Memahami teknik peretasan kata sandi yang digunakan peretas untuk membuka lebar akun online Anda adalah cara yang bagus untuk memastikan hal itu tidak pernah terjadi pada Anda.
Anda pasti akan selalu perlu mengubah kata sandi Anda, dan terkadang lebih mendesak dari yang Anda kira, tetapi mengurangi pencurian adalah cara yang bagus untuk tetap menjaga keamanan akun Anda. Anda selalu dapat menuju ke www.haveibeenpwned.com untuk memeriksa apakah Anda berisiko, tetapi hanya berpikir kata sandi Anda cukup aman untuk tidak diretas adalah pola pikir yang buruk untuk dimiliki.
Jadi, untuk membantu Anda memahami bagaimana peretas mendapatkan kata sandi Anda – aman atau tidak – kami telah menyusun daftar sepuluh teknik peretasan kata sandi teratas yang digunakan oleh peretas. Beberapa cara di bawah ini tentu sudah ketinggalan zaman, tetapi bukan berarti tidak digunakan lagi. Baca dengan cermat dan pelajari apa yang harus dikurangi.
Sepuluh Teknik Pembobolan Kata Sandi Teratas yang Digunakan oleh Peretas
1. Serangan Kamus
Serangan kamus menggunakan file sederhana yang berisi kata-kata yang dapat ditemukan dalam kamus, oleh karena itu namanya agak mudah. Dengan kata lain, serangan ini menggunakan jenis kata yang digunakan banyak orang sebagai kata sandi mereka.
Mengelompokkan kata dengan cerdik seperti “letmein” atau “superadministratorguy” tidak akan mencegah kata sandi Anda dibobol dengan cara ini – yah, tidak lebih dari beberapa detik.
2. Serangan Brute Force
Mirip dengan serangan kamus, serangan brute force hadir dengan bonus tambahan untuk peretas. Alih-alih hanya menggunakan kata-kata, serangan brute force memungkinkan mereka mendeteksi kata-kata non-kamus dengan bekerja melalui semua kemungkinan kombinasi alfa-numerik dari aaa1 hingga zzz10.
Ini tidak cepat, asalkan kata sandi Anda lebih dari beberapa karakter, tetapi pada akhirnya kata sandi Anda akan terungkap. Serangan brute force dapat dipersingkat dengan membuang tenaga komputasi tambahan, baik dari segi kekuatan pemrosesan – termasuk memanfaatkan kekuatan GPU kartu video Anda – dan nomor mesin, seperti menggunakan model komputasi terdistribusi seperti penambang bitcoin online.
3. Serangan Meja Pelangi
Tabel pelangi tidak berwarna-warni seperti namanya, tetapi, untuk peretas, kata sandi Anda mungkin ada di akhir. Dengan cara yang paling mudah, Anda dapat menggabungkan tabel pelangi menjadi daftar hash yang telah dihitung sebelumnya – nilai numerik yang digunakan saat mengenkripsi kata sandi. Tabel ini berisi hash dari semua kemungkinan kombinasi kata sandi untuk algoritma hashing yang diberikan. Tabel pelangi menarik karena mengurangi waktu yang dibutuhkan untuk memecahkan hash kata sandi hanya dengan mencari sesuatu dalam daftar.
Namun, tabel pelangi adalah hal yang besar dan berat. Mereka membutuhkan daya komputasi yang serius untuk menjalankan dan sebuah tabel menjadi tidak berguna jika hash yang coba ditemukan telah "digarami" dengan penambahan karakter acak ke kata sandinya sebelum hashing algoritme.
Ada pembicaraan tentang tabel pelangi asin yang ada, tetapi ini akan sangat besar sehingga sulit digunakan dalam praktik. Mereka kemungkinan hanya akan bekerja dengan set "karakter acak" yang telah ditentukan sebelumnya dan string kata sandi di bawah 12 karakter karena ukuran tabel akan menjadi penghalang bahkan bagi peretas tingkat negara bagian.
4. Phising
Ada cara mudah untuk meretas, tanyakan kata sandi pengguna. Email phishing mengarahkan pembaca yang tidak curiga ke halaman login palsu yang terkait dengan layanan apa pun yang ingin diakses oleh peretas, biasanya dengan meminta pengguna untuk memperbaiki masalah keamanan mereka. Halaman itu kemudian membaca sandi mereka dan peretas dapat menggunakannya untuk tujuan mereka sendiri.
Mengapa repot-repot memecahkan kata sandi ketika pengguna dengan senang hati akan memberikannya kepada Anda?
5. Rekayasa Sosial
Rekayasa sosial mengambil seluruh konsep "tanya pengguna" di luar kotak masuk yang cenderung melekat pada phishing dan masuk ke dunia nyata.
Favorit insinyur sosial adalah menelepon kantor yang menyamar sebagai teknisi keamanan TI dan hanya meminta kata sandi akses jaringan. Anda akan kagum pada seberapa sering ini berhasil. Beberapa bahkan memiliki gonad yang diperlukan untuk mengenakan jas dan lencana nama sebelum masuk ke bisnis untuk mengajukan pertanyaan yang sama kepada resepsionis secara langsung.
6. Perangkat lunak perusak
Keylogger, atau pengikis layar, dapat diinstal oleh malware yang merekam semua yang Anda ketik atau mengambil tangkapan layar selama proses login, dan kemudian meneruskan salinan file ini ke pusat peretas.
Beberapa malware akan mencari keberadaan file kata sandi klien browser web dan menyalinnya yang, kecuali dienkripsi dengan benar, akan berisi kata sandi tersimpan yang mudah diakses dari riwayat penelusuran pengguna.
7. Cracking Offline
Sangat mudah untuk membayangkan bahwa kata sandi aman ketika sistem yang mereka lindungi mengunci pengguna setelah tiga atau empat tebakan salah, memblokir aplikasi tebakan otomatis. Nah, itu akan benar jika bukan karena fakta bahwa sebagian besar peretasan kata sandi terjadi secara offline, menggunakan serangkaian hash dalam file kata sandi yang telah 'diperoleh' dari sistem yang disusupi.
Seringkali target yang dipermasalahkan telah disusupi melalui peretasan pada pihak ketiga, yang kemudian memberikan akses ke server sistem dan file hash kata sandi pengguna yang sangat penting. Cracker kata sandi kemudian dapat memakan waktu selama mereka perlu mencoba dan memecahkan kode tanpa memberi tahu sistem target atau pengguna individu.
8. Selancar Bahu
Bentuk lain dari rekayasa sosial, selancar bahu, seperti yang tersirat, memerlukan mengintip dari balik bahu seseorang saat mereka memasukkan kredensial, kata sandi, dll. Meskipun konsepnya berteknologi sangat rendah, Anda akan terkejut betapa banyak kata sandi dan informasi sensitif dicuri dengan cara ini, jadi tetap waspada terhadap lingkungan Anda saat mengakses rekening bank, dll. saat bepergian.
Peretas yang paling percaya diri akan menyamar sebagai kurir paket, teknisi layanan AC, atau apa pun yang membuat mereka dapat mengakses gedung perkantoran. Begitu mereka masuk, "seragam" personel layanan memberikan semacam izin bebas untuk berkeliaran tanpa hambatan, dan mencatat kata sandi yang dimasukkan oleh anggota staf asli. Ini juga memberikan peluang bagus untuk melihat semua catatan tempel yang menempel di bagian depan layar LCD dengan login yang tertulis di atasnya.
9. Laba-laba
Peretas yang cerdas telah menyadari bahwa banyak kata sandi perusahaan terdiri dari kata-kata yang terhubung dengan bisnis itu sendiri. Mempelajari literatur perusahaan, materi penjualan situs web, dan bahkan situs web pesaing dan pelanggan terdaftar dapat memberikan amunisi untuk membangun daftar kata khusus untuk digunakan dalam serangan brute force.
Peretas yang benar-benar cerdas telah mengotomatiskan proses dan membiarkan aplikasi spidering, mirip dengan perayap web yang digunakan oleh mesin telusur terkemuka untuk mengidentifikasi kata kunci, mengumpulkan, dan menyusun daftar untuk kata kunci tersebut.
10. Tebak
Teman terbaik cracker kata sandi, tentu saja, adalah prediktabilitas pengguna. Kecuali jika kata sandi yang benar-benar acak telah dibuat menggunakan perangkat lunak yang didedikasikan untuk tugas tersebut, kata sandi 'acak' yang dibuat pengguna tidak mungkin semacam itu.
Sebaliknya, berkat keterikatan emosional otak kita dengan hal-hal yang kita sukai, kemungkinan kata sandi acak itu didasarkan pada minat, hobi, hewan peliharaan, keluarga, dan sebagainya. Faktanya, kata sandi cenderung didasarkan pada semua hal yang ingin kita bicarakan di jejaring sosial dan bahkan termasuk dalam profil kita. Peretas kata sandi sangat mungkin untuk melihat informasi ini dan membuat beberapa – sering kali benar – menebak-nebak ketika mencoba untuk memecahkan kata sandi tingkat konsumen tanpa menggunakan kamus atau serangan brute force.
Serangan Lain yang Harus Diwaspadai
Jika peretas kekurangan sesuatu, itu bukan kreativitas. Menggunakan berbagai teknik dan beradaptasi dengan protokol keamanan yang selalu berubah, para penyusup ini terus berhasil.
Misalnya, siapa pun di Media Sosial kemungkinan telah melihat kuis dan templat seru yang meminta Anda untuk berbicara tentang mobil pertama Anda, makanan favorit Anda, lagu nomor satu di ulang tahun ke-14 Anda. Meskipun game ini tampak tidak berbahaya dan tentu saja menyenangkan untuk diposting, sebenarnya game ini adalah template terbuka untuk pertanyaan keamanan dan jawaban verifikasi akses akun.
Saat menyiapkan akun, mungkin coba gunakan jawaban yang sebenarnya tidak berkaitan dengan Anda tetapi, yang dapat Anda ingat dengan mudah. "Apa mobil pertamamu?" Alih-alih menjawab dengan jujur, letakkan mobil impian Anda sebagai gantinya. Jika tidak, jangan memposting jawaban keamanan apa pun secara online.
Cara lain untuk mendapatkan akses adalah dengan mengatur ulang kata sandi Anda. Garis pertahanan terbaik melawan penyusup yang mengatur ulang kata sandi Anda adalah menggunakan alamat email yang sering Anda periksa dan selalu memperbarui informasi kontak Anda. Jika tersedia, selalu aktifkan autentikasi 2 faktor. Bahkan jika peretas mengetahui kata sandi Anda, mereka tidak dapat mengakses akun tanpa kode verifikasi unik.
Pertanyaan yang Sering Diajukan
Mengapa saya memerlukan kata sandi yang berbeda untuk setiap situs?
Anda mungkin tahu bahwa Anda tidak boleh memberikan kata sandi Anda dan Anda tidak boleh mengunduh konten apa pun yang tidak Anda kenal, tetapi bagaimana dengan akun yang Anda masuki setiap hari? Misalkan Anda menggunakan kata sandi yang sama untuk rekening bank Anda yang Anda gunakan untuk akun arbitrer seperti Grammarly. Jika Grammarly diretas, pengguna juga memiliki kata sandi perbankan Anda (dan mungkin email Anda membuatnya lebih mudah untuk mendapatkan akses ke semua sumber daya keuangan Anda).
Apa yang dapat saya lakukan untuk melindungi akun saya?
Menggunakan 2FA pada akun mana pun yang menawarkan fitur tersebut, menggunakan kata sandi unik untuk setiap akun, dan menggunakan campuran huruf dan simbol adalah garis pertahanan terbaik melawan peretas. Seperti yang dinyatakan sebelumnya, ada banyak cara berbeda yang dilakukan peretas untuk mendapatkan akses ke akun Anda, jadi hal lain yang perlu Anda pastikan bahwa Anda lakukan secara teratur adalah memperbarui perangkat lunak dan aplikasi Anda (untuk patch keamanan) dan menghindari unduhan apa pun yang tidak Anda kenal.
Apa cara paling aman untuk menyimpan kata sandi?
Mengikuti beberapa kata sandi yang unik dan aneh bisa sangat sulit. Meskipun jauh lebih baik melalui proses pengaturan ulang kata sandi daripada membuat akun Anda disusupi, itu memakan waktu. Untuk menjaga keamanan kata sandi Anda, Anda dapat menggunakan layanan seperti Last Pass atau KeePass untuk menyimpan semua kata sandi akun Anda.
Anda juga dapat menggunakan algoritme unik untuk menyimpan kata sandi sekaligus membuatnya lebih mudah diingat. Misalnya, PayPal bisa seperti hwpp+c832. Pada dasarnya, kata sandi ini adalah huruf pertama setiap jeda di URL (//www.paypal.com) dengan nomor terakhir di tahun kelahiran semua orang di rumah Anda (sebagai contoh). Saat Anda masuk ke akun Anda, lihat URL yang akan memberi Anda beberapa huruf pertama kata sandi ini.
Tambahkan simbol untuk membuat sandi Anda semakin sulit diretas, tetapi atur agar lebih mudah diingat. Misalnya, simbol “+” dapat digunakan untuk akun apa pun yang terkait dengan hiburan, sedangkan simbol “!” dapat digunakan untuk rekening keuangan.
