unik
Kata sandi yang lemah atau dipakai ulang adalah undangan terbuka bagi serangan brute force. Pilih kata sandi yang panjangnya minimal 12 karakter, kombinasikan huruf, angka, dan simbol, serta hindari kata sandi yang mudah ditebak. Sebuah studi menemukan bahwa "123456" dan "password" masih termasuk kata sandi paling umum digunakan pada tahun 2022.
Terapkan Autentikasi Multi-Faktor (MFA)
Dengan MFA, meskipun peretas berhasil menebak kata sandi Anda, mereka tetap membutuhkan langkah verifikasi tambahan, seperti kode sekali pakai yang dikirim ke ponsel Anda. Menurut Microsoft, MFA memblokir lebih dari 99,2% serangan kompromi akun. Lihat panduan kami tentang cara mengaktifkan Two-Factor Authentication di Windows 10.
Aktifkan Penguncian Akun
Batasi percobaan login yang gagal sebelum akun dikunci sementara. Fitur sederhana ini menghentikan serangan brute force langsung di akarnya.
Terapkan Rate Limiting
Batasi frekuensi percobaan login dalam rentang waktu tertentu. Misalnya, mengizinkan hanya lima percobaan per menit dapat membuat serangan brute force jauh lebih sulit dilakukan.
Pantau dan Tanggapi Aktivitas Mencurigakan
Gunakan alat seperti intrusion detection system (IDS) untuk mendeteksi percobaan brute force sejak dini.
Pertahanan terbaik adalah pertahanan berlapis. Menggabungkan taktik-taktik ini dan memahami cara menghentikan serangan brute force akan membuat penyerang jauh lebih sulit berhasil. Berikutnya, kita akan membahas cara menerapkan prinsip-prinsip ini pada platform tertentu seperti WordPress, tempat serangan brute force sangat sering terjadi.
Pencegahan Serangan Brute-Force pada WordPress
Situs WordPress adalah magnet bagi peretas. Dengan jutaan situs yang berjalan di platform ini, penyerang tahu peluang mereka cukup besar untuk menemukan satu yang memiliki keamanan lemah. Mengetahui cara mencegah serangan brute force pada WordPress bisa menjadi penentu - dan caranya lebih mudah dari yang Anda kira.
Ganti URL Login Default
Peretas menargetkan halaman login default (/wp-admin atau /wp-login.php). Menggantinya dengan URL kustom ibarat memindahkan pintu depan rumah - jauh lebih sulit ditemukan oleh penyerang.
Pasang Plugin Keamanan
Plugin seperti Wordfence dan Sucuri menawarkan alat pencegahan serangan brute force yang andal, termasuk CAPTCHA, pemblokiran IP, dan pemantauan secara real-time.
Nonaktifkan XML-RPC
XML-RPC adalah celah yang sering dimanfaatkan peretas untuk mencoba login. Menonaktifkannya adalah langkah wajib untuk mengurangi kerentanan terhadap serangan brute force yang umum dihadapi situs WordPress.
Tambahkan CAPTCHA pada Halaman Login
CAPTCHA memastikan hanya manusia yang bisa login, sehingga alat otomatis untuk brute force tidak bisa bekerja.
Perkuat wp-config.php
Batasi akses ke wp-config.php, file konfigurasi utama situs Anda, dengan mengatur aturan di .htaccess atau di level server.
Perbarui Secara Teratur
Plugin dan tema yang tidak diperbarui adalah celah terbuka bagi penyerang. Pembaruan rutin menambal kerentanan yang sudah diketahui, melindungi situs dari risiko serangan brute force WordPress. Ini adalah langkah kunci untuk bertahan dari serangan brute force yang kerap menyasar situs WordPress.
Dengan langkah-langkah ini, situs WordPress Anda akan jauh lebih aman. Berikutnya, kita akan membahas cara mengamankan server SSH, target umum lainnya dalam serangan brute force.
Mengamankan SSH dari Serangan Brute-Force
Server SSH ibarat kunci digital ke seluruh sistem Anda, sehingga menjadi incaran utama para peretas. Mengetahui cara mencegah serangan brute force pada SSH bukan sekadar langkah bijak - ini krusial untuk melindungi sistem yang sensitif.
Gunakan Autentikasi Kunci SSH
Login berbasis kata sandi memiliki risiko tersendiri. Beralih ke autentikasi kunci SSH menambahkan lapisan keamanan ekstra, karena penyerang membutuhkan akses ke kunci privat Anda - bukan sekadar menebak kata sandi. Ini secara signifikan menurunkan tingkat keberhasilan serangan brute force pada SSH.
Nonaktifkan Login Root
Pengguna root sering kali menjadi target pertama dalam brute force SSH. Nonaktifkan login root langsung dan buat akun pengguna terpisah dengan hak akses terbatas. Penyerang tidak bisa menyerang target yang tidak bisa mereka jangkau.
Konfigurasikan UFW dan Fail2Ban
Alat seperti UFW dan Fail2Ban memantau percobaan login yang gagal dan memblokir IP yang menunjukkan aktivitas mencurigakan. Ini adalah salah satu pertahanan paling efektif untuk menghentikan serangan brute force pada server SSH. Berikut panduan lengkap kami tentang cara menginstal, mengaktifkan, dan mengelola UFW dan Fail2Ban.
Ganti Port Default
Secara default, SSH menggunakan port 22, dan para peretas sudah tahu itu. Memindahkan SSH ke port non-standar menambahkan lapisan penyamaran yang sederhana namun efektif.
Gunakan Whitelist IP
Batasi akses SSH hanya untuk alamat IP tertentu. Ini memblokir lalu lintas yang tidak diinginkan sepenuhnya, sehingga alat brute force tidak punya kesempatan untuk memulai.
Dengan langkah-langkah ini, server SSH Anda akan jauh lebih sulit diserang. Setelah membahas praktik umum pencegahan serangan brute force, mari kita bicara tentang cara menghadapi alat-alat spesifik yang digunakan para penyerang.
Alat Brute-Force Attack yang Umum Digunakan dan Cara Mengatasinya
Meskipun praktik-praktik di atas dapat sangat membantu dalam mencegah serangan brute force, sebagian besar bersifat umum. Faktanya, banyak penyerang mengandalkan beberapa alat tertentu, dan memahami cara menghadapinya sangatlah penting.
Alat Cracking Password Wi-Fi
Aircrack-ng: Alat serbaguna untuk membobol kata sandi Wi-Fi melalui serangan kamus pada WEP, WPA, dan WPA2-PSK, tersedia untuk berbagai platform.
- Mitigasi: Gunakan enkripsi WPA3, buat kata sandi yang panjang dan kompleks, aktifkan pemfilteran alamat MAC, dan terapkan sistem deteksi intrusi nirkabel (WIDS).
Alat Cracking Password Umum
John the Ripper Mengidentifikasi kata sandi yang lemah dan membobolnya menggunakan brute force atau serangan kamus, mendukung lebih dari 15 platform, termasuk Windows dan Unix.
- Mitigasi: Terapkan kebijakan kata sandi yang kuat (minimal 12 karakter dengan kompleksitas tinggi), gunakan salted hash, serta lakukan audit dan rotasi kata sandi secara berkala.
Retakan Pelangi Memanfaatkan rainbow table yang telah dihitung sebelumnya untuk mempercepat pembobolan kata sandi, mendukung Windows maupun Linux.
- Mitigasi: Gunakan salted hash untuk membuat rainbow table tidak efektif, dan terapkan algoritma hashing seperti bcrypt, Argon2, atau scrypt.
L0phtCrack: Membobol kata sandi Windows menggunakan serangan kamus, brute-force, hybrid, dan rainbow table, dengan dukungan fitur lanjutan seperti ekstraksi hash dan pemantauan jaringan.
- Mitigasi: Kunci akun setelah beberapa kali percobaan gagal, gunakan passphrase untuk entropi yang lebih kuat, dan terapkan autentikasi multifaktor (MFA).
Ophcrack: Berfokus pada pembobolam kata sandi Windows melalui LM hash menggunakan rainbow table bawaan, sering kali selesai dalam hitungan menit.
- Mitigasi: Tingkatkan ke sistem yang tidak bergantung pada LM hash (misalnya, Windows 10+), gunakan kata sandi panjang dan kompleks, serta nonaktifkan SMBv1.
Alat Password Lanjutan dan Serbaguna
Hashcat: Alat yang dipercepat dengan GPU, mendukung berbagai jenis hash dan serangan seperti brute force, kamus, dan hybrid.
- Mitigasi: Terapkan kebijakan kata sandi yang kuat, simpan file hash dengan aman, dan enkripsi data sensitif menggunakan kunci yang kuat.
DaveGrohl: Alat khusus Mac OS X yang mendukung brute force terdistribusi dan serangan kamus.
- Mitigasi: Audit sistem Mac OS X, batasi akses ke file kata sandi, dan terapkan autentikasi multifaktor (MFA).
Alat Autentikasi Jaringan dan Protokol
Ncrack: Membobol protokol autentikasi jaringan seperti RDP, SSH, dan FTP di berbagai platform.
- Mitigasi: Batasi akses ke layanan yang menghadap jaringan melalui firewall, terapkan pemblokiran berbasis IP setelah beberapa kali percobaan login gagal, dan gunakan port non-default untuk layanan penting.
THC Hydra: Melakukan serangan brute force berbasis kamus pada lebih dari 30 protokol, termasuk Telnet, FTP, dan HTTP(S).
- Mitigasi: Terapkan CAPTCHA atau mekanisme lain untuk membatasi percobaan ulang, gunakan protokol terenkripsi (misalnya, FTPS, HTTPS), dan wajibkan MFA untuk akses yang aman.
Alat Khusus untuk Web, Subdomain, dan CMS
Gobuster: Ideal untuk brute-forcing subdomain dan direktori dalam pengujian penetrasi web.
- Mitigasi: Gunakan web application firewall (WAF), batasi akses ke direktori sensitif, serta sembunyikan atau samarkan struktur file default.
Penelitian: Menemukan path dan direktori web tersembunyi selama pengujian keamanan.
- Mitigasi: Gunakan .htaccess atau aturan server untuk membatasi akses, hapus direktori yang tidak digunakan, dan amankan path web yang sensitif.
Burp Suite Suite pengujian keamanan web lengkap dengan kemampuan brute force dan pemindaian kerentanan.
- Mitigasi: Perbarui aplikasi web secara berkala, lakukan pengujian penetrasi, dan pantau aktivitas brute force yang mencurigakan.
CMSeek: Berfokus pada penemuan dan eksploitasi kerentanan CMS selama pengujian.
- Mitigasi: Selalu perbarui platform CMS, amankan konfigurasinya, dan batasi percobaan brute-force menggunakan plugin pelindung.
Alat Token, Media Sosial, dan Lainnya
Pemecah JWT Berspesialisasi dalam pembobolam JSON Web Token untuk keperluan pengujian.
- Mitigasi: Gunakan kunci yang panjang dan aman untuk penandatanganan JWT, terapkan waktu kedaluwarsa token yang singkat, dan tolak algoritma yang lemah atau tidak ditandatangani.
SocialBox: Digunakan untuk pengujian brute-force akun media sosial.
- Mitigasi: Aktifkan penguncian akun setelah percobaan gagal, terapkan autentikasi dua faktor, dan edukasi pengguna tentang kesadaran terhadap phishing.
Prediktor: Alat pembuat kamus untuk membuat daftar kata yang disesuaikan guna keperluan serangan brute-force.
- Mitigasi: Pantau kebocoran kredensial, hindari penggunaan kata sandi lemah yang sudah dikenal, dan terapkan audit keamanan secara berkala.
Patator: Alat brute force serbaguna yang mendukung berbagai protokol dan metode.
- Mitigasi: Terapkan pembatasan laju permintaan, pesan error yang tidak informatif bagi penyerang, dan mekanisme penguncian akun yang ketat untuk memperlambat serangan.
Nettracker: Mengotomatiskan tugas pengujian penetrasi, termasuk brute force dan berbagai jenis pengujian lainnya.
- Mitigasi: Pantau log jaringan secara rutin, pisahkan kredensial pengujian, dan pastikan alat penetrasi dikelola dengan aman.
Kesimpulan dan Langkah Pencegahan Brute-Force Attack Tingkat Lanjut
Alat canggih seperti perangkat lunak analisis perilaku, honeypot, dan pemblokir reputasi IP dapat mendeteksi dan menghentikan ancaman sebelum berkembang. Langkah-langkah proaktif ini melengkapi pertahanan utama seperti autentikasi multi-faktor dan kata sandi yang kuat, sehingga membentuk sistem keamanan yang kokoh.
Memahami cara mencegah serangan brute force berarti berpikir jangka panjang. Memadukan strategi yang tepat dengan alat pencegahan serangan brute force membantu melindungi sistem Anda dari penyerang yang paling gigil sekalipun. Tetap waspada, tetap adaptif, dan jadikan keamanan siber sebagai investasi untuk masa depan Anda.
