Apa itu serangan brute force?

Serangan brute force adalah jenis serangan siber di mana peretas mencoba mendapatkan akses tidak sah ke akun atau data terenkripsi melalui coba-coba, mencoba beberapa kredensial masuk atau kunci enkripsi hingga mereka menemukan kata sandi yang benar. Serangan brute force sering menargetkan sistem otentikasi seperti halaman login situs web, server shell aman (SSH) atau file yang dilindungi kata sandi. 
 

Tidak seperti serangan siber lainnya, yang mengeksploitasi kerentanan perangkat lunak, serangan brute force menggunakan kekuatan komputasi dan otomatisasi untuk menebak kata sandi atau kunci.  Upaya brute force dasar menggunakan skrip atau bot otomatis untuk menguji ribuan kombinasi kata sandi per menit-seperti pencuri yang mencoba setiap kombinasi yang mungkin pada gembok hingga gembok itu terbuka.

Kata sandi yang lemah atau sederhana membuat pekerjaan lebih mudah, sementara kata sandi yang kuat dapat membuat jenis serangan ini sangat memakan waktu atau tidak praktis. Namun, teknik brute force yang lebih maju terus dikembangkan.

Untuk menggambarkan kecepatan dan skala ancaman siber yang meningkat saat ini, pertimbangkan bahwa Microsoft memblokir rata-rata 4.000 serangan identitas  per detik. Namun penyerang Lanjutkan mendorong batas. Rig peretasan kata sandri dapat mencapai sekitar 7,25 triliun upaya kata sandi dalam detik yang sama.

Dan sekarang, dengan munculnya komputasi quantum dan kebutuhan akan Kriptografi pasca-quantum, serangan brute force tidak lagi dibatasi oleh perangkat keras saat ini. Metode kriptografi modern untuk autentikasi, seperti enkripsi RSA , mengandalkan kesulitan komputasi dalam memfaktorkan bilangan besar menjadi bilangan prima.

Memfaktorkan apa pun di luar 2048 bit akan memakan waktu miliaran tahun dengan daya komputasi saat ini. Namun, komputer quantum yang cukup canggih dengan sekitar 20 juta qubit dapat memecahkan kunci RSA 2048-bit dalam hitungan jam.

Serangan brute force adalah ancaman keamanan siber yang serius karena mereka menargetkan mata rantai terlemah dalam pertahanan keamanan: kata sandi yang dipilih manusia dan akun yang tidak terlindungi dengan baik.

 Serangan brute force yang berhasil dapat menyebabkan akses tidak sah secara langsung, yang memungkinkan penyerang menyamar sebagai pengguna, mencuri data sensitif , atau menyusup ke dalam jaringan. Selain itu, tidak seperti peretasan yang lebih rumit, serangan brute force hanya membutuhkan sedikit keahlian teknis, hanya ketekunan dan sumber daya.

Salah satu risiko utama dari serangan brute force adalah bahwa satu akun yang dikompromikan dapat memiliki efek bertingkat. Sebagai contoh, jika penjahat siber memaksa kredensial administrator, mereka dapat menggunakannya untuk membobol akun pengguna lain.

Bahkan akun pengguna normal, setelah diakses, dapat mengungkapkan informasi identifikasi pribadi atau berfungsi sebagai batu loncatan untuk akses yang lebih istimewa. Banyak pelanggaran data dan insiden ransomware dimulai dengan penyerang yang menggunakan kekerasan untuk memecahkan akun akses jarak jauh—seperti Remote Desktop Protocol (RDP) atau login VPN. Begitu masuk, penyerang dapat menerapkan malware, ransomware atau hanya mengunci sistem.

Serangan brute force juga merupakan masalah keamanan jaringan karena volume upaya serangan bisa berisik. Kebisingan jaringan yang signifikan dapat membanjiri sistem otentikasi atau bertindak sebagai tabir asap untuk serangan siber yang lebih sunyi. 

Baru-baru ini, para peneliti mengamati kampanye brute force global yang memanfaatkan hampir 3 juta alamat IP unik untuk menargetkan VPN dan firewall, menyoroti betapa masif dan terdistribusinya serangan ini. 

Biasanya, banjir percobaan kata sandi pengguna yang gagal akan memberi tahu pertahanan, tetapi penyerang memiliki cara untuk menutupi aktivitas mereka. Dengan menggunakan bot atau botnet—jaringan komputer yang telah disusupi—penyerang dapat mendistribusikan upaya-upaya di berbagai sumber, seperti akun media sosial . Hal ini membuat upaya login berbahaya berbaur dengan perilaku pengguna normal. 

Selain tingkat keparahannya sendiri, penting untuk dicatat bahwa serangan brute force sering kali berjalan seiring dengan taktik lainnya. Misalnya, penyerang mungkin menggunakan phishing untuk mendapatkan kredensial satu akun dan brute force untuk akun lain. Atau mereka mungkin menggunakan hasil serangan brute force (kata sandi curian) untuk melakukan penipuan phishing atau penipuan di tempat lain.

Untuk memahami cara kerja serangan brute force, pertimbangkan banyaknya kemungkinan kata sandi yang perlu diuji oleh penyerang. Serangan brute force beroperasi dengan menghasilkan dan memeriksa kredenSIAL dengan kecepatan tinggi. Penyerang mungkin memulai dengan tebakan yang sudah jelas (seperti "kata sandi" atau "123456") dan kemudian secara sistematis menghasilkan semua kemungkinan kombinasi karakter sampai mereka menemukan kata sandi yang benar.

Penyerang modern memanfaatkan daya komputasi yang signifikan—dari unit pemrosesan komputer (CPU) multi-inti hingga klaster komputasi awan —untuk mempercepat proses ini.

Misalnya, kata sandi enam karakter yang hanya menggunakan huruf kecil memiliki 26^6 kata sandi yang mungkin. Itu kira-kira 308 juta kombinasi. Dengan perangkat keras saat ini, jumlah tebakan tersebut dapat dilakukan hampir seketika, yang berarti kata sandi yang lemah dengan enam huruf dapat langsung dipecahkan.

Sebaliknya, kata sandi yang lebih panjang dengan huruf besar kecil, angka, dan karakter khusus menghasilkan lebih banyak kemungkinan secara eksponensial, sehingga meningkatkan jumlah waktu dan upaya yang diperlukan untuk menebaknya dengan benar. 

Kata sandi bukan satu-satunya hal yang berisiko: metode brute force juga dapat mendekripsi file atau menemukan kunci enkripsi dengan mencari seluruh spektrum kunci yang mungkin (juga dikenal sebagai "ruang kunci" ). Kelayakan serangan tersebut tergantung pada panjang kunci dan kekuatan algoritma  . Misalnya, kunci enkripsi 128-bit memiliki sejumlah besar kemungkinan secara astronomis, membuat memaksa kasar hampir tidak mungkin dengan teknologi saat ini.

Pada praktiknya, serangan brute force sering kali berhasil bukan dengan memecahkan sandi yang tidak dapat dipecahkan, tetapi dengan mengeksploitasi faktor manusia: menebak kata sandi yang umum, mengasumsikan penggunaan ulang kata sandi, atau menargetkan sistem yang tidak memiliki mekanisme penguncian .

Teknik-teknik brute force dapat diterapkan dalam dua konteks: serangan online (upaya waktu nyata terhadap sistem langsung) dan serangan offline (menggunakan data yang dicuri, seperti kata sandi yang di-hash-kode pendek dan tetap yang dihasilkan dari kata sandi yang hampir tidak mungkin dibalik). 

Dalam serangan online, peretas berinteraksi dengan sistem target—seperti login aplikasi web atau layanan SSH —dan mencoba kata sandi secara real-time. Kecepatan serangan dibatasi oleh penundaan jaringan dan mekanisme pertahanan.

Misalnya, pembatasan kecepata membatasi jumlah upaya dalam waktu tertentu, dan CAPTCHA adalah metode otentikasi yang membedakan manusia dari bot. Penyerang sering kali mendistribusikan upaya online mereka ke beberapa alamat IP atau menggunakan botnet untuk menghindari pemicuan pemblokiran berbasis IP.

Pada serangan offline, penyerang telah mendapatkan data terenkripsi atau hash kata sandi (misalnya, dari pelanggaran data) dan dapat menggunakan mesin mereka sendiri untuk mencoba jutaan atau milyaran tebakan per detik tanpa memberi tahu target. Alat pemecah kata sandi khusus — biasanya sumber terbuka— ada untuk memfasilitasi Strategi brute force ini. 

Misalnya, John the Ripper, Hashcat dan Aircrack-ng adalah alat populer yang mengotomatiskan pemecahan kata sandi brute force. Alat-alat ini menggunakan algoritma untuk mengelola serangan tebakan dan unit pemrosesan grafis (GPU) untuk hash dan membandingkan kata sandi dengan kecepatan luar biasa.

Serangan brute force hadir dalam beberapa bentuk, masing-masing menggunakan strategi yang berbeda untuk menebak atau menggunakan kembali kredensial untuk mendapatkan akses yang tidak sah.

Pendekatan ini mencoba semua kata sandi yang mungkin dengan bertahap menelusuri setiap kombinasi karakter yang diizinkan.  Serangan brute force sederhana (juga disebut exhaustive search) tidak menggunakan pengetahuan sebelumnya tentang kata sandi; secara sistematis akan mencoba kata sandi seperti "aaaa...," "aaab...," dan seterusnya sampai "zzzz...," termasuk angka atau simbol, tergantung pada rangkaian karakter.

Dengan waktu yang cukup, serangan brute force sederhana pada akhirnya akan menemukan kredensial yang benar melalui coba-coba. Namun, ini bisa sangat memakan waktu jika kata sandinya panjang atau rumit.

Daripada mengulang-ulang secara membabi buta setiap kombinasi kata sandi yang mungkin, serangan kamus mencoba daftar kata sandi yang mungkin (kamus "istilah") untuk mempercepat penelusuran. 

Penyerang menyusun daftar kata, frasa, dan kata sandi umum (seperti “admin,” “letmein” atau “password123"). Karena banyak pengguna memilih kata sandi yang lemah yang sederhana atau berdasarkan kata-kata yang biasanya ditemukan dalam kamus, metode ini dapat menghasilkan kemenangan cepat.

 Serangan hybrid menggabungkan pendekatan serangan kamus dengan metode brute force sederhana. Penyerang mulai dengan daftar kemungkinan kata-kata dasar dan kemudian menerapkan modifikasi brute force di sekitarnya. Sebagai contoh, kata "musim semi" dapat dicoba sebagai "Spring2025!" dengan menambahkan huruf kapital, angka, atau simbol untuk memenuhi persyaratan kerumitan.

Credential stuffing adalah varian khusus dari serangan brute force di mana penyerang menggunakan kredensial login (pasangan nama pengguna dan kata sandi) yang dicuri dari satu pelanggaran dan mencobanya di situs web dan layanan lain. Daripada menebak kata sandi baru, penyerang memasukkan kata sandi yang sudah diketahui ke dalam beberapa formulir login, bertaruh pada fakta bahwa banyak orang menggunakan kredensial yang sama di berbagai akun yang berbeda.

 Serangan tabel pelangi merupakan teknik pemecahan kata sandi offline yang menukar waktu komputasi dengan memori dengan menggunakan tabel hash yang telah dihitung sebelumnya. Alih-alih melakukan hashing terhadap kata sandi yang ditebak dengan cepat, penyerang menggunakan “tabel pelangi”—tabel pencarian raksasa yang berisi nilai hash untuk banyak kemungkinan kata sandi—untuk dengan cepat mencocokkan hash dengan kata sandi aslinya. 

Dalam serangan brute force terbalik, peretas membalikkan metode serangan biasa di kepalanya. Alih-alih mencoba banyak kata sandi terhadap satu pengguna, mereka mencoba satu kata sandi (atau sekumpulan kecil) terhadap banyak akun pengguna yang berbeda.

Penyemprotan kata sandi adalah versi yang lebih tersembunyi dari teknik reverse brute force. Penyerang menggunakan daftar kecil kata sandi umum (seperti “Summer2025!”) di beberapa akun. Ini memungkinkan mereka untuk menargetkan beberapa pengguna tanpa memicu perlindungan lockout pada akun tunggal mana pun. 

Organisasi dapat menerapkan beberapa langkah keamanan untuk melindungi dari upaya kekerasan. Praktik utama meliputi:

Setiap penghalang tambahan—baik aturan penguncian atau enkripsi—dapat membantu mencegah infiltrasi brute force. Dengan mengadopsi pendekatan berlapis yang menangani faktor manusia dan teknis, organisasi dapat lebih melindungi terhadap serangan brute force.