Referral program

Shopping Cart

No products in the cart.

Linuxhackingid

Shopping Cart

No products in the cart.

Linuxhackingid

Memahami Pengertian Apa Itu Passoword Attack

Ricky 19/08/2022
0 Comments
memahami-pengertian-apa-itu-password-attack

Memahami Pengertian Apa Itu Password Attack

Serangan kata sandi melibatkan eksploitasi kerentanan otorisasi yang rusak dalam sistem yang dikombinasikan dengan alat serangan kata sandi otomatis yang mempercepat tebakan dan pemecahan kata sandi. Penyerang menggunakan berbagai teknik untuk mengakses dan mengekspos kredensial pengguna yang sah, dengan asumsi identitas dan hak istimewa mereka. Kombinasi nama pengguna-kata sandi adalah salah satu teknik otentikasi akun tertua yang diketahui, sehingga musuh memiliki waktu untuk membuat beberapa metode untuk mendapatkan kata sandi yang dapat ditebak. Selain itu, aplikasi yang menggunakan kata sandi sebagai satu-satunya faktor autentikasi rentan terhadap serangan kata sandi karena kerentanannya sudah dipahami dengan baik.

Serangan kata sandi memiliki konsekuensi yang luas karena pengguna jahat hanya memerlukan akses tidak sah ke satu akun istimewa atau beberapa akun pengguna untuk menyusup ke aplikasi web. Bergantung pada data yang dihosting oleh aplikasi, kata sandi yang disusupi dapat membuka jalan bagi pengungkapan informasi sensitif, penolakan layanan terdistribusi, penipuan keuangan, dan serangan canggih lainnya.

Jenis Password Attack

Serangan Phising

Sejauh ini bentuk serangan kata sandi yang paling umum, serangan phishing yang melibatkan teknik rekayasa sosial di mana peretas menyamar sebagai situs yang tepercaya dengan mengirimkan tautan berbahaya kepada korban.

Setelah mengasumsikan mereka mengautentikasi ke dalam server web yang sah, korban mengklik tautan ini, memberikan kredensial akun mereka kepada penyerang. Selain pencurian identitas, serangan phishing juga mendorong kepada Advanced Persistent Threats dengan mengizinkan pelaku ancaman untuk mendapatkan izin dari pengguna internal.

sehingga memungkinkan penyerang untuk bisa mengkompromikan komponen pada sistem yang lebih mendalam tetapi tidak terdeteksi. Dalam serangan phishing, musuh biasanya menggunakan beberapa metode untuk mengelabui pengguna agar mengklik tautan berbahaya, diantara sebagai berikut:

1. DNS cache poisoning penyerang memanfaatkan celah kerentanan di server DNS aplikasi untuk mengarahkan permintaan pada pengguna kedalam situs berbahaya dengan nama domain yang tentunya mirip.

2. URL hijacking/typosquatting – Penyerang membuat URL yang tampak asli dengan perbedaan yang halus dari situs web yang ingin mereka tiru. Serangan ini kemudian tergantung pada pengguna pada yang melakukan kesalahan pengetikan, sehingga mereka masuk di halaman berbahaya.

3. Tabnabbing Penyerang menulis ulang tab browser yang tidak dijaga dengan situs berbahaya yang terlihat seperti halaman web yang sah.

4. UI redressing/iFrame overlay Penyerang menempatkan sebuah tautan ke halaman berbahaya di atas tombol yang sah dan dapat diklik menggunakan lapisan yang transparan.

5. Clone phishing – Dalam serangan ini, penyerang mengirimkan berupa salinan email yang sah di mana tautan di dalam email asli diganti dengan URL kepada situs berbahaya.

Serangan Kata Sandi Brute-Force

Serangan kata sandi ini menggunakan metode mencoba-coba untuk menebak sebuah informasi otentikasi pengguna. Aktor jahat menggunakan skrip otomatis untuk mengerjakan sebanyak mungkin untuk permutasi menebak kata sandi pengguna, dengan benar.

Meskipun ini adalah sebuah metode yang relatif lama yang membutuhkan banyak kesabaran dan waktu, serangan Brute force masih standar dalam upaya pelanggaran akun karena otomatis dan mudah.

Ada beberapa jenis serangan brute force sebagai berikut:

1. Simple brute force attacks Seorang peretas menggunakan logika dan data tentang pengguna untuk menebak sebuah kata sandi yang paling mungkin. Teknik ini biasanya digunakan untuk kata sandi yang relatif sederhana, seperti yang mengandung kombinasi nama hewan peliharaan-tahun dan kelahiran.

2. Credential stuffing Ini melibatkan penggunaan kombinasi login yang sebelumnya terekspos yang diperoleh dengan jahat di situs web yang rentan. Dalam sebuah serangan seperti itu, peretas biasanya memanfaatkan fakta bahwa entitas cenderung menggunakan kembali kombinasi nama pengguna-kata sandi mereka di beberapa layanan.

3. Hybrid brute force attacks Penyerang menggabungkan tebak kata sandi sederhana yang lemah dengan perangkat lunak otomatis yang melakukan isian kredensial untuk mengungkap kata sandi yang rumit, Di sebagian besar sistem produksi, entitas menggunakan sedikit jenis variasi kata sandi di berbagai situs web. Penyerang juga mengandalkan pola data pengguna di seluruh layanan untuk meningkatkan sebuah akurasi alat isian kredensial.

4. Reverse brute force attacks Dalam bentuk serangan ini, peretas memulai dengan kata sandi yang sudah diketahui kemudian mencari nama pengguna yang tentu cocok dengannya. Karena pelaku ancaman sering kali memiliki sebuah akses ke beberapa basis data kredensial yang bocor, mudah untuk mengidentifikasi kata sandi umum dalam sebuah kelompok pengguna tertentu.

Dictionary Password Attacks

Metode serangan ini menggunakan list daftar kata yang telah ditentukan sebelumnya yang kemungkinan besar akan digunakan sebagai kata sandi oleh jaringan target tertentu. pada daftar yang telah ditentukan dibuat dari pola perilaku pengguna situs web dan kata sandi yang diperoleh dari pelanggaran data sebelumnya.

Daftar yang dibuat dengan memvariasikan sebuah kombinasi umum kata per huruf, menambahkan sufiks & awalan numerik, dan menggunakan frasa umum, dan diteruskan ke alat otomatis, yang mencoba mengautentikasi terhadap daftar nama pengguna yang diketahui.

Password Spraying Attack

Dalam jenis serangan ini, peretas mencoba mengautentikasi menggunakan kata sandi yang sama di berbagai akun sebelum pindah ke kata sandi lain, pada penyerangan kata sandi paling efektif karena sebagian besar pengguna situs web menetapkan kata sandi sederhana, dan tekniknya tidak melanggar kebijakan penguncian karena menggunakan beberapa akun yang berbeda, Penyerang sebagian besar mengatur kata sandi di situs web tempat administrator menetapkan kata sandi default standar untuk pengguna baru dan akun yang tidak terdaftar.

Keyyloger

Saat mengatur serangan Keylogging, seorang peretas memasang alat pemantauan di komputer pengguna untuk merekam kunci setiap apa yang ditekan oleh pengguna secara diam-diam. Keylogger ini mencatat semua informasi yang diketik pengguna ke dalam sebuah formulir input dan kemudian mengirimkannya ke pihak ketiga yang jahat. Sementara keyloggers sering memiliki kegunaan penting dalam pengaturan perusahaan (peningkatan UX, pemantauan karyawan, dll.), penyerang sering menggunakannya untuk mengekstrak informasi seperti kredensial masuk untuk akses tidak sah secara jahat.

Mencegah Terjadinya Serangan Password Attack

Beberapa praktik terbaik untuk mencegah serangan kata sandi meliputi:

Terapkan kebijakan kata sandi yang kuat

Administrator keamanan harus menerapkan kebijakan yang memastikan pengguna mengikuti kriteria yang ditetapkan untuk mencegah pelaku jahat meretas kata sandi mereka. Misalnya, kata sandi harus memiliki panjang minimal 8 karakter dan menyertakan karakter khusus

untuk menghindari upaya paksa. Selain itu, kata sandi tidak boleh berisi informasi pengenal pribadi apa pun, karena dapat memicu serangan dictinoary attack. Pengguna juga harus menggunakan kata sandi unik untuk setiap layanan.

Pelatihan keamanan kata sandi di seluruh organisasi

Sangat penting untuk memastikan setiap pengguna memahami pentingnya kebijakan kata sandi yang kuat dan mengikuti kesadaran seluruh organisasi tentang keamanan kata sandi. Selain itu, setiap pengguna aplikasi harus waspada terhadap serangan berupa manipulasi psikologis yang menipu mereka agar mengirimkan kredensial mereka ke pihak ketiga yang jahat.

Aktifkan Otentikasi Multifaktor

Kata sandi itu sendiri umumnya tidak menawarkan solusi otentikasi pengguna yang lengkap. Otentikasi multifaktor melibatkan penggunaan kata sandi yang dikombinasikan dengan pemeriksaan keamanan ekstra, Beberapa implementasi MFA termasuk One-Time Password (OTP), otentikasi biometrik, token perangkat lunak, dan analisis perilaku.

Gunakan pengelola kata sandi

Fungsi utama pengelola kata sandi adalah membantu administrator web untuk menyimpan dan mengelola kredensial pengguna. Solusi manajemen kata sandi juga menghasilkan kata sandi untuk pengguna yang mengikuti kebijakan dan praktik terbaik yang kuat. Selain itu, alat ini bisa menyimpan kredensial pengguna dalam basis data yang sangat terenkripsi, membuatnya aman dengan kuat dari paparan dalam pelanggaran data.

Kesimpulan

Dari penjelasan di atas kita sudah belajar memahami pengertian apa itu passsord attack, jenis password attack, mencegah terjadinya password attack.

semoga informasi ini bisa membantu dalam hal meningkatkan kesadaran dalam menggunakan password dalam berbagai layanan di internet.

Categories: Exploit

Related Articles

Responses

Your email address will not be published. Required fields are marked *

Invite & Earn

X
Signup to start sharing your link
Signup
Close

Available Coupon

X
Close