Serangan-serangan ini dapat digunakan terhadap semua jenis enkripsi, dengan berbagai tingkat keberhasilan. Serangan brute-force menjadi lebih cepat dan lebih efektif setiap harinya karena perangkat komputer yang lebih baru dan lebih cepat dilepaskan.
Dasar-Dasar Brute-Force
Serangan brute force mudah dimengerti. Seorang penyerang memiliki file terenkripsi - katakan, basis data kata sandi LastPass atau KeePass Anda. Mereka tahu bahwa file ini berisi data yang ingin mereka lihat, dan mereka tahu bahwa ada kunci enkripsi yang membukanya. Untuk mendekripnya, mereka dapat mulai mencoba setiap kemungkinan kata sandi dan melihat apakah itu menghasilkan file yang didekripsi.
Mereka melakukan ini secara otomatis dengan program komputer, sehingga kecepatan di mana seseorang dapat meningkatkan enkripsi fisik sebagai perangkat keras komputer yang tersedia menjadi lebih cepat dan lebih cepat, mampu melakukan lebih banyak perhitungan per detik. Serangan brute force kemungkinan akan dimulai pada kata sandi satu-digit sebelum pindah ke kata sandi dua digit dan seterusnya, mencoba semua kombinasi yang memungkinkan sampai ada yang berfungsi.
"Serangan kamus" serupa dan mencoba kata-kata dalam kamus - atau daftar kata sandi umum - alih-alih semua kata sandi yang mungkin. Ini bisa sangat efektif, karena banyak orang menggunakan kata sandi yang lemah dan umum.
Mengapa Penyerang Tidak Bisa Meretas Layanan Web
Ada perbedaan antara serangan brute force online dan offline. Misalnya, jika penyerang ingin menerobos masuk ke akun Gmail Anda, mereka dapat mulai mencoba setiap kemungkinan kata sandi - tetapi Google akan segera memotongnya. Layanan yang menyediakan akses ke akun tersebut akan menghambat upaya akses dan melarang alamat IP yang mencoba masuk berkali-kali. Dengan demikian, serangan terhadap layanan online tidak akan berfungsi dengan baik karena sangat sedikit upaya yang dapat dilakukan sebelum serangan itu dihentikan.
Misalnya, setelah beberapa upaya masuk gagal, Gmail akan menampilkan gambar CATPCHA untuk memverifikasi Anda bukan komputer yang secara otomatis mencoba kata sandi. Mereka kemungkinan akan menghentikan upaya masuk Anda sepenuhnya jika Anda berhasil melanjutkan cukup lama.
Hashing
Algoritma hashing yang kuat dapat memperlambat serangan brute-force. Pada dasarnya, hashing algoritma melakukan kerja matematika tambahan pada kata sandi sebelum menyimpan nilai yang berasal dari kata sandi pada disk. Jika algoritma hashing lebih lambat digunakan, itu akan membutuhkan ribuan kali lebih banyak pekerjaan matematika untuk mencoba setiap kata sandi dan secara dramatis memperlambat serangan brute-force. Namun, semakin banyak pekerjaan yang diperlukan, semakin banyak pekerjaan yang harus dilakukan oleh server atau komputer lain setiap kali pengguna login dengan kata sandinya. Perangkat lunak harus menyeimbangkan ketahanan terhadap serangan brute-force dengan penggunaan sumber daya.
Kecepatan Brute-Force
Kecepatan semua tergantung pada perangkat keras. Agen intelijen dapat membangun perangkat keras khusus hanya untuk serangan brute force, seperti halnya penambang Bitcoin membangun perangkat keras khusus mereka yang dioptimalkan untuk penambangan Bitcoin. Ketika datang ke perangkat keras konsumen, jenis perangkat keras yang paling efektif untuk serangan brute-force adalah kartu grafis (GPU). Karena mudah mencoba banyak kunci enkripsi yang berbeda sekaligus, banyak kartu grafis yang berjalan secara paralel ideal.
Pada akhir 2012, Ars Technica melaporkan bahwa kelompok 25-GPU dapat memecahkan setiap kata sandi Windows di bawah 8 karakter dalam waktu kurang dari enam jam. Algoritma NTLM yang digunakan Microsoft tidak cukup tangguh. Namun, ketika NTLM dibuat, akan membutuhkan waktu lebih lama untuk mencoba semua kata sandi ini. Ini tidak dianggap sebagai ancaman bagi Microsoft untuk membuat enkripsi menjadi lebih kuat.
Kecepatan meningkat, dan dalam beberapa dekade kita dapat menemukan bahwa bahkan algoritma kriptografi dan kunci enkripsi terkuat yang kita gunakan saat ini dapat dengan cepat dipecahkan oleh komputer kuantum atau perangkat keras lain apa pun yang kami gunakan di masa mendatang.
Melindungi Data Anda Dari Serangan Brute-Force
Tidak ada cara untuk melindungi diri Anda sepenuhnya. Tidak mungkin untuk mengatakan seberapa cepat perangkat keras komputer akan didapat dan apakah algoritma enkripsi yang kami gunakan saat ini memiliki kelemahan yang akan ditemukan dan dimanfaatkan di masa mendatang. Namun, inilah dasar-dasarnya:
- Simpan data terenkripsi Anda aman di mana penyerang tidak dapat mengaksesnya. Setelah mereka memiliki data Anda disalin ke perangkat keras mereka, mereka dapat mencoba serangan brute-force terhadapnya di waktu luang mereka.
- Jika Anda menjalankan layanan apa pun yang menerima proses masuk melalui Internet, pastikan bahwa itu membatasi upaya masuk dan memblokir orang yang mencoba masuk dengan banyak sandi berbeda dalam waktu singkat. Perangkat lunak server biasanya diatur untuk melakukan hal ini di luar kotak, karena ini merupakan praktik keamanan yang baik.
- Gunakan algoritma enkripsi yang kuat, seperti SHA-512. Pastikan Anda tidak menggunakan algoritme enkripsi lama dengan kelemahan yang diketahui yang mudah retak.
- Gunakan kata sandi yang panjang dan aman. Semua teknologi enkripsi di dunia tidak akan membantu jika Anda menggunakan "kata sandi" atau "pemburu" yang paling populer.
Serangan brute-force adalah sesuatu yang harus diperhatikan ketika melindungi data Anda, memilih algoritma enkripsi, dan memilih kata sandi. Mereka juga merupakan alasan untuk terus mengembangkan algoritme kriptografi yang lebih kuat - enkripsi harus mengikuti seberapa cepat itu dibuat tidak efektif oleh perangkat keras baru.
