Halo sobat aliy hafiz kali ini kita akan bahas mengenai Password Spraying mulai dari Pengertian,Cara Kerja,Pencegahannya, disimak ya.
Serangan password atau kata sandi telah meningkat dalam beberapa tahun terakhir, karena hacker atau peretas menjadi lebih canggih dalam teknik mereka. Pelajari cara melindungi diri dari salah satu upaya peretasan yang paling banyak ini ya.
Password Spraying adalah teknik hacking yang umum yang digunakan oleh peretas untuk mengeksploitasi kata sandi yang lemah.
Pengertian Serangan Password Spraying
Kata Spraying sendiri memiliki arti menyebar. Secara bahasa Password Spraying adalah menyebar/menebak password sehingga bisa menemukan password yang bisa digunakan untuk masuk ke akun.
Password Spraying adalah jenis serangan brute force. Dalam kasus serangan brute force reguler, peretas mencoba setiap kemungkinan kombinasi karakter sampai mereka menemukan kredensial masuk yang benar ke sebuah akun.
Dalam skenario ini, peretas menargetkan satu akun pengguna dan mencoba ribuan kombinasi berbeda sebelum mereka menemukan kombinasi yang tepat. Ini, tentu saja, menggunakan aplikasi tambahan untuk melakukannya.
Namun, Password Spraying ini menjadi kurang efektif karena organisasi menerapkan kebijakan seperti penguncian akun, yang mencegah peretas mencoba kata sandi dalam jumlah tak terbatas, karena akun dikunci setelah sejumlah upaya login yang gagal.
Dalam serangan password spraying, peretas menargetkan banyak akun dan mencoba kata sandi umum untuk semuanya. Ini melibatkan mencoba satu kata sandi untuk beberapa akun, dan jika itu tidak membuahkan hasil, prosesnya diulangi dengan kata sandi yang berbeda.
Black Hat Hacker atau Peretas topi hitam sering menargetkan organisasi tertentu dan mencoba kata sandi umum terhadap daftar besar pengguna.
Bahkan jika sebagian kecil pengguna memiliki kata sandi yang lemah, peretas akan dapat memperoleh akses ke banyak akun. Password Spraying merupakan teknik yang mudah dilakukan dan perlu bantuan aplikasi untuk mempercepat prosesnya.
Metode serangan Password Spraying ini bisa jauh lebih efektif daripada serangan brute force biasa karena tidak memicu penguncian akun.
Jadi, meskipun suatu organisasi telah menerapkan fitur keamanan ini, seorang peretas masih dapat memperoleh akses ke satu atau lebih akun melalui serangan semacam ini.
Cara Kerja Serangan Password Spraying
Pelaku kejahatan siber dapat menggunakan serangan password spraying untuk mendapatkan akses tidak sah ke sistem kita karena orang sering mengamankan akun mereka dengan kata sandi yang mudah ditebak.
Contoh serangan Password Spraying yang paling sederhana misal menggunakan password 12345, admin123, admin, 12345678 dan lain lain yang berisi kombinasi yang paling banyak digunakan.
1. Membuat atau Membeli Daftar Username atau Nama Pengguna
Ada lebih dari 15 miliar kredensial untuk dijual di dark web saat ini. Jadi untuk memulai serangan password spraying, penjahat dunia maya sering memulai dengan membeli daftar nama pengguna yang dicuri dari organisasi lain.
Namun,seringkali hacker juga membuat daftar mereka sendiri menggunakan pola yang diikuti oleh alamat email perusahaan (misalnya, nama belakang.nama depan@perusahaan.com) bersama dengan daftar orang yang bekerja di perusahaan tersebut (dari LinkedIn, misalnya).
2. Mendapatkan Daftar Password
Kata sandi yang paling umum juga mudah ditemukan oleh pelaku kejahatan siber. Misalnya, daftar kata sandi sering diterbitkan dalam laporan atau penelitian setiap tahun. Wikipedia juga memiliki halaman yang mencantumkan 10.000 kata sandi paling umum.
Penjahat dunia maya juga dapat membuat daftar kata sandi umum (tetapi kurang jelas) dengan sedikit riset tambahan. Misalnya, jika sebuah organisasi berlokasi di New York, mereka dapat mencoba variasi Yankees atau Knicks atau hal lain yang berhubungan dengan New York yang sering digunakan orang sebagai kata sandi.
3. Kombinasi Kata Sandi Nama Pengguna
Setelah aktor jahat memiliki daftar nama pengguna dan kata sandi, penjahat dunia maya akan mencobanya bersama untuk menemukan kombinasi yang berfungsi. Mereka sering melakukan ini menggunakan sistem otomatis yang mencoba satu kata sandi dengan setiap pengguna dan kemudian mengulangi proses ini dengan kata sandi berikutnya untuk menghindari pemblokiran oleh kebijakan penguncian akun atau pemblokir alamat IP yang membatasi upaya masuk.
Password Spraying vs. Isian Kredensial
Password Spraying dan isian kredensial menimbulkan ancaman besar bagi keamanan siber. Dalam beberapa kasus, mereka digunakan bersama-sama untuk melakukan pererasan terhadap akun.
Meretas akun atau kredensial adalah jenis serangan umum lainnya di mana peretas menggunakan kombinasi nama pengguna dan kata sandi yang dicuri dalam upaya untuk mendapatkan akses ke akun tambahan.
Begitu mereka memiliki akses ke akun, mereka kemudian dapat menggunakannya untuk mengeksploitasi sistem lain dan mencuri data sensitif.
Pengisian kredensial bergantung pada pelanggaran data seperti pelanggaran data Target 2013 yang terkenal, ketika 40 juta catatan kartu kredit dan kartu debit, serta 70 juta catatan pelanggan, dicuri dari database raksasa ritel Target.
Jenis serangan ini seringkali berhasil karena orang cenderung menggunakan satu kata sandi untuk banyak akun. Jika Anda telah menjadi korban isian kredensial, penting untuk segera mengubah kata sandi dan mengaktifkan autentikasi dua faktor untuk semua akun Anda.
Cara Melindungi Diri Dari Serangan
Dalam hal melindungi diri Anda dari serangan dunia maya, termasuk Password Spraying , pencegahan adalah pendekatan terbaik. Ada beberapa langkah yang dapat Anda ambil untuk melindungi diri dari serangan kata sandi semacam ini:
Gunakan kata sandi yang kuat dengan panjang minimal delapan karakter dan sertakan huruf besar, huruf kecil, angka, dan simbol.
Jangan gunakan kata sandi yang sama untuk banyak akun. Jika Anda menggunakan kata sandi yang sama untuk beberapa akun dan salah satu akun tersebut dikompromikan, semua akun lainnya juga berisiko.
Gunakan autentikasi multifaktor jika memungkinkan, karena ini adalah salah satu perlindungan terbaik terhadap serangan penyemprot kata sandi. Dalam kebanyakan kasus, ini berarti autentikasi dua faktor yang menambahkan lapisan keamanan ekstra dengan mengharuskan Anda memasukkan kode yang dikirimkan ke ponsel Anda, selain memasukkan nama pengguna dan sandi.
Waspadai upaya phishing. Peretas sering menggunakan email phishing untuk mengelabui pengguna agar mengungkapkan kredensial login mereka.
Jika Anda menerima email yang tampak mencurigakan, jangan buka atau klik tautan atau lampiran apa pun kecuali Anda benar-benar yakin aman untuk melakukannya.
Ikuti praktik terbaik untuk membuat dan mengelola kata sandi, seperti protokol autentikasi federasi dan salting untuk melindungi sistem Anda.
Cara Menghentikan Serangan Password Spraying
Meskipun serangan penyemprot kata sandi biasa terjadi, serangan itu dapat dicegah. Teknologi di bawah ini akan menghilangkan kemampuan penjahat dunia maya untuk menggunakan password spraying untuk menembus sistem organisasi mana pun.
1.Otentikasi Tanpa Kata Sandi
Otentikasi tanpa kata sandi menghilangkan kata sandi sama sekali dan sebagai gantinya mengotentikasi pengguna menggunakan biometrik, tautan ajaib yang memverifikasi kepemilikan akun email, pesan SMS yang memverifikasi kepemilikan perangkat, dll.
Beberapa ahli percaya bahwa otentikasi tanpa password adalah masa depan otentikasi karena menghilangkan umum perilaku kata sandi tidak aman yang menciptakan peluang untuk serangan berbasis kredensial seperti Password Spraying .
2.Multi Faktor Authetication (MFA)
MFA menggunakan faktor autentikasi tambahan (seperti yang digunakan dalam autentikasi tanpa kata sandi di atas) untuk memverifikasi identitas pengguna selain kombinasi nama pengguna/kata sandi.
Jadi, bahkan jika seseorang menggunakan kata sandi yang jelas untuk mengamankan akun mereka, akses tidak sah akan dicegah jika terjadi serangan isian kata sandi karena penjahat dunia maya tidak akan dapat memalsukan identitas pengguna dengan faktor otentikasi kedua.
Cara Mengurangi Dampak Serangan Password Spraying
Metode di atas efektif dalam menghilangkan kemampuan penjahat dunia maya untuk menggunakan password spraying terhadap organisasi Anda.
Namun, ada juga pendekatan tambahan yang dapat Anda ambil yang tidak akan menghilangkan peluang serangan password spraying sama sekali, tetapi akan menguranginya.
1.Ikuti Pedoman NIST
Pedoman kata sandi National Institute of Standards and Technology (NIST) dianggap sebagai rangkaian praktik terbaik kata sandi terkuat di dunia, dan mengikuti rekomendasi mereka dapat membantu mengurangi potensi serangan berbasis kredensial seperti Password Spraying.
Salah satu persyaratan NIST, misalnya, adalah bahwa setiap kata sandi pengguna baru diperiksa dengan daftar belakang kata sandi yang dilanggar.
Ini membantu organisasi menerapkan kebijakan kata sandi yang lebih kuat dan mengurangi peluang serangan berbasis kredensial lainnya seperti isian kredensial.
Pedoman NIST juga menjelaskan bahwa panjang lebih penting daripada kerumitan karena lebih sulit bagi penjahat dunia maya untuk memecahkannya.
Jadi, mendorong pengguna untuk membuat kata sandi yang lebih panjang (tetapi mudah diingat) lebih baik daripada meminta peningkatan kerumitan kata sandi. Ini juga mengurangi perilaku kata sandi tidak aman lainnya seperti penggunaan ulang kata sandi.
2.Batasi Akses ke Sistem Inti
Semakin banyak orang di organisasi Anda yang memiliki akses ke data atau sistem sensitif, semakin besar peluang penjahat dunia maya untuk mendapatkan akses ke sistem tersebut dengan serangan password spraying.
Jadi yang terbaik adalah meninjau secara berkala dan mengurangi jumlah orang yang memiliki akses ke sistem tersebut.
Kesimpulan
Password Spraying menjadi semakin populer di kalangan hacker peretas. Metode penyerangan ini memanfaatkan fakta bahwa banyak orang masih menggunakan kata sandi yang lemah atau menggunakan kata sandi yang sama di banyak akun.
Dengan menargetkan beberapa akun pengguna dan mencoba kata sandi yang umum digunakan, peretas dapat menghindari pemicuan penguncian akun. Kita harus berhati-hati dan mulai menggunakan kata sandi yang kuat, autentikasi dua faktor, dan waspada terhadap upaya phishing.