Ada banyak peretasan yang sangat teknis dan canggih di luar sana. Seperti yang mungkin bisa Anda tebak dari namanya, serangan brute force, sebenarnya tidak semuanya. Itu bukan untuk mengatakan bahwa Anda harus mengabaikannya. Meski tidak canggih, mereka bisa sangat efektif. Dengan waktu dan kekuatan pemrosesan yang cukup, serangan brute force harus selalu memiliki tingkat keberhasilan 100%.
Sub-kelas
Ada dua sub-kelas utama: serangan online dan offline. Serangan brute-force online tidak selalu melibatkan Internet. Sebaliknya, itu adalah kelas serangan yang secara langsung menargetkan sistem yang sedang berjalan. Serangan offline dapat dilakukan tanpa perlu berinteraksi dengan sistem yang sedang diserang.
Tapi bagaimana Anda bisa menyerang sistem tanpa menyerang sistem? Nah, pelanggaran data seringkali berisi daftar nama pengguna dan kata sandi yang bocor. Saran keamanan, merekomendasikan agar kata sandi disimpan dalam format hash. Hash ini hanya dapat dipecahkan dengan menebak kata sandi yang tepat. Sayangnya, sekarang daftar hash tersedia untuk umum, penyerang dapat mengunduh daftar tersebut dan mencoba memecahkannya di komputer mereka sendiri. Dengan waktu dan kekuatan pemrosesan yang cukup, ini memberi tahu mereka daftar nama pengguna dan kata sandi yang valid dengan kepastian 100% sebelum terhubung ke situs yang terpengaruh.
Serangan online sebagai perbandingan akan mencoba masuk ke situs web secara langsung. Tidak hanya ini jauh lebih lambat, tetapi juga terlihat oleh hampir semua pemilik sistem yang peduli untuk melihatnya. Dengan demikian, serangan brute-force offline biasanya disukai oleh penyerang. Namun, kadang-kadang, mereka tidak mungkin.
Kredensial yang memaksa
Kelas termudah untuk dipahami dan ancaman yang paling umum adalah detail login yang memaksa. Dalam skenario ini, penyerang benar-benar mencoba sebanyak mungkin kombinasi nama pengguna dan kata sandi untuk melihat mana yang berhasil. Seperti dibahas di atas, dalam serangan brute-force online, penyerang dapat dengan mudah mencoba memasukkan sebanyak mungkin kombinasi nama pengguna dan kata sandi ke dalam formulir login. Serangan semacam ini menghasilkan banyak lalu lintas dan kesalahan upaya masuk yang gagal yang mungkin diperhatikan oleh administrator sistem yang kemudian dapat mengambil tindakan untuk memblokir penyerang.
Serangan brute-force offline berputar di sekitar cracking hash kata sandi. Proses ini secara harfiah berupa menebak setiap kemungkinan kombinasi karakter. Dengan waktu dan kekuatan pemrosesan yang cukup, itu akan berhasil memecahkan kata sandi apa pun menggunakan skema hashing apa pun. Skema hashing modern yang dirancang untuk hashing kata sandi, bagaimanapun, telah dirancang untuk menjadi "lambat" dan biasanya disetel untuk membutuhkan waktu puluhan milidetik. Ini berarti bahwa meskipun dengan kekuatan pemrosesan yang sangat besar, dibutuhkan miliaran tahun untuk memecahkan kata sandi yang cukup panjang.
Untuk mencoba meningkatkan kemungkinan meretas sebagian besar kata sandi, peretas cenderung menggunakan serangan kamus. Ini melibatkan mencoba daftar kata sandi yang umum digunakan atau yang sebelumnya diretas untuk melihat apakah ada di set saat ini yang telah terlihat. Terlepas dari saran keamanan untuk menggunakan kata sandi yang unik, panjang, dan rumit untuk semuanya, strategi serangan kamus ini biasanya sangat berhasil memecahkan sekitar 75-95% kata sandi. Strategi ini masih membutuhkan banyak kekuatan pemrosesan dan masih merupakan jenis serangan brute-force, hanya sedikit lebih bertarget daripada serangan brute-force standar.
Jenis serangan brute-force lainnya
Ada banyak cara lain untuk menggunakan kekerasan. Beberapa serangan melibatkan upaya untuk mendapatkan akses fisik ke perangkat atau sistem. Biasanya seorang penyerang akan mencoba diam-diam tentang hal itu. Misalnya, mereka mungkin mencoba mencopet telepon secara diam-diam, mereka mungkin mencoba mengambil kunci, atau mungkin mengekor melalui pintu yang dikontrol aksesnya. Alternatif kekerasan untuk ini cenderung sangat literal, menggunakan kekuatan fisik yang sebenarnya.
Dalam beberapa kasus, beberapa rahasia mungkin diketahui. Serangan brute-force dapat digunakan untuk menebak sisanya. Misalnya, beberapa digit nomor kartu kredit Anda sering tercetak di kuitansi. Penyerang dapat mencoba semua kemungkinan kombinasi angka lain untuk mengetahui nomor kartu lengkap Anda. Inilah sebabnya mengapa sebagian besar angka dikosongkan. Empat digit terakhir, misalnya, cukup untuk mengidentifikasi kartu Anda, tetapi tidak cukup bagi penyerang untuk memiliki peluang yang layak untuk menebak nomor kartu lainnya.
Serangan DDOS adalah jenis serangan brute-force. Mereka bertujuan untuk membanjiri sumber daya sistem yang ditargetkan. Tidak masalah sumber daya mana. itu bisa berupa daya CPU, bandwidth jaringan, atau mencapai batas harga pemrosesan cloud. Serangan DDOS secara harfiah hanya melibatkan pengiriman lalu lintas jaringan yang cukup untuk membanjiri korban. Itu sebenarnya tidak "meretas" apa pun.
Kesimpulan
Serangan brute-force adalah jenis serangan yang melibatkan mengandalkan keberuntungan, waktu, dan usaha belaka. Ada banyak jenis serangan brute-force. Sementara beberapa dari mereka dapat melibatkan alat yang agak canggih untuk dilakukan seperti perangkat lunak pembobol kata sandi, serangan itu sendiri tidak canggih. Ini tidak berarti bahwa serangan brute-force adalah macan kertas, karena konsepnya bisa sangat efektif.