Sebagian besar orang pasti pernah mendengar istilah “data breach”. Pasti banyak orang yang berpikir ini disebabkan oleh seorang peretas jahat yang duduk di depan layar yang ditutupi teks digital bergaya Matrix? Atau superkomputer yang kuat yang mencoba meretas seluruh dunia?
Peretasan adalah tentang satu hal yaitu mendapatkan kata sandi. Jika seseorang dapat menebak kata sandi kalian, mereka tidak memerlukan teknik peretasan dan superkomputer yang rumit. Mereka hanya akan masuk, bertindak sebagai kalian. Jika kata sandi kalian pendek dan sederhana, permainan berakhir. Sebenarnya ada delapan teknik paling umum yang dipergunakan untuk mencuri password. Mari kita lihat.
Baca Juga: Apa Itu Penetration Testing: Tahapan Dan Metode
DAFTAR ISI
1. Dictionary Attack
Yang pertama dalam panduan teknik paling umum yang dipergunakan untuk mencuri password adalah dictionary attack atau serangan kamus. Mengapa ini disebut serangan kamus? Karena secara otomatis mencoba setiap kata dalam “kamus” yang ditentukan terhadap kata sandi. Kamus disini berbeda dengan yang kalian gunakan di sekolah.
Sebenarnya maksud kamus disini adalah file kecil yang juga berisi kombinasi sandi yang paling umum digunakan. Itu termasuk 123456, qwerty, password, iloveyou, dan all-time classic, hunter2. Tabel di atas merinci kata sandi yang paling banyak bocor pada tahun 2016.
Tabel di bawah merinci kata sandi yang paling banyak bocor pada tahun 2020. Perhatikan kesamaan antara keduanya dan pastikan kalian tidak menggunakan opsi yang sangat sederhana ini.
Untuk terhindar dari dictionary attack. Gunakan kata sandi sekali pakai yang kuat untuk setiap akun, bersama dengan aplikasi pengelolaan kata sandi. Pengelola kata sandi memungkinkan kalian menyimpan kata sandi kalian yang lain dalam sebuah repositori. Kemudian, kalian dapat menggunakan satu kata sandi yang sangat kuat untuk setiap situs.
Baca Juga: 5 Situs Untuk Membuat Password Yang Kuat Dan Aman
2. Brute Force
Selanjutnya, serangan brute force, di mana penyerang mencoba setiap kombinasi karakter yang mungkin. Kata sandi yang dicoba akan cocok dengan spesifikasi untuk aturan kompleksitas, misalnya, termasuk satu huruf besar, satu huruf kecil, desimal Pi dan seterusnya.
Serangan brute force juga akan mencoba kombinasi karakter alfanumerik yang paling umum digunakan terlebih dahulu. Ini termasuk kata sandi yang terdaftar sebelumnya, serta 1q2w3e4r5t, zxcvbnm, dan qwertyuiop. Diperlukan waktu yang sangat lama untuk mengetahui kata sandi menggunakan metode ini, tetapi itu sepenuhnya bergantung pada kerumitan kata sandi.
Untuk tetap aman dari serangan brute force. Pastikan kalian selalu menggunakan kombinasi karakter yang bervariasi, dan jika memungkinkan, gunakan simbol tambahan untuk meningkatkan kompleksitas.
3. Phishing
Ini bukan sekadar “hacking”, tetapi menjadi mangsa upaya phishing atau spear-phishing biasanya akan berakhir buruk. Email phishing umum dikirim oleh miliaran ke semua jenis pengguna internet di seluruh dunia. Email phishing biasanya berfungsi seperti ini:
- Pengguna target menerima email palsu yang mengaku dari organisasi atau bisnis besar
- Email palsu menuntut perhatian segera, menampilkan tautan ke situs web
- Tautan ke situs web sebenarnya menautkan ke portal login palsu, yang dibuat-buat agar tampak persis sama dengan situs yang sah
- Pengguna target yang tidak curiga memasukkan kredensial login mereka dan dialihkan atau diminta untuk mencoba lagi
- Kredensial pengguna dicuri, dijual, atau digunakan dengan jahat (atau keduanya)
Volume spam harian yang dikirim ke seluruh dunia selalu tinggi setiap tahunnya, terhitung lebih dari setengah dari semua email yang dikirim secara global. Selain itu, volume lampiran berbahaya juga tinggi, Kaspersky mencatat lebih dari 92 juta lampiran berbahaya dari Januari hingga Juni 2020. Ingat, ini hanya dari Kaspersky, jadi jumlah sebenarnya jauh lebih tinggi.
Salah satu cara supaya tidak terperangkap serangan phising adalah dengan meningkatkan filter spam kalian ke pengaturan tertinggi atau, lebih baik lagi, gunakan daftar putih proaktif. Gunakan pemeriksa tautan untuk memastikan apakah tautan email itu sah sebelum mengklik.
4. Social Engineering
Social engineering pada dasarnya adalah phishing di dunia nyata. Bagian inti dari audit keamanan apa pun adalah mengukur apa yang dipahami seluruh tenaga kerja. Dalam kasus ini, perusahaan keamanan akan menelepon bisnis yang mereka audit. “Penyerang” memberi tahu orang di telepon bahwa mereka adalah tim dukungan teknis kantor yang baru, dan mereka memerlukan kata sandi terbaru untuk sesuatu yang spesifik. Seseorang yang tidak menaruh curiga dapat menyerahkan kunci kerajaan tanpa berpikir panjang.
Yang menakutkan adalah seberapa sering ini berhasil. Social engineering telah ada selama berabad-abad. Bermuka dua untuk mendapatkan akses ke area yang aman adalah metode penyerangan yang umum dan yang hanya dilindungi dengan pendidikan. Ini karena serangan tidak selalu meminta kata sandi secara langsung. Bisa jadi tukang ledeng atau tukang listrik palsu yang meminta masuk ke gedung yang aman, dan sebagainya.
Sebenarnya untuk tetap aman dari serangan social engineering, ini sedikit rumit. Karena serangan social engineering yang berhasil akan selesai saat kalian menyadari ada yang salah. Jadi pendidikan dan kesadaran keamanan adalah taktik kalian supaya tetap aman dari serangan ini. Hindari memposting informasi pribadi yang nantinya dapat digunakan untuk melawan kalian.
5. Rainbow Table
Rainbow table biasanya merupakan serangan sandi offline. Misalnya, penyerang telah memperoleh daftar nama pengguna dan kata sandi, tetapi mereka dienkripsi. Kata sandi terenkripsi di-hash. Artinya, kata sandi tersebut terlihat sangat berbeda dari kata sandi aslinya. Misalnya, kata sandi kalian adalah passwordsaya. Hash MD5 yang dikenal untuk sandi ini adalah “e169bcf81c7303c476ddcfd194028cc8“.
Ini mungkin terlihat seperti omong kosong. Tetapi dalam beberapa kasus tertentu, penyerang akan menjalankan daftar sandi teks biasa melalui algoritme hashing, membandingkan hasilnya dengan file sandi terenkripsi. Dalam kasus lain, algoritme enkripsi rentan, dan sebagian besar sandi sudah diretas, seperti MD5 (karena itulah admin mengetahui hash khusus untuk “passwordsaya”.
Di sinilah rainbow table memulai perannya. Alih-alih harus memproses ratusan ribu kata sandi potensial dan mencocokkan hash yang dihasilkan, rainbow table adalah sekumpulan besar nilai hash khusus algoritme yang telah dihitung sebelumnya.
Menggunakan rainbow table dapat secara drastis mengurangi waktu yang dibutuhkan untuk memecahkan kata sandi yang di-hash, tetapi itu tidak sempurna. Peretas dapat membeli rainbow table yang telah diisi sebelumnya yang berisi jutaan kombinasi potensial.
Dalam mengantisipasi serangan Rainbow table juga sedikit rumit. Karena menawarkan berbagai potensi serangan. Tetapi kalian bisa mencegahnya dengan menghindari situs apa pun yang menggunakan SHA1 atau MD5 sebagai algoritme hashing sandi mereka. Hindari situs apa pun yang membatasi kalian pada sandi pendek atau membatasi karakter yang dapat Anda gunakan. Selalu gunakan kata sandi yang rumit.
6. Malware/Keylogger
Cara lain yang pasti untuk kehilangan kredensial login kalian adalah dengan menggunakan malware. Malware ada di mana-mana, dengan potensi kerusakan besar. Jika versi malware menampilkan keylogger, kalian dapat menemukan semua akun kalian disusupi.
Banyak software pencuri kata sandi di luar sana. Pastikan kalian memeriksa komputer kalian dengan program anti-malware yang bagus. Malware juga secara khusus dapat menargetkan data pribadi atau memperkenalkan remote Trojan untuk mencuri kredensial kalian.
Supaya terhindar dari malware atau keylogger. Kalian harus menginstall dan memperbarui aplikasi antivirus dan antimalware kalian secara teratur. Pertimbangkan dengan cermat sumber download kalian. Jangan mengklik melalui paket instalasi yang berisi bundleware dan lainnya. Jauhi situs jahat. Gunakan tools pemblokiran skrip untuk menghentikan skrip berbahaya.
7. Spidering
Sebenarnya ada hubungan antara Spidering dengan dictionary attack yang kita bahas sebelumnya. Jika peretas menargetkan institusi atau bisnis tertentu, mereka mungkin mencoba serangkaian kata sandi yang berkaitan dengan bisnis itu sendiri. Peretas dapat membaca dan menyusun serangkaian istilah terkait atau menggunakan spidering pencarian untuk mengerjakannya.
Kalian mungkin pernah mendengar istilah “spider” sebelumnya. Spiders pencarian ini sangat mirip dengan yang menjelajah internet, mengindeks konten untuk mesin pencari. Daftar kata khusus kemudian digunakan untuk akun pengguna dengan harapan menemukan kecocokan.
Supaya tetap aman, sekali lagi, hanya gunakan kata sandi sekali pakai yang kuat yang terdiri dari string acak dan tidak ada yang terkait ke personal, bisnis, organisasi, dan sebagainya.
8. Shoulder Surfing
Oke, ini adalah opsi terakhir dalam panduan teknik paling umum yang dipergunakan untuk mencuri password. Bagaimana jika seseorang hanya melihat ke atas saat kalian mengetikkan kata sandi?
Shoulder surfing terdengar sedikit konyol, tetapi itu memang terjadi. Jika kalian bekerja di kafe pusat kota yang sibuk dan tidak memperhatikan lingkungan sekitar, seseorang bisa cukup dekat untuk mencatat kata sandi kalian saat kalian mengetik.
Shoulder surfing adalah jenis pencurian data di mana penjahat dunia maya mencuri informasi pribadi atau informasi rahasia dengan mengintip dari balik bahu target.
Salah satu cara menghindari serangan ini adalah dengan tetap waspada dan mengawasi orang-orang di sekitar kalian saat mengetik kata sandi, tutupi keyboard kalian, tutupi tombol kalian selama input.
Kesimpulan
Jadi itulah beberapa teknik paling umum yang dipergunakan untuk mencuri password. Lalu bagaimana kita bisa menghentikan peretas yang mencuri kata sandi? Jawaban yang sangat singkat adalah kita tidak bisa benar-benar 100% aman. Tools yang digunakan peretas untuk mencuri data kita berubah setiap saat. Tetapi kita dapat mengurangi keterpaparan kita terhadap kerentanan. Satu hal yang pasti yaitu menggunakan kata sandi yang kuat, unik, dan sekali pakai.
Sekian artikel 8 Teknik Paling Umum Yang Dipergunakan Untuk Mencuri Password. Nantikan artikel menarik lainnya dan jangan lupa share artikel ini ke teman-teman kalian. Terimakasih…