Apa itu Serangan Kamus (Dictionary Attack)?
Dictionary serangan adalah kelompok serangan siber yang memiliki teknik serangan yang sama. Mereka menggunakan daftar panjang — terkadang seluruh database — berisi kata-kata dan perangkat lunak. Perangkat lunak ini membaca setiap kata dari daftar secara bergantian dan mencoba menggunakannya sebagai kata sandi untuk akun yang diserang. Jika salah satu kata dalam daftar cocok dengan kata sandi asli, akun tersebut disusupi.
Serangan ini berbeda dari jenis serangan brute force yang lebih primitif. Serangan brute force mencoba kombinasi huruf dan karakter secara acak dengan harapan mereka menemukan kata sandi secara kebetulan dan keberuntungan. Serangan-serangan ini tidak efisien. Hal ini memakan waktu dan komputasi yang intensif.
Upaya yang diperlukan untuk memecahkan kata sandi meningkat secara besar-besaran dengan setiap huruf tambahan yang Anda tambahkan ke kata sandi Anda. Ada urutan besarnya lebih banyak kombinasi dalam kata sandi delapan karakter dibandingkan kata sandi lima karakter. Tidak ada jaminan serangan brute force akan berhasil. Namun dengan serangan kamus, jika salah satu entri dalam daftar cocok dengan kata sandi Anda, serangan tersebut pada akhirnya akan berhasil. Tentu saja, sebagian besar jaringan perusahaan akan menerapkan penguncian akun otomatis setelah sejumlah upaya akses yang gagal. Seringkali pelaku ancaman memulai dengan situs web perusahaan, yang seringkali memiliki kontrol yang kurang ketat terhadap upaya akses. Dan jika mereka mendapatkan akses ke situs web tersebut, mereka dapat mencoba kredensial tersebut di jaringan perusahaan. Jika pengguna telah menggunakan kembali kata sandi yang sama, pelaku ancaman kini berada di jaringan perusahaan Anda. Dalam kebanyakan kasus, situs web atau portal bukanlah target sebenarnya. Ini adalah pos pementasan dalam perjalanan menuju hadiah sebenarnya dari pelaku ancaman — jaringan korporat. Nbsp
Mendapatkan akses ke situs web memungkinkan pelaku ancaman menyuntikkan kode berbahaya yang akan memantau upaya masuk dan mencatat ID pengguna dan kata sandi. Ini akan mengirimkan informasi ke pelaku ancaman atau mencatatnya sampai mereka kembali ke situs untuk mengumpulkannya.
Bukan Hanya Kata-kata dalam File!
Serangan kamus paling awal hanya itu. Mereka menggunakan kata-kata dari kamus. Inilah sebabnya mengapa “jangan pernah menggunakan kata kamus” adalah bagian dari panduan memilih kata sandi yang kuat. Nbsp
Mengabaikan saran ini dan tetap memilih kata kamus, lalu menambahkan angka ke dalamnya sehingga tidak cocok dengan kata dalam kamus, sama miskinnya. Pelaku ancaman yang menulis perangkat lunak serangan kamus bijaksana dalam hal ini. Mereka mengembangkan teknik baru yang mencoba setiap kata dari daftar berkali-kali. Dengan setiap upaya, beberapa digit ditambahkan ke akhir kata. Hal ini karena orang sering menggunakan sebuah kata dan menambahkan angka seperti 1, lalu 2, dan seterusnya, setiap kali mereka harus mengubah kata sandinya.
Terkadang mereka menambahkan dua atau empat digit angka untuk mewakili satu tahun. Ini mungkin mewakili hari ulang tahun, hari jadi, tahun tim Anda memenangkan piala, atau peristiwa penting lainnya. Karena orang-orang menggunakan nama anak-anak mereka atau orang penting lainnya sebagai kata sandi, daftar kamus diperluas hingga mencakup nama pria dan wanita.
Dan perangkat lunaknya berkembang lagi. Skema yang menggantikan huruf dengan angka, seperti 1 untuk “i”, 3 untuk “e”, 5 untuk “s”, dan seterusnya tidak menambah kerumitan yang berarti pada kata sandi Anda. Perangkat lunak ini mengetahui konvensi dan bekerja melalui kombinasi tersebut juga.
Saat ini semua teknik ini masih digunakan, bersama dengan daftar lain yang tidak memuat kata-kata kamus standar. Mereka berisi kata sandi yang sebenarnya.
Dari Mana Daftar Kata Sandi Berasal?
Situs web Have I Been Pwned yang terkenal menyimpan koleksi lebih dari 10 miliar akun yang disusupi yang dapat dicari. Setiap kali ada pelanggaran data, pengelola situs berupaya mendapatkan data tersebut. Jika mereka berhasil memperolehnya, mereka menambahkannya ke database mereka.
Anda dapat dengan bebas mencari database alamat email mereka. Jika alamat email Anda ditemukan di database, Anda akan diberitahu pelanggaran data mana yang membocorkan informasi Anda. Misalnya, saya menemukan salah satu alamat email lama saya di database Have I Been Pwned. Itu bocor dalam pelanggaran situs LinkedIn tahun 2016. Itu berarti kata sandi saya untuk situs itu juga telah dilanggar. Tetapi karena semua kata sandi saya unik, yang harus saya lakukan hanyalah mengubah kata sandi untuk satu situs itu.
Apakah Saya Telah Pwned memiliki database terpisah untuk kata sandi. Anda tidak dapat mencocokkan alamat email dengan kata sandi di situs Have I Been Pwned, karena alasan yang jelas. Jika Anda mencari kata sandi Anda dan menemukannya dalam daftar, itu tidak berarti bahwa kata sandi tersebut berasal dari salah satu akun Anda. Dengan 10 miliar akun yang dibobol, akan ada entri duplikat. Hal yang menarik adalah Anda diberitahu seberapa populer kata sandi itu. Anda pikir kata sandi Anda unik? Mungkin tidak.
Tetapi apakah kata sandi dalam database berasal dari salah satu akun Anda atau tidak, jika kata sandi tersebut ada di situs web Have I Been Pwned, itu akan menjadi daftar kata sandi yang digunakan oleh perangkat lunak penyerang pelaku ancaman. Tidak peduli seberapa misterius atau tidak jelasnya kata sandi Anda. Jika ada dalam daftar kata sandi maka tidak dapat diandalkan—jadi segera ubah.
Variasi Serangan Menebak Kata Sandi
Bahkan dengan serangan yang relatif sederhana seperti serangan kamus, penyerang dapat menggunakan beberapa riset sederhana untuk mencoba membuat perangkat lunak pekerjaan lebih mudah.
Misalnya, mereka mungkin mendaftar atau mendaftar sebagian di situs yang ingin mereka serang. Mereka kemudian akan dapat melihat aturan kompleksitas kata sandi untuk situs tersebut. Jika panjang minimumnya adalah delapan karakter, perangkat lunak dapat diatur untuk memulai string yang terdiri dari delapan karakter. Tidak ada gunanya menguji semua string empat, lima, enam, dan tujuh karakter. Jika ada karakter yang tidak diizinkan, karakter tersebut dapat dihapus dari “abjad” yang dapat digunakan perangkat lunak.
Berikut adalah penjelasan singkat tentang berbagai jenis serangan berbasis daftar.
Serangan Brute-Force Tradisional: Sebenarnya, ini bukan serangan berbasis daftar . Paket perangkat lunak khusus yang ditulis khusus menghasilkan semua kombinasi huruf, angka, dan karakter lain seperti tanda baca dan simbol, dalam string yang semakin panjang. Ia mencoba masing-masing sebagai kata sandi pada akun yang diserang. Jika terjadi kombinasi karakter yang cocok dengan kata sandi untuk akun yang diserang, akun tersebut telah disusupi. Serangan Kamus: Paket perangkat lunak khusus yang dibuat khusus mengambil satu kata pada satu waktu dari daftar kata kamus, dan mencobanya sebagai kata sandi terhadap akun yang diserang. Transformasi dapat diterapkan pada kata-kata kamus seperti menambahkan angka ke dalamnya dan mengganti angka dengan huruf. Serangan Pencarian Kata Sandi: Mirip dengan serangan kamus, tetapi daftar kata berisi kata sandi sebenarnya. Perangkat lunak otomatis membaca kata sandi sekaligus dari daftar besar kata sandi yang dikumpulkan dari pelanggaran data. Serangan Pencarian Kata Sandi Cerdas: Seperti serangan kata sandi, tetapi transformasi setiap kata sandi dicoba sama seperti kata sandi “telanjang”. Transformasi ini meniru trik kata sandi yang umum digunakan seperti mengganti angka dengan huruf vokal. Serangan API: Alih-alih mencoba meretas akun pengguna, serangan ini menggunakan perangkat lunak untuk menghasilkan rangkaian karakter yang diharapkan cocok dengan kunci pengguna untuk Antarmuka Pemrograman Aplikasi. Jika mereka bisa mendapatkan akses ke API, mereka mungkin bisa mengeksploitasinya untuk mengambil informasi sensitif atau hak cipta intelektual. Sepatah Kata Tentang Kata Sandi
Kata Sandi harus kuat, unik, dan tidak berhubungan dengan apa pun yang dapat ditemukan atau disimpulkan tentang Anda, seperti nama anak-anak. Frasa sandi lebih baik daripada kata sandi. Tiga kata yang tidak berhubungan dan digabungkan dengan beberapa tanda baca adalah templat kata sandi yang sangat kuat. Berbeda dengan intuisi, frasa sandi umumnya menggunakan kata-kata kamus, dan kita selalu diperingatkan untuk tidak menggunakan kata-kata kamus dalam kata sandi. Namun menggabungkannya dengan cara ini menciptakan masalah yang sangat sulit untuk dipecahkan oleh perangkat lunak penyerang.
Kita dapat menggunakan situs web Seberapa Aman Kata Sandi Saya untuk menguji kekuatan kata sandi kami.
cloudsavvyit: Perkiraan waktu untuk memecahkan: tiga minggu. cl0uds4vvy1t: Perkiraan waktu untuk memecahkannya: tiga tahun. tigapuluh.bulu.girder: Perkiraan waktu untuk retak: 41 kuadriliun tahun!
Dan jangan lupa aturan emasnya. Kata sandi hanya boleh digunakan pada satu sistem atau situs web. Mereka tidak boleh digunakan di lebih dari satu tempat. Jika Anda menggunakan kata sandi di lebih dari satu sistem dan salah satu sistem tersebut dilanggar, semua situs dan sistem tempat Anda menggunakan kata sandi tersebut berisiko karena kata sandi Anda akan berada di tangan pelaku ancaman — dan dalam daftar kata sandi mereka. . Terlepas dari apakah kata sandi Anda memerlukan waktu 41 kuadriliun tahun untuk dipecahkan atau tidak, jika kata sandi tersebut ada dalam daftar kata sandi mereka, waktu pemecahannya sama sekali tidak relevan.
Jika Anda memiliki terlalu banyak kata sandi untuk diingat, gunakan pengelola kata sandi.
Cara Melindungi dari Serangan Brute-Force
Strategi pertahanan berlapis selalu yang terbaik. Tidak ada satu tindakan pertahanan pun yang akan membuat Anda kebal terhadap serangan kamus, namun ada sejumlah tindakan yang dapat Anda pertimbangkan yang akan saling melengkapi dan sangat mengurangi risiko Anda rentan terhadap serangan ini.
Aktifkan autentikasi multi-faktor jika memungkinkan . Hal ini membawa sesuatu yang bersifat fisik milik pengguna — seperti ponsel atau kunci USB atau fob — ke dalam persamaan. Informasi yang dikirim ke aplikasi di telepon, atau informasi di fob atau kunci USB dimasukkan ke dalam proses otentikasi. ID pengguna dan kata sandi saja tidak cukup untuk mendapatkan akses ke sistem. Gunakan kata sandi yang kuat dan frasa sandi yang unik, dan disimpan dengan aman dalam bentuk terenkripsi. Membuat dan menerapkan kebijakan kata sandi yang mengatur penggunaan, perlindungan, dan formulasi kata sandi yang dapat diterima. Perkenalkan hal ini kepada semua staf, dan jadikan hal ini wajib. Batasi upaya masuk ke jumlah yang rendah. Kunci akun ketika jumlah upaya yang gagal telah tercapai, atau kunci akun dan paksakan perubahan kata sandi. Aktifkan captcha atau langkah autentikasi sekunder berbasis gambar lainnya. Ini dimaksudkan untuk menghentikan bot dan perangkat lunak kata sandi karena manusia harus menafsirkan gambar tersebut. Pertimbangkan untuk menggunakan pengelola kata sandi. Pengelola kata sandi dapat menghasilkan kata sandi yang rumit untuk Anda. Ia mengingat kata sandi mana yang sesuai dengan akun mana sehingga Anda tidak perlu melakukannya. Pengelola kata sandi adalah cara termudah untuk mendapatkan kata sandi unik dan kuat untuk setiap akun yang perlu Anda pantau.