Melindungi keamanan organisasi seperti memperkuat benteng—Anda perlu memahami di mana penyerang akan mencoba menerobos dan bagaimana mereka berusaha untuk melewati pertahanan Anda.
Para peretas selalu mencari kelemahan, baik itu kebijakan kata sandi yang longgar atau pintu belakang yang terlupakan. Untuk membangun pertahanan yang lebih kuat, Anda harus berpikir seperti seorang peretas dan mengantisipasi langkah mereka.
Baca lebih lanjut untuk memahami strategi hacker dalam membobol kata sandi, kerentanan yang mereka manfaatkan, serta cara memperkuat pertahanan Anda untuk menjauhkan mereka.
Analisis Kata Sandi Terlemah
Kata sandi yang lemah dan sering digunakan adalah target termudah bagi peretas. Setiap tahun, para ahli menyusun daftar kata sandi yang paling sering digunakan, dan kata-kata klasik seperti “123456” dan “password” selalu muncul dari tahun ke tahun. Kata sandi seperti ini adalah sasaran empuk dalam strategi serangan peretas.
Meskipun banyak peringatan keamanan, pengguna masih sering menggunakan kata sandi sederhana yang mudah diingat—biasanya berdasarkan pola yang dapat diprediksi atau detail pribadi yang dapat dengan mudah ditemukan melalui media sosial atau catatan publik.
Peretas membuat basis data dari kata sandi umum ini dan menggunakannya dalam serangan brute-force, mencoba berbagai kombinasi kata sandi hingga menemukan yang benar. Bagi seorang peretas, kata sandi terburuk memberikan peluang terbaik. Baik itu pola keyboard seperti “qwerty” atau frasa umum seperti “iloveyou,” kesederhanaan kata sandi ini memberi peretas jalan langsung ke akun, terutama jika autentikasi multi-faktor (MFA) tidak diaktifkan.
Berapa Lama untuk Membobol Kata Sandi?
Waktu yang dibutuhkan untuk membobol kata sandi bergantung pada tiga hal utama:
- Panjang dan kekuatan kata sandi
- Metode yang digunakan untuk membobolnya
- Alat yang digunakan oleh peretas
Peretas dapat membobol kata sandi pendek dan sederhana—terutama yang hanya menggunakan huruf kecil atau angka—dalam hitungan detik dengan alat pembobol kata sandi modern. Namun, kata sandi yang lebih kompleks, seperti yang mengandung berbagai jenis karakter (huruf besar dan kecil, simbol, dan angka) jauh lebih sulit dibobol dan membutuhkan waktu lebih lama.
Brute force dan Dictionary Attack adalah dua metode pembobolan kata sandi yang paling populer di kalangan peretas.
- Dalam serangan brute force, peretas menggunakan alat untuk mencoba setiap kombinasi kata sandi yang mungkin secara sistematis, yang berarti bahwa kata sandi lemah dengan panjang tujuh karakter dapat dibobol hanya dalam beberapa menit, sementara kata sandi kompleks dengan panjang 16 karakter yang mencakup simbol dan angka bisa memerlukan waktu berbulan-bulan, bertahun-tahun, atau bahkan lebih lama untuk dibobol.
- Dalam dictionary attack, peretas menggunakan daftar kata atau kata sandi umum untuk menebak kombinasi yang benar, sehingga metode ini sangat efektif melawan kata sandi yang sering digunakan atau sederhana.
Tertarik mengetahui berapa banyak pengguna akhir Anda yang menggunakan kata sandi lemah atau telah dikompromikan? Gunakan alat seperti Specops Password Auditor untuk memindai Active Directory Anda secara gratis dan mengidentifikasi kata sandi duplikat, kosong, identik, yang telah dikompromikan, serta kerentanan kata sandi lainnya.
Mengelola Risiko Kata Sandi
Apa risiko terbesar keamanan kata sandi di organisasi Anda? Perilaku pengguna. Pengguna cenderung menggunakan kembali kata sandi di beberapa akun atau memilih kata sandi yang lemah dan mudah diingat, memberikan keuntungan besar bagi peretas.
Setelah seorang peretas berhasil membobol kata sandi untuk satu akun, mereka sering mencoba kata sandi yang sama di layanan lain—sebuah taktik yang dikenal sebagai credential stuffing. Dan jika pengguna telah menggunakan kembali kata sandi tersebut di beberapa situs? Mereka secara efektif memberikan kunci digital mereka kepada peretas.
Untuk mengelola risiko ini, organisasi Anda harus mempromosikan kata sandi yang baik. Sarankan pengguna akhir untuk menghindari penggunaan kembali kata sandi di situs atau akun yang berbeda. Lebih dari sekadar mendidik pengguna, terapkan perlindungan sistem seperti ambang batas kunci yang membatasi jumlah upaya login yang gagal.
Selain itu, terapkan autentikasi multi-faktor untuk pengguna akhir dan tetapkan kebijakan kata sandi yang kuat yang memberlakukan panjang, kompleksitas, dan interval perubahan.
Passphrase dan Verifikasi Identitas
Seiring semakin canggihnya peretas dan alat mereka, organisasi harus mempertimbangkan kembali komposisi kata sandi. Masuklah ke era passphrase—kombinasi kata-kata acak yang mudah diingat pengguna tetapi sulit ditebak peretas. Misalnya, passphrase seperti “taman pisang uap jerapah” jauh lebih aman daripada kata sandi pendek yang terdiri dari angka dan huruf acak, tetapi juga lebih mudah diingat pengguna.
Panjang passphrase (sering kali 16 karakter atau lebih) dikombinasikan dengan ketidakpastian kombinasi kata-kata membuatnya jauh lebih sulit bagi serangan brute force untuk berhasil. Anda dapat menemukan lebih banyak saran tentang cara membantu pengguna akhir membuat passphrase di sini.
Pertimbangkan juga untuk menerapkan langkah-langkah verifikasi identitas untuk menambahkan lapisan keamanan lainnya. Meminta pengguna untuk memverifikasi identitas mereka melalui konfirmasi email atau SMS memberikan perlindungan lebih lanjut bahkan jika peretas berhasil membobol kata sandi.
Berpikir Seperti Peretas untuk Bertahan Seperti Ahli
Dengan berpikir seperti peretas, Anda dapat lebih memahami cara membuat segalanya lebih sulit bagi mereka. Peretas mengandalkan kata sandi yang lemah, digunakan kembali, dan pola yang dapat diprediksi, memanfaatkan pengguna yang mengabaikan praktik terbaik kata sandi atau tidak mengaktifkan MFA.
Kebijakan keamanan yang kuat adalah fondasi perlindungan kata sandi yang baik—dan Specops Password Policy adalah solusi sederhana yang membantu Anda menyesuaikan persyaratan. Organisasi Anda dapat menerapkan kepatuhan terhadap regulasi, menyesuaikan aturan kata sandi, membuat kamus khusus, menerapkan passphrase, dan bahkan memindai Active Directory secara terus-menerus untuk lebih dari 4 miliar kata sandi yang telah dikompromikan.
Untuk bertahan dari serangan ini secara efektif, organisasi Anda harus menutup semua celah. Dorong pengguna untuk menggunakan passphrase panjang dan unik yang sulit ditebak peretas. Terapkan metode verifikasi identitas untuk menambah keamanan ekstra. Dan manfaatkan alat-alat terkemuka di industri untuk membantu menerapkan praktik keamanan kata sandi terbaik.
#Lindungi Data!
Sebagai perusahaan yang berkomitmen untuk membuat dunia digital yang lebih baik, PT Digital Solusi Grup mengajak Anda untuk selalu menjaga keamanan perangkat dan data Anda. Hubungi tim ahli kami di bidang cyber security untuk konsultasi lebih lanjut dan layanan perlindungan menyeluruh. Bersama kami, amankan bisnis Anda dari ancaman siber yang terus berkembang. Lindungi, Aman, dan Sukses bersama PT Digital Solusi Grup!
Referensi:
A Hacker’s Guide to Password Cracking, The Hacker News.
Baca Juga : Nokia Selidiki Dugaan Pelanggaran Data, IntelBroker Dikabarkan Menjual Source Code
