Salah satu ancaman keamanan terbesar adalah peretasan kata sandi. Apakah Anda seorang administrator sistem TI yang mengkhawatirkan keamanan data organisasi Anda?
Pada artikel ini, kami akan memberikan ikhtisar tentang peretasan kata sandi, membahas pentingnya kata sandi yang kuat, dan merinci 5 teknik peretasan kata sandi teratas yang digunakan peretas.
Kami juga akan memberikan contoh dunia nyata dari serangan pembobol kata sandi dan dampaknya serta rekomendasi untuk meningkatkan keamanan kata sandi.
Baik Anda seorang profesional TI berpengalaman atau baru memulai, Anda perlu memahami teknik peretasan kata sandi ini untuk membantu mengamankan data organisasi Anda dengan lebih baik.
Apa yang Terjadi dalam Meretas Kata Sandi
Banyak pengguna mungkin telah melihat pemecahan kata sandi yang digambarkan dalam film sebagai suatu prestasi yang cepat dan mengesankan. Tapi, itu jauh lebih tidak mencolok dan berpotensi jauh lebih memakan waktu, menurut laporan Hive 2022 ini. Peretas kata sandi biasanya melibatkan pemaksaan kata sandi menggunakan berbagai metode.
Untuk memahami peretasan kata sandi, Anda harus terlebih dahulu memahami bagaimana kata sandi disimpan. Ada dua cara utama untuk menyimpan kata sandi: enkripsi dan hashing.
Enkripsi mengubah teks biasa menjadi teks sandi yang dapat dibalik, yang memungkinkan pengelola kata sandi untuk menyimpan dan menampilkan kata sandi teks biasa asli.
Di sisi lain, hashing adalah metode umum yang digunakan untuk menyimpan kata sandi untuk layanan online.
Karena operator layanan tidak perlu membalik kata sandi, hanya untuk memverifikasi kebenarannya, kata sandi di-hash. Algoritma hash mengubah nilai plaintext menjadi ciphertext dalam proses satu arah.
Sebelum mencoba memecahkan kata sandi, penyerang harus mengambil nilai ciphertext, seringkali melalui serangan man-in-the-middle, meretas basis data kredensial, atau upaya phishing.
Pada akhirnya, penyerang dapat memulai pekerjaannya setelah nilai ciphertext diperoleh, biasanya sebagai nilai hash.
Teknik & Alat Pemecah Kata Sandi Perdagangan
Setelah penyerang mendapatkan hash, langkah selanjutnya adalah memecahkan kata sandi. Sebagian besar teknik pembobolan kata sandi melibatkan pemaksaan kata sandi, tetapi ada beberapa cara untuk membuat proses ini lebih efisien dan mudah.
Pemaksaan Kasar
Terkadang, satu-satunya cara untuk menemukan kata sandi adalah dengan mencoba setiap kemungkinan kombinasi huruf, angka, dan simbol. Jika kata sandinya acak, banyak teknik lain untuk mempermudah pekerjaan mungkin tidak berhasil.
Pendekatan ini adalah yang paling tidak efisien, tetapi mungkin satu-satunya pilihan ketika semuanya gagal.
Penyerang dapat menggunakan komputer atau sekelompok komputer untuk mencoba setiap kemungkinan variasi. Semakin panjang kata sandi, semakin sulit dan memakan waktu proses cracking.
Sebagai contoh kali, berikut adalah beberapa temuan terbaru dari 2023 Laporan sarang pada berapa lama, kata sandi dengan huruf kecil dan huruf besar ayat kata sandi yang lebih kompleks (yaitu, angka, huruf besar dan kecil, dan simbol dalam hash MD5) perlu dipecahkan.
|
Karakter |
Huruf Kecil & Besar |
Kata Sandi yang Kompleks |
|
8 Karakter |
22 menit |
8 jam |
|
9 Karakter |
19 jam |
3 minggu |
|
10 Karakter |
1 bulan |
5 tahun |
|
11 Karakter |
5 tahun |
500 tahun |
|
12 Karakter |
300 tahun |
34 ribu tahun |
Meja Pelangi
Karena algoritme hashing diketahui publik, dimungkinkan untuk membuat daftar besar hash kata sandi yang telah dihitung sebelumnya yang dapat dibandingkan dengan hash yang dicuri. Alih-alih menghasilkan hash baru untuk setiap variasi, cari hash yang dicuri pada tabel untuk melihat apakah cocok.
Ada banyak metode hash yang berbeda dan variasi kata sandi yang hampir tak terbatas, yang dapat dengan cepat membuat pengelolaan dan penyimpanan tabel seperti ini menjadi sangat sulit. Ada teknik lain yang dikenal sebagai password salting yang juga bisa membuat kunci pas dalam teknik ini. Jika server menambahkan nilai acak ke depan dan akhir hash (nilai yang hanya diketahui oleh server), hash yang dihasilkan tidak akan cocok lagi dengan nilai yang diketahui.
Serangan Kamus
Untuk mempermudah pemaksaan kata sandi, penyerang dapat menggunakan kamus kata dan frasa umum dan nama perusahaan, tim olahraga, dll. Ini mempersempit daftar pilihan kata sandi potensial.
Di masa lalu, pengguna disarankan untuk sering mengganti kata sandi (mis., setiap 90 hari) dan menggunakan kata sandi yang kompleks.
Tapi, ini menyebabkan pengguna memilih kata sandi seperti !yoda2023#, yang membuat pekerjaan cracker kata sandi lebih mudah. Setelah kata dasarnya, yoda, dapat ditebak melalui serangan kamus, mencoba beberapa simbol dan angka yang berbeda dapat memecahkan kata sandi dengan cepat.
Pada gambar di bawah ini Anda dapat melihat 5 istilah dasar bertema Star Wars teratas yang digunakan dalam kata sandi yang disusupi.
Sumber: Specop
Bentuk serangan kamus yang lebih maju adalah serangan berantai Markov. Ini melibatkan analisis statistik dari daftar kata yang disimpan dalam tabel dan digunakan untuk menghitung kemungkinan penempatan karakter dalam serangan brute force.
Isian Kredensial
Pengguna biasanya menggunakan kata sandi root yang sama di beberapa layanan. Jika satu kata sandi dilanggar pada suatu layanan, penyerang dapat dengan cepat mencoba kata sandi yang sama atau variasi pada layanan lain yang mungkin dapat diakses oleh pengguna.
Dikenal sebagai isian kredensial, penyerang akan mencoba kata sandi yang diretas di beberapa layanan untuk mencoba kata sandi yang berbeda di layanan yang sama. Hal ini dapat mengakibatkan semua layanan pengguna disusupi.
Hash Kata Sandi Lemah (Tidak Aman).
Tentu saja, tidak semua skema hashing kata sandi dibuat sama. Seiring perkembangan teknologi, apa yang dulunya dianggap aman mungkin tidak lagi demikian. Ini berlaku untuk algoritme hash seperti MD5 atau SHA-1, yang dapat dipecahkan dengan cepat.
Sistem yang menyimpan hash kata sandi pengguna dengan salah satu algoritme ini dapat membuat seluruh basis datanya diretas dengan cepat.
Sistem modern merekomendasikan algoritme yang lebih aman, seperti bcrypt, yang menggunakan hash kata sandi asin.
Alat Pemecah Kata Sandi
Meskipun tekniknya sendiri penting untuk diketahui, banyak cracker kata sandi mengandalkan alat yang tersedia.
Meskipun tiga alat standar tercantum di bawah ini, masih banyak lagi yang tersedia. Semua di bawah ini adalah open-source dan dikembangkan oleh komunitas, yang berarti mereka terus berkembang.
- John the Ripper – Mendukung ratusan jenis hash di banyak aplikasi dan tersedia di berbagai platform.
- Hashcat – Bekerja dengan CPU dan GPU untuk menyediakan alat pembobol kata sandi baris perintah berkecepatan tinggi yang mendukung banyak jenis hash.
- Ophcrack – Alat yang berbasis di sekitar tabel pelangi yang berfokus pada kata sandi LM dan NTLM yang digunakan di lingkungan Windows.
Meskipun alat-alat ini membuatnya jauh lebih mudah untuk memecahkan hash yang diambil, banyak alat khusus yang dapat disesuaikan untuk masing-masing organisasi. Kebijakan kata sandi yang kuat dan terkini sangat penting untuk melindungi organisasi.
Bagaimana Pengguna Harus Melindungi Diri Sendiri
Dengan semua pembicaraan tentang peretasan kata sandi, apa yang harus dilakukan pengguna untuk melindungi diri mereka sendiri? Organisasi keamanan modern seperti NIST, meskipun mereka pedoman 800-63Bsekarang rekomendasikan hal berikut:
- Parit persyaratan perubahan kata sandi biasa. Ubah kata sandi hanya jika diminta secara eksplisit oleh pengguna atau jika kata sandi telah dilanggar.
- Kurangi kebutuhan sewenang-wenang untuk kerumitan kata sandi dan fokus pada panjang kata sandi keseluruhan, seperti minimal 12 karakter.
- Semua kata sandi baru harus dibandingkan dengan kata sandi yang umum digunakan atau yang sebelumnya disusupi.
- Jangan menggunakan kembali kata sandi di berbagai layanan untuk menghindari serangan seperti isian kredensial.
- Peningkatan keamanan hash berarti bahwa kata sandi yang lebih pendek membutuhkan waktu lebih lama untuk dipecahkan, seperti MD5 vs. PBKDF2.
Kebijakan Kata Sandi Specops: Menjaga Keamanan Organisasi
Alat dan teknik cracking terus menjadi semakin canggih dan cepat. Untuk tetap berada di depan kurva, alat-alat seperti Kebijakan Kata Sandi Specops bekerja bahu-membahu dengan Active Directory untuk memastikan Anda menggunakan rekomendasi terbaru dan mengikuti persyaratan kepatuhan.
Dengan fitur seperti kamus khusus, kebijakan kata sandi yang unik dan dapat disesuaikan, dan pencegahan kata sandi yang diretas dengan add-on Proteksi Kata Sandi yang Dilanggar, Kebijakan Kata Sandi Specops sangat membantu menjaga keamanan organisasi Anda.
Melindungi Organisasi Terhadap Peretasan Kata Sandi
Dengan banyaknya alat dan teknik yang tersedia untuk cracker kata sandi, tidak heran jika pelanggaran kata sandi sering terjadi.
Tingkatkan keamanan Anda dengan alat seperti Kebijakan Kata Sandi Specops dan pastikan organisasi dan pengguna Anda tidak menjadi korban dari banyak pelaku ancaman di luar sana.
Tetap di depan orang jahat dengan kebijakan kata sandi yang dirancang dengan aman dan membasmi kata sandi yang sebelumnya retak dengan deteksi kata sandi yang dilanggar!
Disponsori dan ditulis oleh Perangkat Lunak Specop
