Memahami teknik peretasan kata sandi yang digunakan peretas untuk membuka lebar-lebar akun online Anda adalah cara yang bagus untuk memastikan hal itu tidak pernah terjadi pada Anda.
Anda tentu akan selalu perlu mengubah kata sandi Anda, dan terkadang lebih mendesak daripada yang Anda pikirkan, tetapi mengurangi pencurian adalah cara yang bagus untuk menjaga keamanan akun Anda. Anda selalu dapat membuka www.haveibeenpwned.com untuk memeriksa apakah Anda berisiko, tetapi hanya dengan berpikir bahwa sandi Anda cukup aman untuk tidak diretas adalah pola pikir yang buruk untuk dimiliki.
Jadi, untuk membantu Anda memahami bagaimana peretas mendapatkan kata sandi – aman atau tidak – kami telah menyusun daftar sepuluh teknik peretasan kata sandi teratas yang digunakan oleh peretas. Beberapa cara di bawah ini tentu sudah ketinggalan zaman, tetapi bukan berarti tidak digunakan lagi. Baca dengan seksama dan pelajari apa yang harus dimitigasi.
Sepuluh Teknik Pembobol Kata Sandi Teratas yang Digunakan oleh Peretas
1. Serangan Kamus
Serangan kamus menggunakan file sederhana yang berisi kata-kata yang dapat ditemukan di kamus, oleh karena itu namanya agak mudah. Dengan kata lain, serangan ini menggunakan jenis kata yang digunakan banyak orang sebagai kata sandi mereka.
Mengelompokkan kata dengan cerdik seperti “letmein” atau “superadministratorguy” tidak akan mencegah kata sandi Anda dibobol dengan cara ini – yah, tidak lebih dari beberapa detik tambahan.
2. Brute Force Attack
Serupa dengan serangan kamus, serangan brute force datang dengan bonus tambahan untuk hacker. Alih-alih hanya menggunakan kata-kata, serangan brute force memungkinkan mereka mendeteksi kata-kata non-kamus dengan bekerja melalui semua kemungkinan kombinasi alfa-numerik dari aaa1 hingga zzz10.
Ini tidak cepat, asalkan kata sandi Anda lebih dari beberapa karakter, tetapi itu akan mengungkap sandi Anda akhirnya. Serangan brute force dapat dipersingkat dengan membuang tenaga komputasi tambahan, baik dari segi kekuatan pemrosesan – termasuk memanfaatkan kekuatan GPU kartu video Anda – dan nomor mesin, seperti menggunakan model komputasi terdistribusi seperti penambang bitcoin online.
3. Rainbow Table Attack
Tabel pelangi tidak sewarna yang disiratkan namanya, tetapi, bagi seorang peretas, kata sandi Anda mungkin ada di akhir. Dengan cara yang paling mudah, Anda dapat menggabungkan tabel pelangi menjadi daftar hash yang telah dihitung sebelumnya – nilai numerik yang digunakan saat mengenkripsi kata sandi. Tabel ini berisi hash dari semua kemungkinan kombinasi kata sandi untuk algoritma hashing yang diberikan. Tabel pelangi menarik karena mengurangi waktu yang dibutuhkan untuk memecahkan hash kata sandi menjadi sekadar mencari sesuatu dalam daftar.
Namun, tabel pelangi adalah hal yang besar dan berat. Mereka membutuhkan daya komputasi yang serius untuk menjalankan dan sebuah tabel menjadi tidak berguna jika hash yang dicarinya telah “digarami” dengan penambahan karakter acak ke kata sandinya sebelum hashing algoritma.
Ada pembicaraan tentang tabel pelangi asin yang ada, tetapi ini akan sangat besar sehingga sulit untuk digunakan dalam praktik. Mereka kemungkinan hanya akan bekerja dengan set “karakter acak” yang telah ditentukan dan string kata sandi di bawah 12 karakter karena ukuran tabel akan menjadi penghalang bahkan untuk peretas tingkat negara bagian.
4. Phishing
Ada cara mudah untuk meretas, minta sandi pengguna. Email phishing mengarahkan pembaca yang tidak curiga ke halaman login palsu yang terkait dengan layanan apa pun yang ingin diakses oleh peretas, biasanya dengan meminta pengguna untuk memperbaiki masalah keamanan mereka. Halaman itu kemudian membaca sandi mereka dan peretas dapat menggunakannya untuk tujuan mereka sendiri.
Mengapa repot-repot memecahkan sandi ketika pengguna dengan senang hati akan memberikannya kepada Anda?
5. Rekayasa Sosial
Rekayasa sosial mengambil seluruh konsep “tanya pengguna” di luar kotak masuk yang cenderung melekat pada phishing dan masuk ke dunia nyata.
Favorit insinyur sosial adalah menelepon kantor yang menyamar sebagai teknisi keamanan TI dan hanya meminta kata sandi akses jaringan. Anda akan kagum pada seberapa sering ini berhasil. Beberapa bahkan memiliki gonad yang diperlukan untuk mengenakan jas dan lencana nama sebelum masuk ke bisnis untuk mengajukan pertanyaan yang sama kepada resepsionis secara langsung.
6. Malware
A keylogger, atau pengikis layar, dapat diinstal oleh malware yang merekam semua yang Anda ketik atau mengambil tangkapan layar selama proses login, dan kemudian meneruskan salinan file ini ke pusat peretas.
Beberapa malware akan mencari keberadaan kata sandi klien browser web file dan salin ini yang, kecuali dienkripsi dengan benar, akan berisi kata sandi tersimpan yang mudah diakses dari riwayat penelusuran pengguna.
7. Cracking Offline
Sangat mudah untuk membayangkan bahwa kata sandi aman ketika sistem yang mereka lindungi mengunci pengguna setelah tiga atau empat tebakan salah, memblokir aplikasi tebakan otomatis. Yah, itu akan benar jika bukan karena fakta bahwa sebagian besar peretasan kata sandi terjadi secara offline, menggunakan serangkaian hash dalam file kata sandi yang telah ‘diperoleh’ dari sistem yang disusupi.
Seringkali target yang dimaksud telah disusupi melalui peretasan pada pihak ketiga, yang kemudian memberikan akses ke server sistem dan file hash kata sandi pengguna yang sangat penting. Cracker kata sandi kemudian dapat memakan waktu selama mereka perlu mencoba dan memecahkan kode tanpa memberi tahu sistem target atau pengguna individu.
8. Shoulder Surfing
Bentuk lain dari rekayasa sosial, shoulder surfing, seperti yang tersirat, memerlukan mengintip dari balik bahu seseorang saat mereka memasukkan kredensial, kata sandi, dll. Meskipun konsepnya berteknologi sangat rendah, Anda akan terkejut betapa banyak kata sandi dan sensitif informasi dicuri dengan cara ini, jadi tetap waspada terhadap lingkungan Anda saat mengakses rekening bank, dll. saat bepergian. Peretas yang paling percaya diri akan menyamar sebagai kurir paket, teknisi layanan AC, atau apa pun yang membuat mereka dapat mengakses gedung kantor. Begitu mereka masuk, “seragam” personel layanan memberikan semacam izin bebas untuk berkeliaran tanpa hambatan, dan mencatat kata sandi yang dimasukkan oleh anggota staf asli. Ini juga memberikan peluang bagus untuk melihat semua catatan tempel yang menempel di bagian depan layar LCD dengan login yang tertulis di atasnya.
9. Spidering
Peretas yang cerdas telah menyadari bahwa banyak kata sandi perusahaan terdiri dari kata-kata yang terhubung dengan bisnis itu sendiri. Mempelajari literatur perusahaan, materi penjualan situs web, dan bahkan situs web pesaing dan pelanggan terdaftar dapat memberikan amunisi untuk membangun daftar kata khusus untuk digunakan dalam serangan brute force.
Peretas yang benar-benar cerdas telah mengotomatiskan proses dan membiarkan aplikasi spidering, mirip dengan perayap web yang digunakan oleh mesin telusur terkemuka untuk mengidentifikasi kata kunci, mengumpulkan, dan menyusun daftarnya.
10. Guess
Sahabat terbaik cracker kata sandi, tentu saja, adalah prediktabilitas pengguna. Kecuali jika kata sandi yang benar-benar acak telah dibuat menggunakan perangkat lunak yang didedikasikan untuk tugas tersebut, kata sandi ‘acak’ yang dibuat pengguna tidak mungkin semacam itu.
Sebaliknya, berkat keterikatan emosional otak kita dengan hal-hal yang kita sukai, kemungkinannya adalah kata sandi acak didasarkan pada minat, hobi, hewan peliharaan, keluarga, dan sebagainya. Faktanya, kata sandi cenderung didasarkan pada semua hal yang ingin kita bicarakan di jejaring sosial dan bahkan termasuk dalam profil kita. Peretas kata sandi sangat mungkin melihat informasi ini dan membuat beberapa – sering kali benar – tebakan terpelajar ketika mencoba untuk memecahkan kata sandi tingkat konsumen tanpa menggunakan kamus atau serangan brute force.
Serangan Lain yang Harus Diwaspadai
Jika peretas kekurangan apa pun, itu tidak bukan kreativitas. Dengan menggunakan berbagai teknik dan beradaptasi dengan protokol keamanan yang selalu berubah, penyusup ini terus berhasil.
Misalnya, siapa pun di Media Sosial mungkin pernah melihat kuis dan templat seru yang meminta Anda untuk membicarakan mobil pertama Anda, makanan favorit Anda, nomornya satu lagu di hari ulang tahunmu yang ke-14. Meskipun game ini tampak tidak berbahaya dan tentu saja menyenangkan untuk diposting, sebenarnya game ini adalah template terbuka untuk pertanyaan keamanan dan jawaban verifikasi akses akun.
Saat menyiapkan akun, mungkin coba gunakan jawaban yang sebenarnya tidak berkaitan dengan Anda, tetapi, yang dapat Anda ingat dengan mudah. “Apa mobil pertamamu?” Alih-alih menjawab dengan jujur, letakkan mobil impian Anda sebagai gantinya. Jika tidak, jangan memposting jawaban keamanan apa pun secara online.
Cara lain untuk mendapatkan akses adalah dengan menyetel ulang kata sandi Anda. Garis pertahanan terbaik melawan penyusup yang mengatur ulang kata sandi Anda adalah menggunakan alamat email yang sering Anda periksa dan selalu memperbarui informasi kontak Anda. Jika tersedia, selalu aktifkan autentikasi 2 faktor. Bahkan jika peretas mengetahui kata sandi Anda, mereka tidak dapat mengakses akun tanpa kode verifikasi yang unik.
Pertanyaan Umum
Mengapa saya memerlukan kata sandi yang berbeda untuk setiap situs?
Anda mungkin tahu bahwa Anda tidak boleh memberikan kata sandi dan Anda tidak boleh’ t mengunduh konten apa pun yang tidak Anda kenal, tetapi bagaimana dengan akun yang Anda masuki setiap hari? Misalkan Anda menggunakan kata sandi yang sama untuk rekening bank Anda yang Anda gunakan untuk akun arbitrer seperti Grammarly. Jika Grammarly diretas, pengguna juga memiliki kata sandi perbankan Anda (dan mungkin email Anda membuatnya lebih mudah untuk mendapatkan akses ke semua sumber daya keuangan Anda).
Apa yang dapat saya lakukan untuk melindungi akun saya?
Menggunakan 2FA pada akun mana pun yang menawarkan fitur, menggunakan kata sandi unik untuk setiap akun, dan menggunakan campuran huruf dan simbol adalah garis pertahanan terbaik melawan peretas. Seperti yang dinyatakan sebelumnya, ada banyak cara berbeda yang dilakukan peretas untuk mendapatkan akses ke akun Anda, jadi hal lain yang perlu Anda pastikan bahwa Anda lakukan secara teratur adalah menjaga perangkat lunak dan aplikasi Anda tetap mutakhir (untuk patch keamanan) dan menghindari unduhan apa pun yang tidak Anda ketahui.
Apa cara teraman untuk menyimpan kata sandi?
Menjaga beberapa kata sandi yang unik dan aneh bisa jadi sangat sulit. Meskipun jauh lebih baik melalui proses pengaturan ulang kata sandi daripada membuat akun Anda disusupi, itu memakan waktu. Untuk menjaga keamanan kata sandi Anda, Anda dapat menggunakan layanan seperti Last Pass atau KeePass untuk menyimpan semua kata sandi akun Anda.
Anda juga dapat menggunakan algoritme unik untuk menyimpan kata sandi sekaligus membuatnya lebih mudah diingat. Misalnya, PayPal bisa seperti hwpp+c832. Pada dasarnya, kata sandi ini adalah huruf pertama setiap jeda di URL (https://www.paypal.com) dengan nomor terakhir di tahun kelahiran semua orang di rumah Anda (sebagai contoh). Saat Anda masuk ke akun Anda, lihat URL yang akan memberi Anda beberapa huruf pertama dari kata sandi ini.
Tambahkan simbol untuk membuat kata sandi Anda lebih sulit diretas tetapi atur agar lebih mudah diingat. Misalnya, simbol “+” dapat digunakan untuk akun apa pun yang terkait dengan hiburan, sedangkan simbol “!” dapat digunakan untuk rekening keuangan.