Kasus peretasan situs pemerintah bukanlah hal baru. Badan Siber dan Sandi Negara (BSSN) pernah mencatat, situs pemerintah diretas masuk dalam empat besar kasus peretasan di Indonesia. Salah satu penyebabnya karena sistem keamanan yang sangat kurang memadai.

Aksi peretasan pada situs pemerintah umumya terjadi dengan metode web defacement atau mengganti tampilan di halaman utama website. Tercatat, kasus web defacement terhadap situs pemerintah pusat sebanyak 9,2 persen dan situs pemerintah daerah sebanyak 17,57 persen.

Selain itu, sepanjang 2022 beberapa situs pemerintah yang pernah diretas antara lain Ditjen Imigrasi Kementerian Hukum dan HAM, Situs Akademi Kepolisian, Kejaksaan Negeri Garut, Kementerian Komunikasi dan Informatika, dan Pemerintah Sulawesi Tenggara. Lalu, apa saja penyebab situs pemerintah mudah diretas dan upaya apa yang bisa dilakukan untuk mencegahnya? Simak penjelasannya di artikel berikut.

5 Penyebab Situs Pemerintah Mudah Diretas

BSSN menyebutkan ada serangkaian penyebab situs pemerintah menjadi target peretasan. Mulai dari kerentanan aplikasi generik, parameter keamanan yang tidak memadai, hingga aplikasi yang tidak update. Lebih jelasnya berikut lima penyebabnya.

Belum Menggunakan Secure Coding

OpenSource CMS diakui dapat memudahkan untuk mengembangkan website. Tetapi di sisi lain, CMS masih mempunyai celah keamanan yang masih mudah ditembus oleh hacker. Hal ini diperparah dengan penggunaan default link untuk admin sehingga masih bisa diakses dari internet tanpa ada filter, akibatnya halaman admin akan semakin mudah dibuka. Kondisi tersebut tentu akan jauh lebih aman jika website dibangun secara mandiri dengan memerhatikan aspek secure coding.

Belum Pakai Secure Hosting

Pemilihan hosting provider yang tidak selektif dapat menyebabkan sistem web rentan di-deface. Pada kasus peretasan situs pemerintah yang telah terjadi, diketahui sistem web masih menggunakan share hosting. Padahal dibandingkan secure hosting, share hosting menjadi tempat favorit bagi hacker untuk melatih kemampuan melancarkan serangan siber

Jarang Melakukan Tes Keamanan

Tes keamanan sangat diperlukan saat membangun dan melakukan maintenance website. Hal ini dilakukan untuk mengetahui keberadaan celah keamanan sehingga dapat diperbaiki dan mengamankan website.

Kurang Maintenance

Setiap website membutuhkan maintenance berupa perbaikan untuk celah keamanan yang ada. Hal ini yang kerap dilupakan oleh instansi pemerintah untuk memastikan keamanan situs mereka. Kurangnya maintenance memudahkan hacker menyisipkan malware untuk mencuri informasi penting hingga melakukan web defacement.

Kurangnya Kesadaran tentang Keamanan Siber

Keamanan situs menjadi tanggung jawab semua SDM, mulai dari atasan hingga staf. Dimulai dengan tidak mengunduh aplikasi dari sumber yang tidak resmi untuk menjaga keamanan website dan aplikasi.

Sudah saatnya instansi pemerintah meningkatkan keamanan siber untuk memastikan data sensitif tetap terproteksi. Untuk itu, situs pemerintah membutuhkan solusi keamanan mumpuni seperti solusi WAAP dari Imperva.

Solusi WAAP dari Imperva untuk Lindungi Situs Pemerintahan

Imperva Web Application and API Protection (WAAP) adalah solusi perlindungan keamanan terhadap aplikasiweb dan API. WAAP bekerja dengan penskalaan otomatis untuk fitur mitigasi bot, Web Application Firewall (WAF), API Protection dan anti DDoS untuk melindungi API dan aplikasi web dari serangan serta menjaganya tetap aman dan produktif.

Imperva sebagai pionir cybersecurity menghadirkan solusi Imperva WAAP. Imperva juga telah diakui sebagai Leader oleh Gartner Magic Quadrant untuk Web Application and API Protection (WAAP).

Solusi WAAP dari Imperva mampu memberikan keamanan tingkat lanjut melindungi web dari serangan yang paling kompleks. Solusi ini memberikan stabilitas dan peningkatan bertahap dari UI serta kontrol keamanan ekstra hingga feedback intelijen ancaman.

Bagaimana Cara Imperva WAAP Lindungi Situs dari Serangan Siber?

Untuk memitigasi ancaman serangan pada aplikasi web dan API, Imperva WAAP memilliki beragam fitur sebagai berikut.

Web Application Firewall (WAF)

Cegah serangan terhadap aplikasi web dan API Anda dengan analisis web traffic terpercaya.

Runtime Application Self Protection (RASP)

Deteksi dan cegah serangan eksternal serta injection secara real-time untuk meminimalisir kerentanan API.

API Security

Perlindungan API otomatis untuk pastikan API endpoints terlindungi.

Advanced Bot Protection

Cegah serangan ke businnes logic di semua acces point seperti web, aplikasi seluler, dan API dengan visibilitas dan kontrol traffic bot.

DDoS Protection

Blokir serangan traffic di edge untuk memastikan bisnis tetap berjalan dengan jaminan uptime dan performa terbaik.

Analisis Serangan

Pastikan visibilitas lengkap dengan Machine Learning di pengaturan application security untuk mendeteksi serangan

Data Risk Analysis

Dapatkan visibilitas serta kode kontrol ke third party JavaScript untuk mengurangi risiko supply chain fraud, mencegah pelanggaran data, dan client-side attacks.

Selain itu, untuk semakin memperkuat keamanan API dan aplikasi WAP, Imperva menerapkan sistem perlindungan pengambilalihan akun dengan deteksi kredensial untuk menentukan adanya hacker yang gagal login.  

Dapatkan Solusi WAAP dari Imperva di BPT

Dapatkan solusi Imperva Web Application and API Protection Platform (WAAP) dari Blue Power Technology(BPT) sebagai authorized advanced partner Imperva di Indonesia didukung tim IT profesional, berpengalaman, dan bersertifikat.

BPT akan membantu Anda melalui setiap tahapan implementasi, mulai dari tahap konsultasi, deployment, management, hingga dukungan after sales untuk memastikan Anda terhindar dari trial and error. Ingin tahu lebih lanjut tentang solusi ini? Jangan ragu hubungi tim kami disini.

Sumber: bluepowertechnology.com

Kemajuan teknologi informasi dan komunikasi tidak selalu menjadi hal yang menguntungkan bagi perusahaan. Kasus cyber crime yang menimpa lembaga dan organisasi di Indonesia selalu ada setiap tahunnya. Sebagai pemilik bisnis yang bijak, tentunya Anda perlu belajar dari banyaknya contoh kasus cyber crime yang sudah terjadi di negeri ini.

Contoh Kasus Cyber Crime di Indonesia

Mari kita lihat berbagai kasus cyber crime yang pernah terjadi di Indonesia dalam daftar berikut ini agar Anda bisa memetik pelajaran yang berharga di baliknya!

1. Pencurian Data Bank Syariah Indonesia

Kelompok peretas asal Rusia bernama Lockbit mengklaim bahwa melumpuhkan salah satu server Bank Syariah Indonesia (BSI) pada bulan Mei 2023. Kelumpuhan server tersebut membuat aplikasi mobile banking-nya tidak bisa diakses oleh nasabah. Selain itu, BSI juga kehilangan sebanyak 1,5 TB data, termasuk data pribadi nasabah dan karyawan. Kasus ini dikenal sebagai ransomware karena Lockbit meminta sejumlah uang agar data tersebut dikembalikan jika tidak ingin dijual ke dark web. 

2. Pembobolan Data Kominfo

Pembobolan data milik Kementerian Komunikasi dan Informatika (Kominfo) merupakan salah satu dari serangkaian kasus cyber crime yang terjadi sepanjang tahun 2022. Bjorka, pelaku serangan tersebut, mencuri data registrasi kartu SIM milik Kominfo. Kasus ini terjadi karena adanya kelemahan dalam sistem keamanan server milik Kominfo.

Korban pembobolan data oleh Bjorka umumnya berasal dari perusahaan-perusahaan dalam negeri yang memiliki kelemahan dalam sistem keamanan server mereka.

3. Peretasan Website Kejagung RI

MFW, inisial dari pelaku peretasan website Kejaksaan Agung Republik Indonesia (Kejagung RI) yang terjadi pada tahun 2021 ternyata memiliki alasan yang unik. Remaja yang berasal dari Lahat tersebut mengaku bahwa dia hanya iseng dan ingin mengisi waktu luang dengan meretas website.

Akibatnya, website Kejagung RI memiliki tampilan yang berubah, yaitu logo ‘HACKED’ berwarna merah dan kalimat pemberitahuan yang bernada protes. MFW juga berhasil mencuri 3.086.224 data pribadi dan menjualnya ke suatu forum.

4. Pencurian Data Polri

Kasus pencurian data milik Kepolisian Republik Indonesia (Polri) terjadi pada bulan November 2021 oleh seorang peretas dengan username Twitter @son1x666. Hacker tersebut mengklaim telah mencuri 28.000 informasi login dan data pribadi. Tidak berhenti sampai di situ, pelaku juga membagikan tiga tautan berisi sampel data yang berasal dari database Polri dan mencakup data pribadi anggotanya.

5. Website DPR RI Berganti Nama

Kejahatan siber juga terjadi karena pelaku ingin melakukan hacktivism. Serangan ini terjadi pada website milik pemerintah atau lembaga kenegaraan agar pesan mereka didengar. Salah satu lembaga negara yang menjadi korban hacktivism adalah Dewan Perwakilan Rakyat Republik Indonesia (DPR RI).

Website DPR RI mendapatkan serangan Distributed Denial-of-Service (DDoS) yang ditandai dengan melonjaknya traffic sehingga memadati sebuah server. Alhasil, server DPR RI tidak mampu menampung banyaknya permintaan sehingga mengalami kerusakan. Tindakan ini sengaja dilakukan oleh peretas untuk mengubah tampilan website, tepatnya pada bagian header-nya. Server tersebut akhirnya ditutup sementara untuk dilakukan perbaikan. Namun, website DPR RI menjadi lebih lambat meskipun sudah berhasil dipulihkan.

6. Kebocoran Data Pengguna Tokopedia

Perusahaan startup juga pernah menjadi korban kejahatan siber. Tokopedia, contohnya, mengalami musibah ini pada tahun 2020. Sang pelaku yang memiliki nama samaran ShinyHunters membocorkan sebanyak 91.000.000 data pengguna Tokopedia dan 7.000.000 data seller.

Tidak diketahui dengan pasti metode serangan yang dilancarkan ShinyHunters, tetapi para pakar memperkirakan bahwa peretas memanfaatkan kerentanan dalam sistem Cloud milik Tokopedia. ShinyHunters juga diduga melancarkan serangan SQL injection yang dinilai kompleks sehingga terjadi kebocoran data dalam jumlah masif. Informasi tersebut kemudian dijual dengan harga yang fantastis.

Tokopedia tentu tidak tinggal diam. Mereka memastikan bahwa data pengguna tetap aman karena sudah dienkripsi menjadi kode rahasia yang tidak bisa dibaca oleh peretas. Aksi dari pihak Tokopedia ini membuat para peretas untuk mengambil data ilegal dengan upaya lainnya, salah satunya adalah melancarkan serangan phishing melalui email ke pengguna. Lagi-lagi Tokopedia langsung beraksi dengan memberikan imbauan untuk mengganti password secara berkala.

7. Website Tempo Down

Bukan hanya lembaga pemerintahan, portal berita milik Tempo Media pun menjadi korban serangan hacktivism. Pada tahun 2020, peretas mengambil alih server DNS Tempo sehingga portal berita tersebut tidak bisa diakses untuk sementara. Terlebih lagi, website Tempo berubah sehingga memiliki tampilan berwarna hitam, memutar lagu ‘Gugur Bunga’, serta menampilkan unggahan berisi permintaan untuk menghentikan penyebaran berita palsu.

8. Peretasan Channel YouTube BNPB

Serangan cyber crime tidak terbatas pada website saja. Akun di platform berbagi video seperti YouTube juga sempat menjadi sasaran serangan cyber crime. Akun YouTube resmi milik Badan Nasional Penanggulangan Bencana (BNPB) sempat menjadi korban serangan cyber crime pada bulan Desember 2021.

Channel YouTube dengan nama ‘BNPB Indonesia’ berubah nama menjadi ‘Ethereum 2.0’. Para peretasnya juga mengadakan siaran langsung di akun YouTube yang sama dengan judul  ‘Ethereum CEO: Ethereum Breakout! Ethereum News, ETH 2.0 RELEASE Date’. Mereka juga menyerang akun YouTube milik Jerome Polin dengan mengganti nama channel menjadi ‘Ethereum’ dan melakukan siaran langsung dengan topik yang sama pula.

9. Kebocoran Data Asuransi BRI Life

Dunia perbankan dan asuransi juga tidak luput dari kasus cyber crime. Contohnya saja perusahaan asuransi BRI Life pada bulan Juli 2021. Peretas berhasil membocorkan sekitar 2.000.000 data nasabah BRI Life dan menjualnya secara online dengan harga sekitar Rp101.600.000. 

Akun Twiter @UnderTheBreach mengklaim bahwa peretas telah mengakses 250GB data BRI Life, termasuk 2 juta data nasabah dalam format file PDF dan 463.000 dokumen lainnya, yang berisi informasi seperti foto KTP, nomor rekening, nomor pajak, akta kelahiran, dan rekam medis. Kebocoran data ini terjadi karena adanya kerentanan dalam sistem elektronik BRI Life yang disalahgunakan oleh pihak-pihak yang tidak bertanggung jawab.

10. Serangan Website Citilink dan Tiket.com

Terakhir, mari kita mengulik kasus cyber crime yang lebih lama. Kasus ini terjadi pada bulan Oktober dan melibatkan dua website pemesanan tiket terbesar di Indonesia, yaitu website Tiket.com dan server Citilink. Sekelompok peretas yang masih berusia remaja berhasil meretas website dan server tersebut dan menimbulkan kerugian hingga Rp4.100.000.000 untuk Tiket.com dan Rp2.000.000.000 untuk Citilink.

Kasus ini baru terungkap setelah Tiket.com melaporkan pencurian website mereka ke Badan Reserse Kriminal (Bareskrim) Polri pada tanggal 11 November 2016. Berdasarkan hasil penyelidikan, tindakan yang dilakukan oleh peretas tersebut sebenarnya tidak rumit. Hanya saja keamanan website pada saat itu belum memadai sehingga rawan menjadi korban kejahatan siber.

Cegah Cyber Crime bersama Cloudeka

Berkaca dari contoh kasus cyber crime di atas, Anda kini memahami pentingnya memiliki sistem keamanan yang memadai untuk jaringan komputer. Kejahatan siber juga lebih sering menyasar server website day aplikasi milik perusahaan maupun lembaga lainnya karena menyimpan data yang bernilai tinggi.

Maka dari itu, tingkatkan keamanan server milik perusahaan Anda dengan memasang Deka Rock dari Cloudeka. DEKA Rock terus berupaya agar server website atau aplikasi Anda tetap terjaga dan berfungsi dengan baik melalui pemantauan yang konsisten. Menggunakan DEKA Rock berarti Anda berupaya mencegah kasus cyber crime pada perusahaan Anda. Hubungi kami untuk informasi lebih lanjut mengenai produk keamanan website dari Cloudeka ini!

Sumber: cloudeka.id

Dunia digital saat ini seolah-olah menggantikan dunia nyata yang kita jalani saat ini. Seiring berjalannya waktu, teknologi terus berkembang tanpa adanya batasan. Keuntungannya adalah segala aktivitas yang kita lakukan menjadi lebih mudah serta efisien.

Namun, apakah kamu mengetahui di balik itu terdapat sisi negatif yang dapat menjadi boomerang pada kehidupan pribadi kita? Dengan mendigitalisasikan segala sesuatu yang ada di hidup kita membuat semua orang akan bergantung kepada teknologi dan memberikan segala informasi pribadinya kepada sebuah platform. 

Dengan akses tidak terbatas pada internet, membuat oknum-oknum tidak bertanggung jawab melakukan kejahatan untuk mendapatkan keuntungan tertentu.

Keamanan siber atau Cyber Security seringkali menjadi kekhawatiran di tengah-tengah masyarakat. Terutama aktivitas hacking yang dilakukan oleh Hacker seperti web hacking dan aplikasi hacking. 

Apakah kamu mengerti apa itu hacking? Untuk mewaspadainya kamu harus memahami konsep, jenis dan cara pencegahan dari seorang hacker. Simak hingga akhir artikel ya untuk memahami apa itu hacking!

Apa itu Hacking: Pengertian Hacking

Jadi, apa itu hacking? Peretasan atau Hacking adalah suatu tindakan eksploitasi kelemahan dari sistem atau jaringan komputer. Biasanya, hacking dilakukan untuk meretas website atau jaringan yang dimiliki oleh sebuah perusahaan atau organisasi secara ilegal atau tidak sah agar mendapatkan keuntungan tertentu. 

Lantas, apa itu hacking? Hacking adalah tindakan yang mengacu pada penyalahgunaan perangkat-perangkat seperti komputer, ponsel, dan sebagainya dengan merusak sebuah sistem. Hacking tidak selalu merupakan aktivitas berbahaya, namun istilah terkait apa itu hacking, sebagian besar memiliki konotasi negatif karena kaitannya dengan kejahatan dunia digital saat ini.

Hacking atau peretasan ini sendiri sudah muncul dari era 80-an dan terus berkembang hingga saat ini. Walaupun semakin canggihnya teknologi bisa menambah pertahanan dari sebuah sistem atau jaringan, namun teknologi juga bisa menjadi peluang baru yang ditargetkan oleh para hacker untuk meretas dengan metode-metode baru. Untuk mengenal lebih dalam lagi, yuk kita simak lebih mendalam apa itu hacking dan jenis-jenis dari hacking yang saat ini marak terjadi.

Apa itu Hacking: Jenis Hacking

Hacking adalah tindakan peretasan yang bisa merugikan orang lain dalam berbagai bentuk. Untuk memahami apa itu hacking secara keseluruhan kamu harus memahami jenis-jenis hacking yang berpotensi dapat menyerang sebuah jaringan atau perangkat lunak.

Berikut merupakan jenis-jenis hacking yang harus kamu ketahui

DDoS (Distributed Denial of Service)

Pada jenis pertama hacking adalah serangan DDoS atau sering dikatakan sebagai salah satu web hacking, yang membuat layanan atau situs web tidak tersedia dengan membanjiri server korban dengan traffic internet yang berlebihan atau infrastruktur di sekitarnya sehingga perangkat kamu tidak bisa beroperasi atau berkomunikasi seperti biasanya. 

Serangan ini akan sangat merugikan terutama jika korbannya adalah sebuah perusahaan atau bisnis melalui internet seperti website, aplikasi, dan sebagainya. Jenis web hacking ini dapat dicegah dengan penggunaan firewall dan security tools lainnya. Untuk website yang aman kamu bisa menggunakan layanan hosting murah dan memiliki kredibilitas dari DomaiNesia!

Ransomware

Jenis kedua pada hacking adalah Ransomware. Ransomware adalah serangan hacking yang melibatkan kode enkripsi data pada sistem korban dan kemudian meminta uang dalam jumlah tertentu untuk mengembalikan akses ke data tersebut.

Jadi pada ransomware, hacker akan meminta uang dalam jumlah besar kepada korban sebagai tebusan untuk memberikan kode enkripsi pada file-file yang sudah diserang.

Namun, jika kamu terkena ransomware, lebih baik jangan ikuti kemauan hacker karena hal itu adalah jebakan yang membuat hacker akan terus berkeliaran.

Social Engineering

Jenis ketiga pada hacking adalah Social Engineering. Social Engineering adalah sebuah manipulasi psikologis terhadap orang-orang untuk mendapatkan informasi rahasia atau akses ke sistem.

Social Engineering atau sering disebut SocEng, seringkali dapat melalui telepon atau pesan pada sosial media yang kita miliki, pelaku akan memainkan psikologis korban agar mau menuruti keinginan pelaku yang ingin mendapatkan informasi pribadi milik korban seperti password, pin ATM, nomor kartu, dan sebagainya.

Social Engineering ini juga bisa berdampak ke aplikasi hacking, karena korban akan memberitahu kredensial suatu akun yang membuat pelaku dapat memiliki akses di dalamnya.

Phising

Jenis keempat pada hacking adalah Phising. Phising adalah salah satu web hacking berupa tindakan kejahatan siber dengan memanfaatkan link palsu dengan mengatasnamakan sebuah perusahaan atau organisasi tertentu yang bertujuan agar korban dapat terpancing untuk mencuri informasi pribadi yang dimiliki oleh seseorang.

Hampir sama dengan SocEng, phising bersifat manipulatif dan persuasif melalui pesan teks, email, ataupun telepon. Untuk berwaspada, jangan pernah mengklik situs yang tidak memiliki URL yang jelas, dan berasal dari orang yang tidak dikenal.

Keylogging

Jenis kelima pada hacking adalah Keylogging. Keylogging adalah tindakan pemasangan software atau hardware untuk merekam setiap ketukan tombol yang dilakukan oleh pengguna, sehingga hacker dapat memperoleh kata sandi atau informasi masuk lainnya.

Salah satu contohnya yaitu pada mesin ATM untuk mendeteksi pin ATM atau informasi pribadi lainnya. Jadi, pastikan saat kamu melakukan transaksi pada ATM, cermati mesinnya dan pastikan tidak ada hal-hal yang mengganjal pada mesin ya!

Dari penjelasan di atas, tentu saja terdapat jenis-jenis hacking yang saat ini berkeliaran di tengah-tengah masyarakat.

Semakin berkembangnya teknologi, maka semakin lebar potensi kejahatan yang terjadi, namun dengan kamu memahami hal ini, kamu dapat lebih waspada dan berhati-hati dalam memanfaatkan teknologi.

Apa itu Hacking: Jenis-Jenis Hacker

Berikut ini merupakan jenis-jenis hacker, antara lain :

Black Hat Hacker

Apa itu Black Hat Hacker? Black Hat Hacker adalah peretas yang berusaha keras untuk menemukan kerentanan dalam sistem komputer dan software untuk mengeksploitasinya demi keuntungan finansial atau untuk tujuan yang ilegal dan tidak bertanggung jawab, seperti untuk mendapatkan reputasi, melakukan spionase perusahaan, merugikan suatu perusahaan/organisasi, dan niat jahat lain yang termasuk kejahatan siber.

Black Hat Hacker biasanya memiliki kemampuannya masing-masing diantra web hacking atau aplikasi hacking.

White Hat Hacker

Apa itu White Hat Hacker? White Hat Hacker adalah peretas yang yang berupaya mencegah keberhasilan Black Hat Hacker, jadi white hat hacker ini lebih bersifat defensif kepada pihak korban namun secara offensive kepada black hat hacker.

Mereka menggunakan keterampilan teknis mereka untuk membobol sistem guna menilai dan menguji tingkat keamanan jaringan, yang juga dikenal sebagai peretasan etis.

Hal ini membantu mengungkap kerentanan dalam sistem sebelum Black Hat Hacker dapat mendeteksi dan mengeksploitasinya.

Grey Hat Hacker

Apa itu Grey Hat Hacker? Grey Hat Hacker adalah peretas yang berada di antara Black Hat Hacker dan White Hat Hacker yaitu tindakan mereka biasanya dilakukan demi kebaikan bersama.

Misalnya, mereka mengeksploitasi kerentanan untuk meningkatkan kesadaran bahwa kerentanan tersebut ada, jadi Grey Hat Hacker biasanya akan melakukan pemeriksaan kerentanan di publik dan memberikan kesadaran bahwa terdapat jaringan/website/server yang tidak aman.

Biasanya Grey Hat Hacker ini juga edukatif untuk meningkatkan Security Awareness di masyarakat.

Apa itu Hacking: Cara Menghindari Hacker?

Setelah penjelasan di atas, lantas bagaimana masyarakat dapat menghindari hacker? Hacking adalah tindakan yang bisa kita cegah dengan berbagai macam cara.

Berikut merupakan beberapa cara dalam menghindari adanya hacking yang terjadi kepada akun-akun pribadi kamu.

Rutin Melakukan Update Perangkat Lunak

Perangkat lunak, sistem operasi, versi aplikasi dan sejenisnya selalu mengeluarkan versi-versi terbaru mereka yang memiliki beberapa kelebihan. Versi-versi obsolete atau lawas pasti akan lebih rentan diserang daripada versi terbaru yang sudah melewati tahap evaluasi dan perbaikan.

Jadi untuk mengurangi risiko terjadinya hacking, kamu harus mengikuti perkembangan pembaharuan dalam suatu perangkat lunak agar versi yang kamu miliki selalu yang terbaru.

Menggunakan Password yang Kuat dan Unik

Selanjutnya, cara mencegah hacking adalah dengan memiliki kata sandi atau password yang kuat. Seperti apa password yang kuat itu? Password yang kuat adalah terdiri dari huruf besar, kecil, angka, dan karakter.

Tentu saja jangan sampai password kamu mudah ditebak oleh orang lain, jangan pernah menggunakan tanggal lahir, nama asli yang mudah diketahui oleh orang lain.

Selanjutnya, jangan pernah mencatat password di sembarang tempat atau media, karena hal-hal kecil seperti itulah yang dapat membuka kesempatan hacker beraksi.

Hindari website atau link yang tidak resmi atau mencurigakan

Cara selanjutnya dalam pencegahan hacking adalah dengan tidak mengklik situs/link tidak resmi yang kamu dapatkan dari orang yang tidak dikenal.

Kenali struktur URL yang dimiliki, jika nama yang dimiliki tidak jelas, terdapat huruf acak, dan menggunakan domain yang tidak terpercaya, sebagai bentuk pencegahan, jangan pernah klik ataupun jangan pernah mengisikan apapun di dalamnya. 

Aktifkan AntiVirus dan Firewall

Cara keempat dalam pencegahan hacking adalah dengan menginstall dan mengaktifkan antivirus serta firewall pada perangkat kamu. Antivirus akan membantu kamu dalam pendeteksian potensi virus yang masuk dari kriteria yang dimiliki oleh antivirus itu sendiri.

Firewall juga dibutuhkan untuk dapat mencegah adanya hal-hal mencurigakan yang datang melalui jaringan ataupun internet. 

Jaga Kerahasian Akun Pribadi Kamu!

Cara terakhir yang paling mudah dalam pencegahan hacking adalah dengan merahasiakan informasi akun pribadi kamu. Akun pribadi disini bisa berupa sosial media, informasi finansial, dan sebagainya. Jangan mudah mempercayai orang lain jika telah berhubungan dengan informasi pribadi.

Upayakan akun yang kamu miliki hanya berada pada perangkat-perangkatmu saja. Jangan pernah memberitahu, ataupun menggunakan perangkat lain dalam mengoperasikan akun pribadi kamu.

Apakah kamu sudah paham apa itu hacking? Kamu tidak perlu mempraktikkannya untuk mengerti secara keseluruhan apa itu hacking. Kamu harus waspada dan jangan mudah percaya dengan orang yang kamu kenali hanya melalui sosial media. Jangan gunakan pengetahuan terkait IT kamu untuk melakukan kejahatan ya!

Sumber: domainesia.com

Semakin masifnya digitalisasi membuat mahasiswa ilmu hukum perlu mempelajari hukum teknologi informasi. Apalagi sekarang ini aktivitas masyarakat banyak memanfaatkan sistem digital. Mulai dari berbelanja harian sampai tagihan bulanan juga menggunakan sistem digital. Kendati belum semua beralih ke digital, pergeseran kebiasaan ini wajib mengawasi, salah satunya dengan pengetatan aturan.

Bukan hanya sekali beredar berita di media massa soal penipuan digital. Mulai dari belanja online sampai belanja online. Sayangnya belum banyak yang memahami bahwa ada hukum teknologi yang melindungi dan mengatur sanksi bagi pelanggarnya. Anda yang serius mempelajari ilmu hukum, wajib mengetahui secara mendetail.

Cari Tahu Pengertian Hukum Teknologi Informasi

Para pakar hukum menyebutnya hukum siber atau cyber law yaitu hukum yang berkaitan dengan pemanfaatan teknologi informasi. Ada juga yang menyebut hukum dunia maya. Secara garis besar dapat berarti sebagai aturan terkait penegakan hukum dan pembuktian yang terkait dengan tindak pidana di dunia maya atau kejahatan yang menyalahgunakan kemajuan teknologi.

Penegak hukum seringkali mengalami kesulitan untuk melakukan pembuktian suatu kasus atau tindak pidana yang terkait dengan dunia maya karena identik dengan sesuatu yang semu.

Cyber law adalah hukum yang khusus mengatur kejahatan di internet termasuk melindungi mereka yang beraktivitas atau para pelaku e-commerce, e-learing, pemegang hak paten, dan lain-lain yang terkait dengan aktivitas digital. Apalagi sekarang ini sedang marak dompet digital dan beragam pembayaran nontunai.

Pengertian cyber law secara umum adalah hukum siber adalah aturan yang terkait semua aspek legal;, pengaturan internet, termasuk world wide web. Serta segala sesuatu yang terkait dengan aspek legal penggunaan internet dan dunia siber.

Anda pasti sering melihat pemberitaan media terkait dengan kejahatan digital. Bahkan pembobolan rekening sampai peretasan akun kerap terjadi. Kejahatan yang terbilang receh seperti penipuan online atau penyalahgunaan data pinjaman online adalah masalah yang kerap muncul. Kendati demikian hal tersebut tidak bisa dianggap sepele, harus ada antisipasi supaya tidak semakin banyak yang menjadi korban kejahatan siber.

Jenis Kejahatan Siber dan Komputer

Zaman serba digital memang memudahkan kendati demikian Anda juga harus berhati-hati terhadap berbagai modus kejahatan yang mengintai. Berikut ini jenis kejahatan siber yang kerap terjadi di masyarakat:

Pembobolan atau Pencurian

Kejahatan ini paling kerap terjadi. Dana di rekening hilang tak berjejak, padahal nasabah tidak menggunakan dana tersebut. Modusnya antara lain pelaku membuat instruksi ilegal atau tidak sah, sehingga korban mengikuti instruksi tersebut. Ini kerap terjadi pada mereka yang tidak memahami teknologi dan cenderung menuruti instruksi yang dikirim.

Modus lainnya adalah dengan melakukan pengubahan data setelah pelaku berhasil membobol situs tertentu. Ini paling kerap melakukan dan sulit melacaknya. Biasanya pelaku adalah hacker profesional.

Pemalsuan Informasi

Jenis kejahatan siber lainnya adalah pemalsuan informasi. Tindak pidana ini kerap terjadi misal penipuan belanja online, pelaku memberikan informasi palsu dengan menjual barang yang tidak ada, setelah transaksi terjadi tidak ada pengiriman barang. Tindakan tersebut tentu saja merugikan orang lain dan menguntungkan pelaku. Termasuk juga pencurian data pribadi untuk pinjaman online dan sejenisnya.

Hacking

Anda pasti sering mendengar peretasan terhadap situs tertentu mulai dari perbankan sampai instansi pemerintah. Ini adalah salah satu kejahatan di dunia siber yang sering terjadi. Pelaku mengakses situs tanpa izin dan melakukan tindakan ilegal, jika tidak segera diatasi maka bisa merugikan banyak pihak. Apalagi situs yang menyangkut kepentingan orang banyak.

Pembajakan

Pembajakan tidak harus melakukannya secara manual lho. Sekarang ini pelaku pembajakan memanfaatkan perkembangan teknologi untuk melancarkan aksi mereka. Itu sebabnya setiap orang yang memiliki produk atau karya harus segera mengurus hak paten, hak cipta, atau hak intelektual untuk mengantisipasi pembajakan terjadi.

Aspek Hukum Teknologi Informasi

Ada beberapa aspek yang terkait dengan hukum teknologi informasi. Aspek berikut terkait dengan kejahatan atau tindak pidana di dunia siber. Mahasiswa hukum harus mengetahui supaya bisa membedakan dan mengetahui apa saja yang merugi akibat perilaku tersebut

Aspek Hak Cipta

Tidak banyak yang mengetahui jika aplikasi internet seperti website dan email juga memerlukan hak cipta. Ada undang-undang hak cipta yang menaunginya. Kejatana di dunia siber bermula dari minimnya informasi jika semua data yang ada di internet tidak semua bebas menyalinnya, memperbanyak, dan menyebarluaskan. Ada aturan main yang harus diikuti agar tidak terjadi kejahatan atau tindak pidana.

Fitnah dan Pencemaran Nama Baik

Aspek ini masuk ke dalam hukum teknologi informasi. Kendati masih abu-abu, sekarang ini banyak orang menyebarkan fitnah, kebohongan, atau tindakan sejenis melalui internet. Apalagi menghina, mengejek, dan tindakan bully kerap terjadi di dunia maya. Inilah yang menjadikan aspek fitnah dan pencemaran nama baik masuk ke kategori hukum teknologi.

Aspek Privacy

Kebanyakan orang sekarang ini bekerja dengan memanfaatkan teknologi. Semakin banyak dia bersinggungan dengan internet, semakin membutuhkan privacy yang tinggi. Pasalnya akan lebih sering memasukkan kata sandi, data pribadi, alamat email, dan segala sesuatu yang sifatnya pribadi.

Inilah perlunya hati-hati, untuk tidak memberikan data pribadi ke orang lain. Selain itu juga memahami bahwa tidak semua orang bisa mengakses data pribadi miliknya kendati dengan dalih ‘kenal dekat’ atau memiliki hubungan kerja.

Undang-undang yang Terkait dengan Hukum Teknologi dan Informasi

Hukum teknologi tidak berdiri sendiri. Ada beberapa undang-undang yang mendukung sehingga mampu memperkuat. Apa saja?

Undang-undang Perlindungan Konsumen

Ada beberapa pasal dalam undang-undang perlindungan konsumen yang memiliki kaitan dengan hukum teknologi. Antara lain yang terkait dengan hak konsumen, kewajiban konsumen, hak pelaku usaha, kewajiban pelaku usaha, hal yang dilarang untuk pelaku usaha, juga lainnya.

Hukum Pidana

Hukum pidana terkait dengan pencurian, perbuatan tidak menyenangkan, pemerasan dan pengancaman, perbuatan curang, dan lainnya.

Undang-undang lain yang terkait antara lain undang-undang telekomunikasi, UU penyiaran, UU perbankan, UU larangan praktik monopoli dan persaingan usaha tidak sehat, UU rahasia dagang, uu hak cipta, UU Bank Indonesia, UU Rahasia dagang, dan lain-lain.

Sumber: iblam.ac.id

Pengertian Peretasan Kata Sandi

Peretasan kata sandi (juga disebut peretasan kata sandi) adalah sebuah vektor serangan yang melibatkan peretas yang mencoba memecahkan atau menentukan kata sandi untuk autentikasi yang tidak sah. Peretasan kata sandi menggunakan berbagai teknik terprogram, langkah manual, dan otomatisasi menggunakan alat khusus untuk membobol kata sandi. Alat peretas kata sandi ini disebut sebagai 'peretas kata sandi'. Semakin banyak alat ini yang memanfaatkan AI untuk meningkatkan kecepatan dan efisiensi peretasan kata sandi. Kata sandi juga dapat dicuri melalui taktik lain, seperti dengan malware pengikis memori, penjelajahan bahu, pembobolan pihak ketiga, dan alat seperti pencuri kata sandi Redline.
Kata sandi bisa merujuk pada rangkaian karakter atau rahasia apa pun yang digunakan untuk mengautentikasi pengguna yang sah ke sebuah sumber daya. Kata sandi biasanya dipasangkan dengan nama pengguna atau mekanisme lain untuk memberikan bukti identitas. Kombinasi ini disebut sebagai kredensial.

Kata sandi yang dikompromikan terlibat dalam sebagian besar pelanggaran saat ini. Faktanya, Laporan Ancaman Cakrawala 2023 Google Cloud menemukan bahwa 86% pelanggaran memanfaatkan kredensial yang dicuri. Dan, menurut IBM X-Force Threat Intelligence Index 2024, terdapat peningkatan 71% dari tahun ke tahun dalam volume serangan yang menggunakan kredensial yang valid. Hal ini mencerminkan tren penyerang yang beralih ke serangan berbasis identitas daripada eksploitasi kerentanan tradisional karena permukaan serangan identitas telah berlipat ganda dan tumbuh dengan lompatan dalam kompleksitas.
Ketika akun yang disusupi memiliki hak istimewa, pelaku ancaman dapat dengan mudah menghindari kontrol keamanan lainnya, melakukan pergerakan lateral, dan mengkompromikan kata sandi lainnya. Inilah sebabnya mengapa kredensial dengan hak istimewa adalah yang paling penting dari semua kredensial yang harus dilindungi. Dengan demikian, hampir semua identitas saat ini akan memiliki jalur menuju hak istimewa melalui berbagai akun SaaS, yang mengaburkan definisi dari apa yang dimaksud dengan identitas istimewa saat ini.
Blog mendalam ini menyoroti kerentanan kata sandi dan risiko yang memberikan keuntungan bagi para penyerang, dan memberikan gambaran umum tentang motif, teknik, alat, dan pertahanan pembobolan kata sandi.

Kata Sandi: Pelajaran Sejarah Singkat

Manusia telah mengandalkan kata sandi sejak masa awal peradaban. "Kata Sandi" adalah sebuah kata yang memungkinkan pengguna untuk melewati pos pemeriksaan keamanan dan sudah ada sejak zaman Kekaisaran Romawi. Tidak seperti sekarang ini, kata sandi akan sama untuk semua orang. Kata sandi bukanlah bukti identitas, tetapi sama saja dengan kontrol akses berbasis peran. Dengan kata lain, kata sandi ini merupakan 'klaim' bahwa Anda memiliki wewenang untuk mengakses sumber daya, tetapi tidak dapat memvalidasi identitas Anda yang sebenarnya. Masalahnya adalah metode ini sepenuhnya bergantung pada mereka yang mengetahui kata sandi untuk merahasiakannya.

Kata sandi telah lama dikenal sebagai kelemahan keamanan identitas, dan kematian kata sandi serta munculnya masa depan tanpa kata sandi telah diprediksi selama beberapa dekade. Namun, jumlah identitas perusahaan terus meningkat, terutama didorong oleh ledakan identitas mesin. Sebuah studi Venafi memperkirakan jumlah identitas mesin mencapai 250.000 per perusahaan, menyusul peningkatan 41% dari tahun ke tahun. Berbagai penelitian lain dalam beberapa tahun terakhir memperkirakan jumlah identitas mesin melebihi jumlah identitas manusia dengan rasio beberapa lusin banding 1.

Meskipun pendekatan tanpa kata sandi mendapatkan momentum, pendekatan ini tetap menjadi ceruk bagi sistem modern, mengalami kesulitan untuk diadaptasi ke teknologi lama, dan sering kali memiliki karakteristik kata sandi itu sendiri. Namun, satu perubahan yang disambut baik adalah, saat ini, kata sandi kecil kemungkinannya untuk digunakan sebagai satu-satunya mekanisme keamanan karena teknologi seperti biometrik dan otentikasi multifaktor (MFA).

Memahami Psikologi Peretasan Kata Sandi

Kredensial yang valid (nama pengguna dan kata sandi) memungkinkan pengguna biasa untuk mengautentikasi sebuah sumber daya. Jika sebuah nama pengguna diketahui oleh pelaku ancaman, mendapatkan kata sandi akun tersebut menjadi sebuah latihan peretasan.
Sering kali, pelaku ancaman pertama-tama akan menargetkan administrator sistem karena kredensial mereka mungkin memiliki hak istimewa untuk mengakses data dan sistem sensitif secara langsung. Kredensial istimewa seperti itu memungkinkan penjahat siber untuk bergerak secara lateral, sambil menimbulkan sedikit atau tanpa kecurigaan, dan bahkan mengkompromikan akun lain untuk mempertahankan kegigihan. Setelah seorang pelaku ancaman telah mengkompromikan kredensial, segala sesuatu yang diistimewakan pada akun itu sekarang menjadi permainan yang adil bagi penyerang.
Kredensial yang dikompromikan untuk akun yang paling sensitif (domain, administrator basis data, dll.) dapat menjadi peristiwa "game over" bagi beberapa perusahaan. Akun-akun tersebut, dan kredensial mereka, merupakan vektor serangan utama untuk serangan eskalasi hak istimewa.

Penyerang Memiliki Keuntungan

Penyerang biasanya memiliki setidaknya dua keuntungan dibandingkan dengan pembela:
1. Waktu di tangan mereka, karena mereka sering mengambil pendekatan menyebar untuk mendapatkan akses versus serangan sekaligus yang dapat memicu beberapa alarm keamanan.
2. Perangkat pembobol kata sandi otomatis, yang semakin didukung oleh pembelajaran mesin (M/L) dan AI, yang akan menjalankan serangan secara mandiri menggunakan teknik untuk menghindari deteksi.
Pembobol kata sandi dapat mencoba kata sandi dengan kecepatan yang lambat dan terukur untuk menghindari pemicuan penguncian akun pada masing-masing akun. Jika peretas kata sandi hanya mencoba satu kata sandi setiap 10 menit per akun, 100.000 kata sandi akan membutuhkan waktu yang lama. Dengan bijaksana, penyerang siber akan mencoba setiap kata sandi pada setiap akun yang mereka ketahui dengan urutan yang mungkin acak (serangan acak). Pendekatan ini efektif karena hanya sedikit sistem yang melacak percobaan kata sandi di seluruh akun. Bahkan ketika Sistem Informasi Keamanan dan Pemantauan Peristiwa (SIEM) atau Analisis Perilaku Pengguna dan Entitas (UEBA) aktif, tindakan defensif yang dilakukan masih terbatas. Anda tidak bisa mengunci semua akun. Memblokir alamat IP sumber akan menghasilkan IP baru yang akan menerima serangan, jika IP tersebut belum terdistribusi ke 100 atau bahkan 1000 alamat IP.

Pertahanan optimal terhadap serangan semacam ini adalah dengan tidak menggunakan kata sandi dalam daftar. Perubahan kata sandi yang sering memicu kemalasan kita, sehingga "kata sandi" menjadi "p@ssw0rd" dan "Kata Sandi!" Setiap pembobol kata sandi menyadari praktik kata sandi yang buruk ini. Mengganti huruf dengan angka dan simbol juga merupakan praktik yang mudah ditebak. Sebagai contoh, 3 untuk E, 4 untuk A dan @ untuk a. Alat pembobol kata sandi mempersiapkan diri untuk variasi yang umum ini.
Penyerang berusaha mempelajari informasi dasar tentang kompleksitas kata sandi, seperti panjang kata sandi minimum dan maksimum, serta kompleksitas kata sandi. Sebagai contoh, apakah kata sandi memiliki huruf besar dan kecil, angka, simbol, atau kombinasi? Penyerang juga tertarik untuk mempelajari pembatasan pada kata sandi. Parameter-parameter ini bisa berupa:

• Termasuk huruf besar
• Tidak dimulai dengan angka atau simbol
• Membutuhkan jumlah minimum jenis karakter atau bahasa tertentu

Dengan membatasi pengulangan karakter, kontrol pembuatan kata sandi ini mengurangi jumlah kombinasi yang harus dipertimbangkan oleh penyerang, dan dengan demikian, melemahkan keefektifan kata sandi. Alat peretasan kata sandi memiliki opsi untuk menentukan pembatasan ini untuk mempercepat proses serangan.
Untuk pengguna perorangan dan akun pribadi, kecil kemungkinan serangan semacam ini berhasil. Serangan pada satu akun kemungkinan besar akan memicu penguncian. Sebuah serangan brute-force dengan kecepatan rendah dapat memakan waktu lama untuk menemukan kombinasi login yang tepat, bahkan untuk kata sandi yang relatif pendek.
Alat peretasan kata sandi ideal untuk menebak kata sandi otomatis pada beberapa akun, tetapi juga mahir dalam menelusuri data untuk mencari tema, frasa, dan informasi yang umum.

Metode Serangan Kata Sandi yang Umum

Pada bagian ini, kita akan melihat teknik-teknik peretasan kata sandi yang umum. Beberapa teknik ini mungkin tumpang tindih dalam hal alat dan metodologi. Penyerang sering kali menggabungkan beberapa taktik yang saling melengkapi untuk meningkatkan peluang keberhasilan mereka.

Serangan Menebak Kata Sandi

Salah satu teknik serangan kata sandi yang paling populer adalah menebak kata sandi.
Sebagian besar sistem saat ini mengampuni manusia karena kita memiliki banyak sekali kata sandi yang harus diingat. Sistem-sistem ini mengizinkan kita untuk melakukan beberapa kesalahan, tanpa mengunci akun kita. Ketika penguncian terjadi, umumnya berlangsung kurang dari 30 menit.

1. Tebakan Acak

Nama pengguna adalah bagian dari kredensial yang tidak berubah, dan juga sangat mudah ditebak, biasanya berbentuk inisial pertama ditambah nama keluarga. Nama pengguna biasanya berupa alamat email, sesuatu yang dikomunikasikan secara luas. Seorang penyerang sekarang sudah memiliki separuh detail yang dibutuhkan untuk masuk ke banyak sistem Anda. Yang kurang hanyalah kata sandi.
Tebakan kata sandi acak jarang berhasil kecuali jika kata sandi itu umum atau berdasarkan kata dalam kamus. Mengetahui informasi tentang identitas target akan meningkatkan kemungkinan berhasilnya tebakan oleh pelaku ancaman. Informasi ini dikumpulkan dari media sosial, interaksi langsung, percakapan yang menipu, atau bahkan data yang dikumpulkan dari pelanggaran sebelumnya.
Varian yang paling umum untuk kata sandi yang rentan ditebak termasuk skema umum ini:

• Kata "kata sandi" atau turunan dasar seperti "p@ssw0rd"
• Turunan dari nama pengguna pemilik akun, termasuk inisial. Ini mungkin termasuk variasi yang tidak kentara, seperti angka dan karakter khusus.
• Ulang tahun yang diformat ulang atau eksplisit untuk pengguna atau kerabat mereka, biasanya, keturunan atau tanggal khusus lainnya
• Tempat atau peristiwa yang berkesan
• Nama kerabat dan turunannya dengan angka atau karakter khusus, ketika disajikan bersama
• Hewan peliharaan, warna, makanan, atau barang penting lainnya bagi individu

Walaupun alat peretas kata sandi otomatis tidak diperlukan untuk serangan menebak kata sandi, alat ini akan meningkatkan tingkat keberhasilan.
Serangan menebak kata sandi cenderung meninggalkan bukti di log peristiwa dan mengakibatkan penguncian otomatis akun setelah "n" kali percobaan. Ketika pemilik akun menggunakan ulang kata sandi di berbagai sumber daya dengan praktik kebersihan kata sandi yang buruk, risiko penebakan kata sandi dan pergerakan lateral meningkat secara dramatis.

2. Serangan Kamus

Serangan kamus adalah teknik otomatis yang menggunakan daftar kata sandi terhadap akun yang valid untuk mengungkapkan kata sandi. Daftar itu sendiri adalah sebuah kamus kata. Pembobol kata sandi dasar menggunakan daftar kata tunggal yang umum, seperti "baseball", untuk membobol kata sandi, meretas akun, dan melancarkan misi jahat pelaku ancaman.
Jika pelaku ancaman mengetahui panjang kata sandi akun yang ditargetkan dan persyaratan kerumitannya, maka kamus kata sandi akan disesuaikan dengan target. Pembobol kata sandi tingkat lanjut sering kali menggunakan kamus dan mencampurkan angka dan simbol untuk meniru kata sandi dunia nyata dengan persyaratan kerumitan.
Alat serangan kamus yang efektif memungkinkan pelaku ancaman:

• Menetapkan persyaratan kerumitan untuk panjang, persyaratan karakter, dan rangkaian karakter
• Menambahkan kata dan kombinasi kata/nama secara manual yang disesuaikan dengan target
• Menargetkan kesalahan eja yang umum pada kata-kata yang sering digunakan yang mungkin memiliki simbol yang diganti atau ditambahkan
• Beroperasi dalam berbagai bahasa

Kelemahan dari serangan kamus adalah bahwa mereka bergantung pada kata-kata yang sebenarnya dan turunannya yang disediakan oleh pengguna kamus default. Jika kata sandi yang sebenarnya adalah fiktif, menggunakan banyak bahasa, atau menggunakan lebih dari satu kata atau frasa, maka seharusnya dapat menggagalkan serangan kamus.
Metode yang paling umum untuk mengurangi ancaman serangan kamus adalah upaya penguncian akun. Setelah "n" kali percobaan yang salah, akun pengguna secara otomatis terkunci untuk jangka waktu tertentu dan, setelah beberapa kali penguncian, membutuhkan campur tangan manusia. Akun harus dibuka secara manual oleh pihak yang berwenang, seperti meja bantuan atau melalui solusi pengaturan ulang kata sandi otomatis. Namun, pengaturan penguncian terkadang dinonaktifkan. Jadi, jika kegagalan log masuk tidak dipantau dalam log peristiwa, serangan kamus merupakan vektor serangan yang efektif bagi aktor ancaman.

3. Brute Force

Serangan kata sandi brute force menggunakan metode terprogram untuk mencoba semua kombinasi yang mungkin untuk sebuah kata sandi. Metode ini efisien untuk kata sandi yang memiliki panjang string (karakter) yang pendek dan rumit. Hal ini bisa menjadi tidak mungkin, bahkan untuk sistem modern tercepat sekalipun, dengan kata sandi yang terdiri dari delapan karakter atau lebih.
Jika kata sandi hanya memiliki karakter abjad, termasuk huruf besar atau huruf kecil, kemungkinan besar dibutuhkan 8.031.810.176 tebakan untuk memecahkannya. Ini mengasumsikan bahwa penyerang mengetahui panjang kata sandi dan persyaratan kerumitannya.

Faktor-faktor lain termasuk angka, sensitivitas huruf besar-kecil, dan karakter khusus dalam bahasa lokal.
Dengan parameter yang tepat yang dimasukkan, serangan brute force akan selalu menemukan kata sandi, pada akhirnya. Daya komputasi yang dibutuhkan dan lamanya waktu yang dibutuhkan sering kali membuat pengujian brute force menjadi tidak berguna pada saat selesai. Waktu yang dibutuhkan untuk melakukan serangan ditentukan oleh waktu yang dibutuhkan untuk menghasilkan semua permutasi kata sandi yang mungkin. Kemudian, waktu respons sistem target diperhitungkan berdasarkan permintaan serial atau multithreaded.
Serangan kata sandi dengan cara kasar cenderung menjadi metode yang paling tidak efisien untuk meretas kata sandi. Dengan demikian, pelaku ancaman menggunakannya sebagai upaya terakhir.

4. Pengisian Kredensial

Credential stuffing adalah teknik peretasan otomatis yang memanfaatkan kredensial yang dicuri. Kredensial ini terdiri dari daftar nama pengguna, alamat email, dan kata sandi. Para penyerang sering kali membeli "daftar kombo" di web gelap yang menyediakan kombo email/kata sandi yang sudah dikemas sebelumnya. Teknik ini umumnya memanfaatkan otomatisasi untuk mengirimkan permintaan login yang ditujukan pada sebuah aplikasi dan untuk menangkap upaya login yang berhasil untuk dieksploitasi di masa depan.

Serangan credential stuffing tidak berusaha untuk melakukan brute force atau menebak kata sandi apa pun. Pelaku ancaman mengotomatiskan autentikasi berdasarkan kredensial yang ditemukan sebelumnya menggunakan alat yang disesuaikan, biasanya dengan kata sandi yang diperoleh dari web gelap dari pelanggaran pihak ketiga sebelumnya. Pendekatan ini dapat memerlukan jutaan percobaan untuk menentukan di mana pengguna berpotensi menggunakan kembali kredensial mereka di situs web atau aplikasi lain.
Serangan pengisian kredensial memangsa penggunaan ulang kata sandi. Serangan ini hanya berhasil karena begitu banyak pengguna yang menggunakan kembali kombinasi kredensial yang sama di beberapa situs tanpa bentuk MFA apa pun.

5. Penyemprotan Kata Sandi

Penyemprotan kata sandi adalah serangan berbasis kredensial yang mencoba mengakses banyak akun dengan menggunakan beberapa kata sandi yang sama. Secara konseptual, ini adalah kebalikan dari serangan kata sandi brute force. Brute force mencoba untuk mendapatkan akses yang sah ke satu akun dengan berulang kali memompa kombinasi kata sandi dalam jumlah besar.
Selama setahun terakhir, serangan kata sandi kembali menjadi terkenal. Midnight Blizzard membobol Microsoft dengan mengkompromikan lingkungan uji coba yang sudah lama tidak diproduksi dengan serangan semprotan kata sandi yang tidak canggih. Cisco dan Okta juga memperingatkan tentang serangan semprotan kata sandi berskala besar yang memanfaatkan berbagai proksi perumahan untuk menghindari deteksi.

Selama serangan semprotan kata sandi, aktor ancaman mencoba satu kata sandi yang umum digunakan (seperti "12345678" atau "Passw0rd") terhadap banyak akun sebelum melanjutkan untuk mencoba kata sandi kedua, sehingga menghindari penguncian akun.
Pelaku ancaman mencoba setiap akun pengguna dalam daftar mereka dengan kata sandi yang sama sebelum mengatur ulang daftar dan mencoba kata sandi berikutnya. Teknik ini meminimalkan risiko terdeteksinya dan terkuncinya satu akun oleh pelaku ancaman karena adanya jeda waktu di antara percobaan.

Dengan kebersihan kata sandi yang buruk oleh satu pengguna atau pada satu akun, pelaku ancaman kemungkinan besar akan berhasil menyusup ke dalam sumber daya. Teknik ini baru-baru ini digunakan dalam serangan Microsoft Midnight Blizzard.

Rekayasa Sosial & Serangan Berbasis Manusia

Serangan rekayasa sosial meliputi variasi email phishing, vishing (panggilan suara), serangan pengaturan ulang kata sandi, dan bahkan ancaman deepfake. Serangan-serangan ini memerlukan pembelajaran sebanyak mungkin tentang target sehingga penjahat siber dapat menebak kata sandi target.
Nama-nama hewan peliharaan, anak-anak, pasangan, alamat, ulang tahun, hobi, teman adalah informasi paling berharga yang tersedia bagi para pelaku ancaman. Faktor film favorit, acara TV, penulis, band, aktor, dan banyak lagi, dan sebagian besar akun media sosial menjadi tambang emas informasi.

1. Phishing & Vishing

Phishing dan vishing (panggilan suara) sering kali dimanfaatkan untuk mengumpulkan informasi untuk serangan lain, serta untuk menanam perangkat lunak berbahaya (melalui lampiran atau tautan) pada titik akhir. Malware ini dapat digunakan untuk mencuri kata sandi.
Email phishing atau vishing juga dapat menjadi bagian dari serangan pengaturan ulang kata sandi yang dipalsukan. Salah satu taktik yang umum dilakukan adalah email phishing memberikan tautan untuk diklik dengan tujuan mengatur ulang kata sandi akun. Para penyerang mungkin mengklaim bahwa hal ini disebabkan oleh potensi pembobolan kata sandi lama. Email tersebut mungkin menampilkan logo dan rupa sebuah pedagang, seperti bank, peritel, atau penyedia layanan. Namun, tautan dalam email tersebut mengarahkan korban ke antarmuka pengaturan ulang kata sandi palsu. Penyerang kemudian mengumpulkan kata sandi yang sah untuk membobol akun korban yang sah. Bagi seorang karyawan, email pengaturan ulang kata sandi palsu bahkan dapat terlihat berasal dari meja bantuan perusahaan itu sendiri, jika dibuat dengan terampil (jenis serangan phishing ini akan memiliki tingkat kesulitan tinggi pada Skala Phishing NIST).
Serangan-serangan ini merupakan pengingat yang konstan tentang mengapa pelatihan pengguna akhir sangat penting. Pengguna harus selalu waspada untuk memastikan permintaan alamat email atau nomor telepon memang sah.

2. Perubahan dan Pengaturan Ulang Kata Sandi Secara Paksa dan Otomatis

Sayangnya, ada risiko umum dalam mengatur ulang kata sandi yang membuat pengaturan ulang kata sandi otomatis menjadi target bagi para pelaku ancaman. Mengatur ulang kata sandi adalah tindakan perubahan kata sandi secara paksa oleh orang lain, seperti dari service desk atau pemilik aplikasi. Perubahan ini tidak diprakarsai oleh pengguna akhir.
Risiko pengaturan ulang kata sandi otomatis Termasuk:

• Pengaturan ulang kata sandi melalui email atau pesan teks dan disimpan oleh pengguna akhir
• Kata sandi yang diatur ulang oleh meja bantuan digunakan kembali setiap kali pengaturan ulang kata sandi diminta
• Pengaturan ulang kata sandi secara membabi buta diberikan karena penguncian akun
• Kata sandi yang disampaikan secara verbal dapat terdengar keras
• Pengaturan ulang kata sandi yang rumit yang ditulis oleh pengguna akhir
• Kata sandi berbasis pola yang dapat diprediksi akan digunakan pengguna saat diatur ulang

Setiap kali kata sandi disetel ulang, ada pengakuan tersirat bahwa kata sandi lama berisiko dan perlu diubah. Mungkin kata sandi tersebut terlupakan, kedaluwarsa, atau memicu penguncian karena beberapa kali gagal. Pengaturan ulang, pengiriman, dan penyimpanan kata sandi baru menimbulkan risiko sampai kata sandi diubah oleh pengguna akhir. Tentu saja, terkadang pengguna akhir lalai untuk mengubah kata sandi sama sekali.
Setelah identitas dibobol, pelaku ancaman bisa meminta pengaturan ulang kata sandi dan membuat kata sandi mereka sendiri untuk akun tersebut.
Praktik terbaik pengaturan ulang kata sandi:

• Kata sandi harus acak dan melebihi persyaratan kompleksitas sesuai kebijakan bisnis.
• Kata sandi harus diubah oleh pengguna akhir setelah login pertama dan memerlukan otentikasi dua faktor atau multi-faktor untuk memvalidasi setiap permintaan berikutnya.
• Permintaan pengaturan ulang kata sandi harus selalu berasal dari lokasi yang aman dan otomatisasi harus dipantau.
• Situs web publik untuk bisnis (bukan pribadi) harus memerlukan verifikasi tambahan untuk tautan 'Lupa Kata Sandi'.
• Pengaturan ulang kata sandi melalui email mengasumsikan bahwa pengguna akhir masih memiliki akses ke email untuk mengakses kata sandi yang baru. Jika kata sandi email itu sendiri membutuhkan pengaturan ulang, metode transmisi lain harus dibuat. Ini biasanya harus melibatkan campur tangan manusia.
• Jangan gunakan pesan teks SMS - pesan teks ini tidak cukup aman untuk mengirimkan informasi pengaturan ulang kata sandi.
• Jika memungkinkan, pengaturan ulang kata sandi harus bersifat sementara-pengaturan ulang kata sandi hanya boleh aktif selama durasi yang telah ditentukan. Jika pengguna akhir tidak mengakses akun lagi dalam jangka waktu yang telah ditentukan, penguncian akun akan terjadi.

Mengubah kata sandi sesering mungkin merupakan praktik keamanan terbaik untuk akun istimewa (bukan akun pribadi atau konsumen). Namun, mengatur ulang kata sandi dan mengirimkannya melalui media yang tidak aman bukanlah praktik keamanan. Bagi individu, pengaturan ulang kata sandi yang sederhana bisa menjadi pembeda antara pelaku ancaman yang memiliki akun Anda dan permintaan kata sandi yang sah.

3. Menguping

Penyadapan kata sandi mengacu pada kata sandi yang didengar secara lisan oleh pelaku ancaman. Penyadapan kata sandi bisa terjadi secara tidak sengaja atau disengaja dan dapat mencakup penyadapan berbasis suara dan digital untuk menangkap pengungkapan yang terdengar.

Mudah-mudahan tidak ada seorang pun dalam bisnis Anda yang meneriakkan kata sandi di seluruh kantor, tetapi beberapa organisasi masih menggunakan panggilan suara ke meja bantuan untuk mengatur ulang kata sandi. Selama panggilan meja bantuan ini, kata sandi yang diperbarui dapat diucapkan kepada pengguna. Sangatlah penting bahwa pengguna diminta untuk mengatur ulang kata sandi pada saat pertama kali masuk, setelah menggunakan kata sandi sementara dari meja bantuan. Langkah ini mengurangi risiko kata sandi, karena penyadap tidak dapat menggunakan kata sandi baru tanpa mengungkapkan aktivitas mereka.

Tentu saja, suara bukanlah satu-satunya cara kita "mengumumkan" kata sandi kita. Berapa banyak dari kita yang menggunakan keyboard Bluetooth yang mentransmisikan penekanan tombol melalui udara? Meskipun kita menganggap remeh keamanan transmisi, ada kemungkinan untuk mengorbankan beberapa jenis komunikasi Bluetooth.

Pada masa-masa awal komputasi, Anda harus terhubung secara fisik ke mesin yang Anda akses. Sistem yang Anda autentikasi juga berjalan secara lokal. Sekarang, kita secara teratur mengautentikasi ke dalam sistem di belahan dunia lain, dan semakin banyak, yang bahkan bukan sistem kita. Kata sandi kita dikirimkan secara elektronik melalui banyak sistem untuk mencapai tujuannya, dan jika tidak ada enkripsi yang tepat dan perlindungan lainnya, mungkin rentan terhadap penyadapan melalui penyadapan atau penangkapan paket nirkabel.

4. Berselancar di Atas Bahu (Shoulder Surfing)

Shoulder surfing memungkinkan pelaku ancaman untuk mendapatkan pengetahuan tentang kredensial melalui pengamatan. Ini termasuk mengamati kata sandi, pin, dan pola gesek saat dimasukkan, atau bahkan pena yang mencoret-coret kata sandi pada catatan tempel.
Konsepnya sederhana. Pelaku ancaman mengamati secara fisik atau menggunakan perangkat elektronik seperti kamera untuk mengumpulkan kata sandi dan menggunakannya untuk serangan. Inilah sebabnya, saat menggunakan ATM, disarankan untuk melindungi entri PIN Anda pada papan tombol. Hal ini mencegah pelaku ancaman terdekat untuk mengetahui PIN Anda.

5. Kata Sandi untuk Pembelian

Meskipun daftar kata sandi, tabel hash, dan tabel pelangi tersedia di web gelap, pengguna terkadang menjual kredensial perusahaan mereka sendiri sebagai bagian dari serangan orang dalam. Faktanya, orang dalam yang nakal dapat menjual kredensial dan mengklaim bahwa kredensial tersebut telah dibobol, memberikan mereka penyangkalan yang masuk akal. Ancaman orang dalam ini sangat mengkhawatirkan terutama bagi pengguna yang memiliki hak istimewa, yang kredensial mereka dapat memberikan akses ke aset perusahaan yang paling sensitif.
Cara yang paling efektif untuk mengatasi risiko kompromi kredensial istimewa adalah dengan menghapus akses langsung dan menerapkan manajemen akses istimewa (PAM ) untuk melindungi akun yang paling sensitif. Semua sesi yang berhubungan dengan akun yang sangat istimewa harus diarahkan melalui sistem yang memfasilitasi akses, tetapi tanpa mengungkapkan kredensial yang sebenarnya.

Serangan Berbasis Hash

Ketika penyerang berhasil mendapatkan akses ke sebuah sistem atau situs web, mereka sering kali ingin mencuri basis data yang berisi nama pengguna dan kata sandi untuk semua orang yang mengakses aplikasi tersebut. Meskipun kredensial tidak dapat dibaca oleh manusia, kredensial tersebut disimpan dalam bentuk hash. Mencuri basis data kata sandi memberikan setidaknya tiga manfaat besar terkait pencurian kata sandi:

1. Penemuan kredensial pengguna yang sangat istimewa yang dapat digunakan untuk berinteraksi dengan sistem atau berkomunikasi dari mesin ke mesin ke sumber daya lain
2. Harta karun kredensial yang kaya, mungkin digunakan di berbagai sistem untuk autentikasi dan otorisasi
3. Basis data dapat diserang secara offline, tanpa memperhatikan kontrol apa pun terkait jumlah atau frekuensi upaya login

Saat ini, sudah tidak lazim menemukan sistem yang tidak menyandikan kata sandi pengguna. Penyerang akan menemukan daftar nilai dan bukan kata sandi teks. Ketika data telah disandikan dan bukan dienkripsi, tidak ada cara untuk mengubah bentuk yang disandikan menjadi nilai aslinya. Satu-satunya kesempatan penyerang adalah untuk membuka sandi dan mencoba untuk membuat versi kata sandi yang disandikan. Ini kemudian dapat dibandingkan dengan daftar yang dicuri. Proses penyandian ini disebut "hashing", dan kata sandi yang disandikan disebut "hash".
Mari kita lihat lebih dekat beberapa jenis serangan berbasis hash yang umum:

1. Serangan Pass-the-Hash

Pass-the-Hash (PtH ) adalah teknik yang memungkinkan penyerang untuk mengautentikasi sumber daya dengan menggunakan hash NT LAN Manager (NTLM) yang mendasari kata sandi pengguna, sebagai pengganti penggunaan kata sandi akun yang sebenarnya yang dapat dibaca oleh manusia. Setelah diperoleh, nama pengguna dan hash yang valid dapat digunakan untuk mengautentikasi ke server atau layanan jarak jauh menggunakan autentikasi LM atau NTLM.
Serangan PtH mengeksploitasi kelemahan implementasi pada protokol autentikasi. Hash kata sandi tetap statis untuk setiap sesi sampai kata sandi itu sendiri berubah. PtH dapat dilakukan terhadap hampir semua server atau layanan yang menerima autentikasi LM atau NTLM, termasuk Windows, Unix, Linux, atau sistem operasi lain.
Malware dapat mengikis memori untuk mencari hash kata sandi, membuat pengguna, aplikasi, layanan, atau proses yang sedang berjalan menjadi target potensial. Setelah diperoleh, ia menggunakan perintah dan kontrol atau otomatisasi lain untuk pergerakan lateral tambahan atau eksfiltrasi data.
Meskipun serangan PtH lebih umum terjadi pada sistem Windows, serangan ini juga dapat mengeksploitasi titik akhir Unix dan Linux. Sistem modern dapat bertahan dari serangan PtH dengan berbagai cara. Namun, mengubah kata sandi sesering mungkin atau menggunakan kata sandi sekali pakai (OTP ) merupakan pertahanan yang baik untuk menjaga hash tetap berbeda di antara sesi. Solusi manajemen kata sandi yang dapat merotasi kata sandi sesering mungkin atau menyesuaikan token keamanan adalah pertahanan yang efektif terhadap teknik ini.

2. Serangan Pass-the-Ticket

Dalam serangan Pass-the-Ticket, aktor ancaman mencuri tiket pemberian tiket Kerberos (TGT) untuk menyamar sebagai pengguna di jaringan. Jika berhasil, metode serangan ini memintas mekanisme autentikasi, memberikan penyerang akses yang tidak sah ke sumber daya.
Alat-alat seperti Mimikatz memungkinkan para pelaku ancaman untuk meluncurkan serangan pass-the-ticket yang bergerak melalui jaringan dengan menyalin tiket dari mesin pengguna akhir yang telah disusupi, atau dari server otorisasi yang telah didelegasikan.
Penjahat siber biasanya melancarkan serangan pass-the-ticket dengan salah satu dari dua cara:

• Mencuri Ticket Granting Ticket atau Service Ticket dari mesin Windows dan menggunakan tiket yang dicuri untuk menyamar sebagai pengguna
• Mencuri Ticket Granting Ticket atau Service Ticket dengan mengkompromikan server yang melakukan otorisasi atas nama pengguna

Dalam serangan Golden Ticket, penyerang mencoba mencuri hash akun KRBTGT pada pengontrol domain. Ini adalah akun yang digunakan oleh Kerberos untuk mengenkripsi Tiket Pemberian Tiket. Jika berhasil dalam serangan Golden Ticket, penyerang dapat membuat tiket tak terbatas, memberikan tingkat akses apa pun, dengan masa berlaku yang hampir tak terbatas.
Perlindungan terhadap ancaman pemberian tiket membutuhkan banyak kontrol. Manajemen akun dan sesi istimewa yang kuat (PASM) dapat menerapkan rotasi kata sandi yang sering dan menghilangkan kata sandi bersama. Pelapisan pada manajemen hak istimewa titik akhir (EPM ) dapat menerapkan hak istimewa paling sedikit untuk mengurangi jumlah login istimewa yang diizinkan dan untuk membatasi pergerakan lateral. Kemampuan deteksi dan respons ancaman identitas (ITDR ) dapat dengan cepat menunjukkan aktivitas anomali dan mengatur respons untuk mencegah atau membatasi kerusakan.

3. Serangan Kerberoasting

Seperti serangan pass-the-ticket, kerberoasting mengeksploitasi protokol otentikasi Kerberos. Dalam serangan kerberoasting, pelaku ancaman menargetkan akun layanan yang terkait dengan Service Principal Names (SPN), yang digunakan untuk mengidentifikasi secara unik setiap contoh layanan yang berjalan di sebuah sistem.
Untuk meluncurkan serangan, musuh meminta tiket Kerberos Ticket Granting Service (TGS) untuk akun layanan yang ditargetkan dari Key Distribution Center (KDC). Bekerja secara offline untuk membantu menghindari deteksi, penyerang mencoba untuk membobol kata sandi hash yang tersimpan di dalam tiket TGS. Jika kata sandi tersebut dibobol, penyerang berpotensi membahayakan seluruh jaringan melalui layanan yang disusupi.
Organisasi dapat secara efektif melindungi dari kerberoasting melalui setidaknya beberapa kontrol keamanan yang berbeda, terutama di seluruh manajemen akses istimewa (PAM) dan disiplin ITDR. Misalnya, memberlakukan kata sandi yang kuat, dan akun layanan orientasi untuk manajemen (kredensial bergilir, dll.) dan pemantauan dapat meningkatkan resistensi terhadap kerberoasting. ITDR dapat secara proaktif mengidentifikasi akun yang berpotensi rentan terhadap kerberoasting karena penggunaan sandi yang lemah, dan merekomendasikan mitigasi untuk memperkuat postur keamanan.

4. Serangan Tabel Pelangi

Cipher hashing sangat kompleks dan biasanya terkenal, yang berarti ada jumlah yang terbatas untuk dicoba. Ketersediaan terbatas dari cipher yang dapat diandalkan mengarah ke alat lain dalam gudang penyerang, tabel hash. Tabel hash adalah daftar kata sandi ter-hash yang telah dihitung sebelumnya dalam perbandingan sederhana terhadap data yang dicuri.
Sementara tabel hash akan menyimpan kata sandi dan hash untuk sandi tertentu, Tabel Pelangi menyimpan kata sandi dan hash untuk beberapa sandi. Mereka kemudian mengecilkan data ke tingkat yang lebih mudah dikelola - meskipun file-file tersebut masih relatif besar.
Pendekatan umum untuk mengalahkan tabel hash dan Serangan Tabel Pelangi adalah dengan "menggarami" hash. Ini menerapkan penyandian ekstra dan unik pada setiap kata sandi. Walaupun sandi tersebut sama, tanpa garam, tidak akan menghasilkan hash yang sama. Mengasinkan hash membuat tabel hash menjadi berlebihan. Menggunakan kata sandi yang panjang, rumit, unik, dan autentikasi multi-faktor juga memberikan perlindungan terhadap Serangan Tabel Pelangi dan tabel hash.

Contoh Perangkat Lunak Peretas Kata Sandi yang Umum

Beberapa contoh alat peretas kata sandi yang paling terkenal dan populer saat ini meliputi:

• Kain dan Habel
• John the Ripper
• Hydra
• Hashcat
• Ophcrack

Beberapa alat khusus, seperti peretas kata sandi Wifi, peretas kata sandi Windows, dan lain-lain, dirancang untuk memecahkan jenis kata sandi tertentu.
Saat ini, perusahaan sering kali melibatkan peretas etis dan penguji penetrasi untuk meningkatkan ketahanan jaringan keamanan mereka. Selanjutnya, ketersediaan dan pengembangan perangkat lunak peretas telah meningkat baik untuk tujuan baik maupun jahat. Perangkat lunak forensik komputer modern dan perangkat lunak pendukung litigasi juga menyertakan fungsionalitas peretasan kata sandi untuk mendapatkan bukti. Perangkat lunak peretas yang paling canggih akan menggabungkan campuran strategi peretasan untuk memaksimalkan produktivitas dan efektivitas.

Praktik Kata Sandi yang Berisiko

Beberapa teknik pembobolan kata sandi mengandalkan kerentanan sistem atau mendapatkan akses ke akun yang memiliki hak istimewa untuk mencapai pergerakan lateral dan mengumpulkan kata sandi lainnya. Namun, sebagian besar pembobolan bergantung pada kebersihan kata sandi yang tidak memadai, keamanan identitas yang buruk, dan tidak adanya manajemen kredensial yang tepat dan alat identitas.
Mari kita lihat beberapa praktik yang membuat peretasan kata sandi menjadi latihan peretasan yang mudah.

1. Kata Sandi yang Umum dan Sering Digunakan

Manusia adalah makhluk yang memiliki kebiasaan. Ini berarti ada beberapa kata tertentu yang lebih sering digunakan sebagai kata sandi daripada kata sandi lainnya.
Ketika Game of Thrones pertama kali ditayangkan, "naga" dengan cepat menjadi salah satu kata sandi yang paling sering digunakan. Orang-orang sering menggunakan nama-nama hewan peliharaan, anak-anak, pasangan, dan jalan, serta tanggal lahir mereka.
Situs media sosial secara teratur mendorong orang untuk membagikan nama hewan peliharaan favorit mereka atau berbagi detail dari masa kecil mereka. Mekanisme brilian untuk membantu membuat daftar kata sandi prediktif yang digunakan dalam serangan!
Setiap tahun, daftar mengungkapkan kata sandi yang paling sering digunakan, dan kata sandi tertentu setiap tahun muncul kembali. Berikut ini adalah daftar sepuluh besar (miliktim Investigasi CyberNews) per November 2023:

1. 123456
2. 123456789
3. qwerty
4. kata sandi
5. 12345
6. qwerty123
7. 1q2w3e
8. 12345678
9. 111111
10. 1234567890

Pusat Keamanan Siber Nasional Inggris menerbitkan daftar 100 ribu kata sandi yang paling sering digunakan. Daftar ini dikumpulkan dari data padasitus web'Have I Been Pwned' milik Troy Hunt. Troy mengumpulkan kredensial yang terungkap dalam serangan yang berhasil ke dalam basis data yang dapat dicari. Ini sekarang berisi informasi lebih dari 11 miliar akun. Itu lebih dari satu akun per orang di planet ini! Kedua sumber daya ini sangat menarik perhatian, dan ada baiknya Anda memeriksa kredensial Anda dari waktu ke waktu.
Hanya ada sedikit imajinasi di antara kata sandi yang paling umum, dan itu akan menjadi kata sandi pertama yang dicoba oleh penyerang terhadap akun Anda.

2. Kredensial Tersemat

Kredensial yang disematkan (juga disebut 'kredensial yang dikodekan dengan keras') mengacu pada kredensial berbasis teks yang tidak terenkripsi yang disisipkan di dalam kode. Kredensial yang disematkan dapat berupa:

• Datang sebagai bawaan pabrik, seperti untuk perangkat IoT atau penggunaan pertama kali sebuah aplikasi
• Disematkan ke dalam kode oleh manusia, seperti dengan alat DevOps atau repositori data
• Disematkan dalam aplikasi dan digunakan untuk transmisi aplikasi-ke-aplikasi

Keberadaan kredensial yang disematkan menghadirkan beberapa risiko. Terkadang, kredensial disematkan selama pengembangan untuk memudahkan akses, kemudian dilupakan dan diterbitkan ke dalam produksi. Potongan kode dapat dibagikan di GitHub atau platform lain untuk kolaborasi, tetapi dengan kata sandi sensitif yang disematkan di dalamnya. Jika penyerang mendapatkan akses ke titik akhir atau sistem, mereka mungkin dapat memindai kata sandi teks biasa. Hal ini dapat memberi mereka akses ke aset sensitif melalui rahasia yang disematkan.
Kata sandi standar yang sudah dikodekan digunakan di banyak perangkat, aplikasi, dan sistem yang sama. Hal ini membantu menyederhanakan penyiapan dalam skala besar, tetapi berisiko memberikan potensi pembobolan dalam skala besar.
Banyak jenis kredensial yang disematkan (seperti yang ada di dalam IoT) sulit atau tidak mungkin dihapus atau diganti secara manual, dan biasanya membutuhkan pembaruan keamanan vendor untuk memulihkan atau menggunakan alat PAM khusus.

3. Kredensial Default

Kredensial default hanyalah preset dari pabrik. Mereka sering disematkan ke dalam perangkat dan aplikasi. Sering kali, kredensial default ini digunakan bersama di seluruh perangkat yang serupa. Default ini mungkin sudah diketahui oleh pelaku ancaman. Perangkat, sistem, dan akun dengan kredensial default rentan terhadap kamus, brute force, dan berbagai jenis serangan lainnya. Jika sebuah organisasi memiliki banyak titik akhir yang semuanya memiliki pengaturan awal yang sama dan tidak berubah, semua titik akhir tersebut dapat dengan mudah disusupi secara massal.
Dalam beberapa tahun terakhir, undang-undang telah disahkan untuk mengamanatkan penguatan keamanan yang lebih baik untuk perangkat IoT, termasuk memastikan bahwa kata sandi bersifat unik pada saat pengaturan ulang atau untuk konfigurasi awal. Meskipun praktik kata sandi ini dapat mengurangi serangan secara massal, kredensial default sering kali tersedia secara fisik di perangkat dalam bentuk teks yang jelas atau melalui kode QR. Hal ini menyiratkan bahwa keamanan fisik sama pentingnya dengan keamanan digital untuk kredensial default dan pengaturan ulang perangkat.

4. Pertanyaan Keamanan yang Digunakan Kembali

Pertanyaan keamanan adalah teknik yang terutama digunakan oleh lembaga keuangan dan pedagang untuk memverifikasi pengguna terhadap akun mereka dan memberikan kepercayaan identitas. Konsepnya adalah mengajukan pertanyaan kepada pengguna, menantang pengguna untuk merespons informasi pribadi dan pribadi yang hanya diketahui oleh pengguna.
Pertanyaan keamanan sering kali diperlukan saat Anda membuat akun baru. Ini adalah bentuk autentikasi dua faktor untuk digunakan jika kata sandi terlupa. Pengguna akhir mungkin akan menerima perintah untuk menjawab pertanyaan keamanan saat masuk dari lokasi baru. Mereka juga mungkin akan diminta ketika memilih "lupa kata sandi" atau ketika mengubah kata sandi.
Beberapa pertanyaan keamanan yang umum meliputi:

• Di rumah sakit mana Anda dilahirkan?
• Apa nama hewan peliharaan favorit Anda?
• Apa merek mobil pertama Anda?
• Apa makanan favorit Anda?
• Apa nama panggilan masa kecil Anda?
• Apa tim favorit Anda?

Namun, pertanyaan-pertanyaan keamanan ini sendiri memiliki risiko. Jawaban dari beberapa pertanyaan ini dapat dengan mudah ditemukan melalui catatan publik, atau media sosial. Semakin banyak tempat dan orang yang mengetahui jawaban pertanyaan keamanan pengguna, semakin besar kemungkinan pertanyaan tersebut dapat dijawab oleh orang lain. Ketika pertanyaan keamanan dan jawabannya dicuri dalam sebuah pelanggaran, pertanyaan tersebut dapat digunakan untuk membobol akun lain.
Ketika sebuah sumber meminta Anda untuk menggunakan pertanyaan keamanan, rekomendasi kami adalah menggunakan pertanyaan dan jawaban yang paling tidak jelas. Jangan pernah membagikan informasi serupa dengan situs lain yang menggunakan pertanyaan keamanan yang sama. Dan jika memungkinkan, gunakan persyaratan kerumitan dari kata sandi untuk memberikan jawaban pertanyaan keamanan. Sebagai contoh, jika Anda lahir di Orlando, berikan jawaban pertanyaan keamanan "Orl@nd0" dan perlakukan jawaban tersebut sebagai kata sandi juga.

5. Kurangnya Pengelola Kata Sandi Otomatis

Praktik kata sandi apa pun yang bergantung terutama atau sepenuhnya pada manusia untuk mengelola kredensial dan mempertahankan praktik terbaik memiliki risiko. Banyaknya kata sandi pribadi, apalagi kata sandi akun perusahaan, terlalu banyak untuk dikelola dan diingat oleh manusia biasa.
Mengandalkan manusia adalah jaminan bahwa kata sandi akan digunakan kembali, dan kata sandi kamus juga akan digunakan. Kata sandi akan disematkan dalam kode untuk memudahkan akses. Jalan pintas lain yang berisiko akan diambil-ini adalah sifat alamiah manusia.
Oleh karena itu, pertimbangkan metode yang aman untuk membuat, menyimpan, dan mengambil semua kata sandi.

Praktik Terbaik Keamanan Kata Sandi

1. Gunakan Pengelola Kata Sandi & Brankas - Bukan Manusia

Sedapat mungkin, andalkan pengelola kata sandi otomatis daripada pengelolaan kata sandi manual oleh manusia. Jangan menyimpan kata sandi dalam spreadsheet, dokumen kata, disematkan dalam kode, atau di atas kertas. Pengelola kata sandi dapat memastikan manajemen kata sandi dan praktik terbaik keamanan diterapkan secara konsisten. Alat-alat ini dapat menyuntikkan kredensial yang tersimpan secara otomatis untuk memulai sebuah sesi. Kredensial disamarkan dari pengguna, seperti vendor, untuk memberikan keamanan tambahan.

Pengelola Kata Sandi Pribadi dapat dimanfaatkan untuk kata sandi standar dan akses akun. Solusi Manajemen Kata Sandi Khusus (juga disebut sebagai Manajemen Kata Sandi Perusahaan atau Manajemen Akun dan Sesi Khusus) harus digunakan untuk kredensial khusus. Kredensial tersebut meliputi kata sandi, kunci SSH, dan rahasia DevOps untuk karyawan, vendor, manusia, aplikasi, dan mesin. Solusi perusahaan ini merupakan bagian dari platform manajemen akses istimewa (PAM), dan juga penting untuk memungkinkan postur keamanan tanpa kepercayaan. Semakin banyak, platform ini juga mengamankan kata sandi tenaga kerja umum yang digunakan untuk aplikasi. Hal ini mencerminkan garis yang kabur antara identitas yang tidak diistimewakan dan yang diistimewakan. Misalnya, akun cloud dapat memiliki banyak jenis izin dan hak, yang dapat memberikan pijakan utama bagi penyerang yang terampil untuk meningkatkan akses.
Solusi manajemen kata sandi perusahaan juga bisa mengotomatiskan alur kerja untuk mengurangi paparan. Ini termasuk secara otomatis merotasi kata sandi, jika ditentukan bahwa kredensial tersebut telah atau sedang berisiko dikompromikan.

2. Temukan dan Masukkan Semua Kata Sandi

Saat memberikan akses ke manusia, mesin, aplikasi, karyawan, atau vendor, semua kata sandi harus diketahui terlebih dahulu - baru kemudian dapat dimasukkan dan disimpan secara terpusat. Selain itu, semua aset yang menggunakan kata sandi terkelola harus diketahui dan didokumentasikan untuk mencegah akses yang tidak tepat.

3. Buat Kata Sandi yang Panjang, Acak, dan Unik

Kata sandi yang kuat dapat mencegah upaya pembobolan kata sandi. Kata sandi harus terdiri dari lebih dari delapan karakter dan terdiri dari huruf besar dan kecil, angka, dan simbol. Hindari penggunaan kata-kata kamus, nama, dan kata sandi lain yang mudah dibaca manusia. Panjang dan kekuatannya harus mencerminkan sensitivitas akun yang ingin dilindungi oleh kata sandi tersebut. Menurut Publikasi Khusus NIST 800-63, Panduan Identitas Digital, praktik terbaik adalah membuat kata sandi hingga 64 karakter, termasuk spasi.

4. Enkripsi kata sandi

Enkripsi menambahkan lapisan perlindungan untuk kata sandi, bahkan jika kata sandi tersebut dicuri oleh penjahat siber. Terapkan enkripsi ujung ke ujung yang tidak dapat dibalikkan ke semua jalur komunikasi jaringan. Dengan cara ini, Anda dapat melindungi kata sandi saat transit melalui jaringan. Cara yang paling umum untuk memastikan perlindungan ini bagi konsumen adalah dengan menyediakan enkripsi WiFi untuk akses nirkabel jaringan rumah Anda.

5. Gunakan Kata Sandi Unik, Tanpa Menggunakan Ulang

Praktik terbaik yang sederhana ini melindungi dari beragam strategi penggunaan ulang kata sandi dan alat peretas kata sandi. Jika tidak, jika satu akun dibobol, akun lain dengan kredensial yang sama dapat dengan mudah disusupi.

6. Menerapkan Praktik Terbaik Kedaluwarsa dan Rotasi Kata Sandi

Di sini praktik terbaiknya berbeda-beda, tergantung pada apakah kata sandi itu untuk penggunaan pribadi dan/atau akun standar atau untuk akses istimewa. NIST menyarankan untuk menghindari mengubah kata sandi pribadi, kecuali jika kompromi mereka dipertanyakan. Di sisi lain, kata sandi yang memiliki hak istimewa, harus diubah secara rutin (dirotasi). Akun-akun istimewa yang paling sensitif sebaiknya menggunakan kata sandi sekali pakai (OTP) atau rahasia dinamis, yang akan kedaluwarsa setelah digunakan.

7. Menerapkan Autentikasi Multi-Faktor

Untuk setiap akun, dan terutama untuk akun istimewa dan akses vendor/remote, autentikasi faktor tunggal (pasangan kata sandi/username) tidak cukup. Menambahkan faktor otentikasi tambahan secara substantif memperkuat perlindungan dan meningkatkan jaminan bahwa identitas yang mencoba memulai akses adalah orang yang mereka katakan.
Otentikasi multi-faktor (MFA), dengan menggabungkan faktor-faktor seperti titik akhir atau biometrik, aplikasi pengautentikasi, melindungi akun dari alat peretas kata sandi dan serangan tebak-tebakan dengan membutuhkan langkah ekstra untuk memberikan keyakinan identitas untuk otentikasi. Dengan demikian, beberapa bentuk MFA, seperti FIDO2, lebih kuat daripada yang lain, seperti yang telah ditunjukkan oleh pelanggaran dalam beberapa tahun terakhir, seperti melalui serangan kelelahan MFA.

8. Menghentikan Kata Sandi Ketika Karyawan atau Vendor Telah Keluar

Tidak jarang mantan karyawan mencoba untuk terus mengakses sistem organisasi. Selalu cabut akses dan ubah kata sandi saat seorang karyawan keluar untuk semua sistem yang mungkin telah digunakan bersama. Hal ini tidak hanya melindungi dari serangan yang dilakukan oleh karyawan tersebut, tetapi juga dari pelaku ancaman lain yang mungkin menemukan akun dan kredensial yang ditinggalkan karena kesalahan dalam proses bergabung, pindah, dan keluar.

Tentukan & Atasi Kata Sandi Anda yang Paling Berbahaya dan Risiko Berbasis Identitas

Keamanan identitas perusahaan didasarkan pada penerapan praktik terbaik keamanan kata sandi secara konsisten. Namun, dengan menggunakan pendekatan manajemen risiko, organisasi harus memprioritaskan identitas dengan dampak tertinggi terlebih dahulu. Dengan banyaknya penyimpanan identitas, sistem, dan aplikasi SaaS yang berbeda (yang memerlukan puluhan ribu bidang hak istimewa, hak akses, dan izin), hal ini bukanlah hal yang mudah.

Wawasan Keamanan Identitas BeyondTrust yang inovatif dibuat khusus untuk mengatasi tantangan keamanan identitas inti ini. Organisasi mungkin memiliki campuran dari Active Directory, Entra ID, Okta, PingOne, AWS, Azure, Google Cloud, dan aplikasi SaaS yang membentuk struktur identitas mereka. Dengan Identity Security Insights, Anda dapat melindunginya secara kohesif sebagai SATU Permukaan Serangan Identitas. Produk ini merupakan alasan utama BeyondTrust baru-baru ini dinobatkan sebagai pemimpin oleh KuppingerCole dalam disiplin baru Deteksi dan Respons Ancaman Identitas (ITDR).
Produk ini membantu memastikan keamanan kata sandi dan postur identitas yang tepat dengan deteksi kerentanan identitas yang komprehensif, seperti:

• Akun-akun yang tidak memiliki hak istimewa yang dapat mengambil hash kata sandi dari AD Domain Controller melalui serangan DCSync
• Akun dengan alamat email pribadi
• Izin, hak istimewa, dan hak yang berlebihan
• Akun istimewa yang tidak dikelola
• Akun istimewa yang tidak memiliki MFA
• Akun nonprivileged dengan jalur serangan ke Admin Domain untuk AD lokal
• Akun yang rentan terhadap Kerberoasting

Sumber: beyondtrust.com

Pada zaman yang sangat dinamis seperti sekarang ini, sangat mudah bagi seseorang untuk berbagi dan menggali data dan informasi melalui berbagai media digital yang telah tersedia. Cukup dengan mengetikkan pertanyaan atau dengan merekam suara, jawaban yang diharapkan sudah dapat langsung tersedia dalam waktu yang tidak lama. Kemudahan dalam mengakses data dan informasi ini tentu tidak hanya membawa dampak yang positif. Apabila diteliti secara mendalam, tentu kita perlu menyadari berbagai dampak negatif yang mengikuti, misalnya tersebarnya berita palsu atau berita hoax, pencurian dan perdagangan data pribadi, cyber bullying, data forgery, skimming, phising, web spoofing dan masih banyak lagi kejahatan cyber yang mengintai.

Pada tahun 2023 kita telah mendengar banyak kasus kebocoran data yang mengintai. Misalnya pada bulan Agustus 2023, muncul kabar kasus kebocoran data pada salah satu provider internet dimana sebanyak 26 juta data yang diduga milik pelanggannya berupa riwayat pencarian, keyword, dan user info seperti email, nama, jenis kelamin, hingga NIK dikabarkan bocor dan diperjualbelikan di BreachForums oleh hacker yang dikenal sebagai Bjorka. Bjorka juga dikabarkan telah meretas data-data instansi pemerintah di Indonesia. Data yang diretas tersebut tentu sangat confidential dan menimbulkan kekhawatiran bagi pemerintah dan masyarakat bila disalahgunakan. Kasus kebocoran data lain juga diduga terjadi pada aplikasi MyPertamina, Pedulilindungi, data pemilih di KPU hingga data Presiden Joko Widodo pun diancam akan dibocorkan oleh hacker Bjorka.

Banyaknya kasus kejahatan cyber yang muncul belakangan ini, seperti contoh kasus di atas, seharusnya sudah dapat menyadarkan kita semua bahwa penerapan sistem keamanan yang kuat adalah hal yang wajib dilakukan oleh semua orang, baik untuk kepentingan pribadi maupun untuk instansi. Berbagai kejahatan cyber yang muncul tersebut perlu diantisipasi dengan menerapkan keamanan yang kuat dari berbagai segi, yaitu people, process, maupun technology. Dari ketiga komponen tersebut, komponen yang dinilai paling lemah dari sistem jaringan komputer adalah people atau manusia karena manusia cenderung memiliki sifat ceroboh dan lalai.

Dalam dunia IT, dikenal istilah Zero Trust yang merupakan suatu model keamanan teknologi informasi yang memberikan konsep bahwa tidak ada suatu apapun yang dapat dipercaya aman atau tidak ada satu pun yang dapat memberikan keamanan dalam berinteraksi di dunia digital. Konsep Zero Trust ini sudah lama dikenal di kalangan IT dan kini semakin populer dengan perkembangan dunia IT yang semakin pesat. Dalam konsep Zero Trust, seseorang tidak boleh merasa aman saat mengakses teknologi informasi. Pengakses teknologi informasi perlu mewaspadai dengan seksama bahwa selalu terdapat celah yang dapat ditembus untuk melakukan kejahatan cyber.

Setiap orang dapat mengalami kejahatan cyber, termasuk juga Aparatur Sipil Negara (ASN). ASN tentu memiliki kode etik dan perilaku yang harus dijaga sehingga harus selalu menjaga sikap dan perilaku di manapun berada. Misalnya pada instansi Kementerian Keuangan, kode etik dan kode perilaku ASN Kemenkeu telah diatur melalui Peraturan Menteri Keuangan Nomor 190/PMK.01/2018 tentang Kode Etik dan Kode Perilaku Pegawai Negeri Sipil di Lingkungan Kementerian Keuangan yang di dalamnya menjelaskan butir-butir kode etik dan kode perilaku ASN Kemenkeu yang sesuai dengan Nilai-Nilai Kementerian Keuangan yaitu Integritas (16 butir), Profesionalisme (16 butir), Sinergi (10 butir), Pelayanan (6 butir) dan Kesempurnaan (6 butir). Hal ini juga sudah sejalan dengan Core Value ASN Ber-AKHLAK (Berorientasi Pelayanan, Akuntabel, Kompeten, Harmonis, Loyal, Adaptif dan Kolaboratif).

Salah satu butir dalam PMK 190/PMK.01/2018 pada nilai Profesionalisme yaitu “menjaga informasi dan data Kementerian Keuangan yang bersifat rahasia”. Hal ini berarti Kemenkeu telah menyadari pentingnya menjaga keamanan data dan informasi di internalnya. Kemenkeu sebagai Bendahara Umum Negara tentu memiliki data dan informasi yang confidential dan penyalahgunaan data dan informasi tersebut dapat berdampak secara materiil maupun immateriil. Apalagi akhir-akhir ini telah terjadi peningkatan tren ancaman keamanan informasi yang menyerang instansi pemerintahan. Tingginya nilai transaksi keuangan pada Kementerian Keuangan dan perkembangan teknologi yang semakin pesat dapat menjadi alasan serangan cyber.

Tentu kita mengenal betul ungkapan bahwa “Kejahatan terjadi bukan hanya karena ada niat pelakuya tapi juga karena ada kesempatan”. Hal itu berlaku pula pada kejahatan cyber. Fenomena peretasan atau hacking yang saat ini semakin sering terjadi memiliki berbagai alasan. Selain untuk mencari profit atau keuntungan pribadi, peretasan juga digunakan untuk kepentingan analisis data (data mining), persaingan antar perusahaan, dan masih banyak alasan lainnya. Untuk itu setiap organisasi perlu membangun dan memperkuat sistem keamanan salah satunya dengan meningkatkan Security Awareness dan Digital Literacy di lingkungan organisasi.

Misalnya pada instansi Kementerian Keuangan. Komitmen Kemenkeu untuk menjaga keamanan informasi telah berwujud dengan ditetapkannya Keputusan Menteri Keuangan Nomor 942/KMK.01/2019 tentang Pengelolaan Keamanan Informasi di Lingkungan Kementerian Keuangan yang dimaksudkan untuk menjamin ketersediaan (availability), keutuhan (integrity), dan kerahasiaan (confidentiality) aset Informasi Kementerian Keuangan. Pengelolaan keamanan informasi ini sudah menjadi kebutuhan bagi insan Kemenkeu dalam mengamankan data dan informasi karena proses bisnis di Kemenkeu telah bergantung dengan TIK sehingga jika terjadi gangguan terhadap TIK, maka kegiatan bisnis Kemenkeu akan terganggu dan reputasi Kemenkeu sebagai pengelola keuangan negara akan tercoreng karena dinilai lalai dalam melindungi data.

Kementerian Keuangan juga telah menyadari perlunya membangun kesadaran pegawainya untuk menjaga keamanan data dan informasi mengingat tingkat kesadaran pegawai atas keamanan teknologi informasi yang masih perlu ditingkatkan. Apalagi Kemenkeu telah membangun sistem kerja baru berbasis digital, yaitu Collaborative Way of Working, di mana pegawai diberikan keleluasaan untuk dapat bekerja dari mana saja dengan menggunakan media digital.

Edukasi terkait keamanan informasi kepada pegawai Kemenkeu selain dilakukan dengan sosialisasi secara luring juga dilakukan melalui media daring seperti E-Learning Information Security Awareness yang bersifat mandatory. E-Learning tersebut telah didesain untuk memberikan pemahaman terkait prinsip keamanan informasi, kebijakan dan sanksi dalam implementasi keamanan informasi, dan langkah-langkah yang dapat diambil dalam mengamankan informasi di unit kerja.

Pembelajaran tersebut menciptakan kewaspadaan bagi setiap pegawai untuk tidak memberikan akses yang dimilikinya kepada orang lain (Zero Trust) dengan menerangkan mengenai klasifikasi aset informasi dan kerahasiaan informasi, keamanan fisik dan komputer, pengelolaan kata sandi (password), penggunaan internet dan WIFI, perangkat lunak berlisensi, insiden keamanan informasi dan kewaspadaan terhadap Malware dan Phising. Pada unit-unit kerja juga dimuat poster-poster atau banner yang mengingatkan pegawai akan pentingnya menjaga sistem keamanan informasi.

Selain dukungan dari lingkungan internal, Kemenkeu juga senantiasa menghimbau Satuan Kerja yang menjadi mitra kerjanya untuk selalu menjaga keamanan dan kerahasiaan dalam mengakses aplikasi keuangan satker. Misalnya pada penerapan aplikasi Sistem Aplikasi Keuangan Tingkat Instansi (SAKTI) yang mengintegrasikan proses perencanaan dan penganggaran, pelaksanaan, serta pertanggungjawaban Anggaran Pendapatan dan Belanja Negara (APBN) pada satuan kerja Kementerian/Lembaga. Sebagai upaya untuk menjaga keamanan penggunaan aplikasi SAKTI di tengah meningkatnya ancaman dan gangguan pada sistem informasi, setiap pengguna aplikasi SAKTI dihimbau untuk selalu menjaga kerahasiaan username dan password karena kerahasiaan data tersebut menjadi tanggung jawab masing-masing penguna. Hal ini dilakukan untuk menghindari penyalahgunaan wewenang yang dapat berpotensi menimbulkan kerugian negara dan menjadi tanggung jawab pengguna di hadapan hukum.

Sumber: djpb.kemenkeu.go.id