8 Trik Paling Umum Digunakan untuk Meretas Kata Sandi

8 Trik Paling Umum Digunakan untuk Meretas Kata Sandi

Ketika Anda mendengar 'pelanggaran keamanan', apa yang muncul di benak Anda? Seorang peretas jahat duduk di depan layar yang ditutupi teks digital bergaya Matrix? Atau seorang remaja yang tinggal di ruang bawah tanah yang tidak melihat siang hari dalam tiga minggu? Bagaimana dengan superkomputer yang kuat yang mencoba meretas seluruh dunia?





Peretasan adalah tentang satu hal: kata sandi Anda. Jika seseorang dapat menebak kata sandi Anda, mereka tidak memerlukan teknik peretasan yang rumit dan superkomputer. Mereka hanya akan masuk, bertindak sebagai Anda. Jika kata sandi Anda pendek dan sederhana, permainan berakhir.



Ada delapan taktik umum yang digunakan peretas untuk meretas kata sandi Anda.





1. Peretasan Kamus

Pertama dalam panduan taktik peretasan kata sandi yang umum adalah serangan kamus. Mengapa disebut serangan kamus? Karena secara otomatis mencoba setiap kata dalam 'kamus' yang ditentukan terhadap kata sandi. Kamus tidak sepenuhnya seperti yang Anda gunakan di sekolah.

Tidak. Kamus ini sebenarnya adalah file kecil yang juga berisi kombinasi kata sandi yang paling umum digunakan. Itu termasuk 123456, qwerty, kata sandi, iloveyou, dan klasik sepanjang masa, hunter2.



cara menghapus notifikasi di facebook android

Tabel di atas merinci kata sandi yang paling banyak bocor di tahun 2016. Tabel di bawah ini merinci kata sandi yang paling banyak bocor di tahun 2020.

Perhatikan kesamaan di antara keduanya—dan pastikan Anda tidak menggunakan opsi yang sangat sederhana ini.



Kelebihan: Cepat; biasanya akan membuka beberapa akun yang sangat dilindungi.

Kontra: Bahkan kata sandi yang sedikit lebih kuat akan tetap aman.



Tetap aman: Gunakan kata sandi sekali pakai yang kuat untuk setiap akun, bersama dengan a aplikasi manajemen kata sandi . Pengelola kata sandi memungkinkan Anda menyimpan kata sandi lain di repositori. Kemudian Anda dapat menggunakan satu kata sandi yang sangat kuat untuk setiap situs.

Terkait: Pengelola Kata Sandi Google: Cara Memulai

2. Kekuatan Brute

Selanjutnya, serangan brute force, di mana penyerang mencoba setiap kombinasi karakter yang mungkin. Kata sandi yang dicoba akan cocok dengan spesifikasi untuk aturan kompleksitas, mis. termasuk satu huruf besar, satu huruf kecil, desimal Pi, pesanan pizza Anda, dan seterusnya.

Serangan brute force juga akan mencoba kombinasi karakter alfanumerik yang paling umum digunakan terlebih dahulu. Ini termasuk kata sandi yang terdaftar sebelumnya, serta 1q2w3e4r5t, zxcvbnm, dan qwertyuiop. Diperlukan waktu yang sangat lama untuk mengetahui kata sandi menggunakan metode ini, tetapi itu sepenuhnya tergantung pada kerumitan kata sandi.

Kelebihan: Secara teoritis, itu akan memecahkan kata sandi apa pun dengan mencoba setiap kombinasi.

Kontra: Bergantung pada panjang dan kesulitan kata sandi, ini bisa memakan waktu yang sangat lama. Masukkan beberapa variabel seperti $, &, {, atau ], dan mencari tahu kata sandi menjadi sangat sulit.

Tetap aman: Selalu gunakan kombinasi karakter yang bervariasi, dan jika memungkinkan, memperkenalkan simbol tambahan untuk meningkatkan kompleksitas .

3. Phising

Ini bukan 'peretasan', tetapi menjadi mangsa upaya phishing atau spear-phishing biasanya akan berakhir buruk. Email phishing umum dikirim oleh miliaran ke semua jenis pengguna internet di seluruh dunia.

Email phishing umumnya berfungsi seperti ini:

  1. Pengguna target menerima email palsu yang mengaku berasal dari organisasi atau bisnis besar.
  2. Email palsu menuntut perhatian segera, menampilkan tautan ke situs web.
  3. Tautan ini sebenarnya terhubung ke portal login palsu, dipalsukan agar tampak persis sama dengan situs yang sah.
  4. Pengguna target yang tidak curiga memasukkan kredensial login mereka dan diarahkan atau disuruh mencoba lagi.
  5. Kredensial pengguna dicuri, dijual, atau digunakan secara jahat (atau keduanya).

Volume spam harian yang dikirim ke seluruh dunia tetap tinggi, terhitung lebih dari setengah dari semua email yang dikirim secara global. Selain itu, volume lampiran berbahaya juga tinggi, dengan Kaspersky mencatat lebih dari 92 juta lampiran berbahaya dari Januari hingga Juni 2020. Ingat, ini hanya untuk Kaspersky, jadi bilangan asli jauh lebih tinggi .

Kembali pada tahun 2017, iming-iming phishing terbesar adalah faktur palsu. Namun, pada tahun 2020, pandemi COVID-19 memberikan ancaman phising baru.

Pada April 2020, tidak lama setelah banyak negara melakukan penguncian pandemi, Google diumumkan itu memblokir lebih dari 18 juta email spam dan phishing bertema COVID-19 per hari. Sejumlah besar email ini menggunakan merek resmi pemerintah atau organisasi kesehatan untuk legitimasi dan menangkap korban lengah.

Kelebihan: Pengguna benar-benar menyerahkan informasi login mereka, termasuk kata sandi—hit rate yang relatif tinggi, mudah disesuaikan dengan layanan tertentu atau orang tertentu dalam serangan spear-phishing .

Kontra: Email spam mudah difilter, domain spam masuk daftar hitam, dan penyedia utama seperti Google terus memperbarui perlindungan.

Tetap aman: Tetap skeptis terhadap email, dan tingkatkan filter spam Anda ke setelan tertinggi atau, lebih baik lagi, gunakan daftar putih proaktif. Menggunakan pemeriksa tautan untuk memastikan jika tautan email sah sebelum mengklik.

4. Rekayasa Sosial

Rekayasa sosial pada dasarnya adalah phishing di dunia nyata, jauh dari layar.

Bagian inti dari setiap audit keamanan adalah mengukur apa yang dipahami oleh seluruh tenaga kerja. Misalnya, perusahaan keamanan akan menelepon bisnis yang mereka audit. 'Penyerang' memberi tahu orang di telepon bahwa mereka adalah tim dukungan teknis kantor yang baru, dan mereka memerlukan kata sandi terbaru untuk sesuatu yang spesifik.

Seseorang yang tidak curiga dapat menyerahkan kunci tanpa jeda untuk berpikir.

Yang menakutkan adalah seberapa sering ini berhasil. Rekayasa sosial telah ada selama berabad-abad. Menjadi bermuka dua untuk mendapatkan masuk ke area aman adalah metode umum serangan dan salah satu yang hanya dijaga dengan pendidikan.

Ini karena serangan tidak selalu meminta kata sandi secara langsung. Bisa jadi tukang ledeng palsu atau tukang listrik meminta masuk ke gedung yang aman, dan sebagainya.

Ketika seseorang mengatakan bahwa mereka ditipu untuk mengungkapkan kata sandi mereka, seringkali itu adalah hasil dari rekayasa sosial.

Kelebihan: Insinyur sosial yang terampil dapat mengekstrak informasi bernilai tinggi dari berbagai target. Hal ini dapat digunakan terhadap hampir semua orang, di mana saja. Ini sangat tersembunyi.

Kontra: Kegagalan rekayasa sosial dapat menimbulkan kecurigaan tentang serangan yang akan datang, dan ketidakpastian apakah informasi yang benar diperoleh.

Tetap aman : Ini adalah salah satu yang rumit. Serangan rekayasa sosial yang berhasil akan selesai pada saat Anda menyadari ada sesuatu yang salah. Pendidikan dan kesadaran keamanan adalah taktik mitigasi inti. Hindari memposting informasi pribadi yang nantinya dapat digunakan untuk melawan Anda.

5. Meja Pelangi

Tabel pelangi biasanya merupakan serangan kata sandi offline. Misalnya, penyerang telah memperoleh daftar nama pengguna dan kata sandi, tetapi mereka dienkripsi. Kata sandi terenkripsi di-hash. Ini berarti tampilannya benar-benar berbeda dari kata sandi aslinya.

Misalnya, kata sandi Anda (semoga tidak!) logmein. Hash MD5 yang dikenal untuk kata sandi ini adalah '8f4047e3233b39e4444e1aef240e80aa.'

Omong kosong untuk Anda dan saya. Namun dalam kasus tertentu, penyerang akan menjalankan daftar kata sandi plaintext melalui algoritme hashing, membandingkan hasilnya dengan file kata sandi terenkripsi. Dalam kasus lain, algoritme enkripsi rentan, dan sebagian besar kata sandi sudah di-crack, seperti MD5 (karenanya kami mengetahui hash khusus untuk 'logmein'.

Di sinilah meja pelangi muncul dengan sendirinya. Alih-alih harus memproses ratusan ribu kata sandi potensial dan mencocokkan hash yang dihasilkan, tabel pelangi adalah kumpulan besar nilai hash khusus algoritme yang telah dihitung sebelumnya.

Menggunakan tabel pelangi secara drastis mengurangi waktu yang diperlukan untuk memecahkan kata sandi yang di-hash—tetapi itu tidak sempurna. Peretas dapat membeli tabel pelangi yang telah diisi sebelumnya yang diisi dengan jutaan kombinasi potensial.

Kelebihan: Dapat mengetahui kata sandi yang rumit dalam waktu singkat; memberi peretas banyak kekuatan atas skenario keamanan tertentu.

Kontra: Membutuhkan banyak ruang untuk menyimpan tabel pelangi yang sangat besar (terkadang terabyte). Juga, penyerang terbatas pada nilai yang terkandung dalam tabel (jika tidak, mereka harus menambahkan seluruh tabel lainnya).

kenapa streaming saya sangat lambat

Tetap aman: Satu lagi yang rumit. Tabel pelangi menawarkan berbagai potensi serangan. Hindari situs apa pun yang menggunakan SHA1 atau MD5 sebagai algoritma hashing kata sandi mereka. Hindari situs apa pun yang membatasi Anda dengan kata sandi pendek atau membatasi karakter yang dapat Anda gunakan. Selalu gunakan kata sandi yang rumit.

Terkait: Bagaimana Mengenalinya Jika Situs Menyimpan Kata Sandi sebagai Plaintext (Dan Apa yang Harus Dilakukan)

6. Malware/Keylogger

Cara lain yang pasti untuk kehilangan kredensial login Anda adalah dengan jatuh dari malware. Malware ada di mana-mana, dengan potensi untuk melakukan kerusakan besar. Jika varian malware menampilkan keylogger, Anda dapat menemukan semua akun Anda disusupi.

Atau, malware dapat secara khusus menargetkan data pribadi atau memperkenalkan Trojan akses jarak jauh untuk mencuri kredensial Anda.

Kelebihan: Ribuan varian malware, banyak yang dapat disesuaikan, dengan beberapa metode pengiriman yang mudah. Kemungkinan besar sejumlah besar target akan menyerah pada setidaknya satu varian. Itu bisa tidak terdeteksi, memungkinkan pengambilan data pribadi dan kredensial login lebih lanjut.

Kontra: Kemungkinan malware tidak akan berfungsi, atau dikarantina sebelum mengakses data; tidak ada jaminan bahwa data berguna.

Tetap aman : Instal dan perbarui antivirus dan antimalware Anda secara teratur perangkat lunak. Pertimbangkan dengan cermat sumber unduhan Anda. Jangan mengklik paket instalasi yang berisi bundleware dan lainnya. Jauhi situs jahat (lebih mudah diucapkan daripada dilakukan). Gunakan alat pemblokiran skrip untuk menghentikan skrip berbahaya.

7. Berlari

Hubungan laba-laba ke dalam serangan kamus. Jika peretas menargetkan institusi atau bisnis tertentu, mereka mungkin mencoba serangkaian kata sandi yang berkaitan dengan bisnis itu sendiri. Peretas dapat membaca dan menyusun serangkaian istilah terkait—atau menggunakan laba-laba pencarian untuk melakukan pekerjaan bagi mereka.

Anda mungkin pernah mendengar istilah 'laba-laba' sebelumnya. Laba-laba pencarian ini sangat mirip dengan yang merayapi internet, mengindeks konten untuk mesin pencari. Daftar kata khusus kemudian digunakan terhadap akun pengguna dengan harapan menemukan kecocokan.

Kelebihan: Dapat berpotensi membuka akun untuk individu berperingkat tinggi dalam suatu organisasi. Relatif mudah untuk disatukan dan menambahkan dimensi ekstra ke serangan kamus.

Kontra: Bisa berakhir sia-sia jika keamanan jaringan organisasi dikonfigurasi dengan baik.

Tetap aman: Sekali lagi, hanya gunakan kata sandi sekali pakai yang kuat yang terdiri dari string acak; tidak ada yang menghubungkan ke persona Anda, bisnis, organisasi, dan sebagainya.

apakah mode pesawat mengisi daya ponsel Anda lebih cepat?

8. Selancar Bahu

Opsi terakhir adalah salah satu yang paling mendasar. Bagaimana jika seseorang hanya melihat dari balik bahu Anda saat Anda mengetikkan kata sandi Anda?

Selancar bahu terdengar agak konyol, tetapi itu memang terjadi. Jika Anda bekerja di kafe pusat kota yang sibuk dan tidak memperhatikan lingkungan sekitar Anda, seseorang bisa cukup dekat untuk mencatat kata sandi Anda saat Anda mengetik.

Kelebihan: Pendekatan teknologi rendah untuk mencuri kata sandi.

Kontra: Harus mengidentifikasi target sebelum mengetahui kata sandi; bisa mengungkapkan diri dalam proses mencuri.

Tetap aman: Tetap perhatikan orang-orang di sekitar Anda saat mengetik kata sandi Anda. Tutupi keyboard Anda dan samarkan tombol Anda selama input.

Selalu Gunakan Kata Sandi yang Kuat, Unik, Sekali Pakai

Jadi, bagaimana Anda menghentikan peretas yang mencuri kata sandi Anda? Jawaban yang sangat singkat adalah itu Anda tidak bisa benar-benar 100 persen aman . Alat yang digunakan peretas untuk mencuri data Anda berubah setiap saat dan ada banyak video dan tutorial tentang menebak kata sandi atau mempelajari cara meretas kata sandi.

Satu hal yang pasti: menggunakan kata sandi yang kuat, unik, sekali pakai tidak akan merugikan siapa pun.

Membagikan Membagikan Menciak Surel 5 Alat Kata Sandi untuk Membuat Frasa Sandi yang Kuat dan Memperbarui Keamanan Anda

Buat kata sandi yang kuat yang dapat Anda ingat nanti. Gunakan aplikasi ini untuk meningkatkan keamanan Anda dengan kata sandi baru yang kuat hari ini.

Baca Selanjutnya Topik-topik yang berkaitan
  • Keamanan
  • Kiat Kata Sandi
  • Keamanan Daring
  • Peretasan
  • Tips Keamanan
Tentang Penulis Gavin Phillips(945 Artikel Diterbitkan)

Gavin adalah Editor Junior untuk Windows dan Penjelasan Teknologi, kontributor tetap untuk Podcast yang Sangat Berguna, dan peninjau produk reguler. Dia memiliki BA (Hons) Penulisan Kontemporer dengan Praktik Seni Digital yang dijarah dari perbukitan Devon, serta lebih dari satu dekade pengalaman menulis profesional. Dia menikmati banyak teh, permainan papan, dan sepak bola.

More From Gavin Phillips

Berlangganan newsletter kami

Bergabunglah dengan buletin kami untuk kiat teknologi, ulasan, ebook gratis, dan penawaran eksklusif!

Klik di sini untuk berlangganan