Serangan siber dengan jenis password attack merupakan salah satu serangan yang sudah umum digunakan oleh penyerang untuk memperoleh akses dengan cara tidak sah baik itu untuk sistem computer, aplikasi ataupun akun pengguna. Sistem ini pada umumnya memiliki alur untuk menebak, memecahkan hingga mencuri kata sandi dengan berbagai teknik dan tools – tools lainnya. Serangan password ini memiliki ruang lingkup yang sangat luas, ari mencakup serangan terhadap akun – akun penting hingga ke individu – individu di masyarakat.
Ada beberapa jenis password attack yang umum dilakukan.
- Brute Force Attack merupakan salah satu jenis serangan yang paling sering digunakan, dilakukan dengan cara mencoba semua kemungkinan kombinasi password.
- Dictionary Attack merupakan jenis yang lebih cepar dari brute force dengan mencocokkan password dengan beberapa kata – kata yang tersimpan dalam dictionary.
- Key loggers merupakan program yang memantau aktivitas engan merekam setiap penekanan tombol yang dilakukan pengguna.
Kerentanan akibat serangan password biasanya berdasar pada beberapa teknis dalam konfigurasi atau struktur arsitektur keamanan. Berikut beberapa kerentanan dari arsitektur:
- Conventional Password Scheme, merupakan penggunaan username dan password saja dalam autentikasi, hal ini membuat autentikasi menjadi rentan terhadap hal seperti key loggers dan login spoofing.
- Algoritma hashing lemah, hashing merupakan cara untuk mengubah text menjadi bentuk lain yang biasanya tidak bisa lagi dibaca manusia. Penggunaan hashing lemah seperti MD5 memungkinkan penyerang memecahkan password dengan lebih mudah.
- Tidak menerapkan rate limiting, rate limiting sangat berguna untuk memberikan kesempatan terbatas untuk memasukkan password.
Dampak dari serangan jenis password attack ini juga cukup luas hingga multi – dimensi. Biasanya organisasi akan mengalami kerugian finansial karena pencurian data hingga downtime operasional yang disebabkan. Kerusakan reputasi organisasi karena hilangnya kepercayaan dari pelanggan maupun mitra. Hingga dalam konteks individual atau pribadi bisa menyebabkan risiko pencurian identitas, pelanggaran privasi dari personal terkait hingga juga secara finansial.
Melalui NIST dan beberapa dokumentasi standar internasional terkait keamanan password ada beberapa hal yang harus diperhatikan dalam pembuatan password. Password disarankan memiliki Panjang 12 – 16 karakter dengan minimum 8 karakter untuk akun biasa. Standar ISO untuk sistem manajemen keamanan informasi juga telah memberikan pembaruan secara terus menerus untuk standarisasi penggunaan password yang aman. Selain itu juga Sebagian besar dokumentasi juga menyarankan penggunaan MFA / Multi – factor authentication yaitu penggunaan authenticator tambahan selain username dan password. Menurut dokumentasi kompleksitas yang berlebihan dalam pembuatan password dapat membuat password justru menjadi lebih lemah dibandingkan dengan password yang lebih panjang
Strategi untuk mengamankan password agar lebih aman dapat dilakukan dengan menggunakan MFA dan juga menggunakan karakter yang lebih banyak secara sederhananya. Selain itu implementasi Panjang minimum, karakter yang beragam dan pelarangan penggunaan kata – kata umum sebagai password menjadi dasar untuk informasi umum pengguna. Selain itu untuk arsitektur sistem bisa memanfaatkan rate limiting, sehingga penyerang tidak bisa berkali – kali melakukan penyerangan terhadap akun terkait juga bisa menambahkan mekanisme penguncian otomatis dan juga log monitoring terkait akun tersebut.
Implementasi keamanan untuk password menjadi hal yang efektif untuk mengamankan akun pengguna. Namun implementasi tersebut memiliki tantangan yang pada umumnya sama. Kesulitan dalam pembuatan/mengingat password bagi pengguna menjadi masalah umum terjadi hingga menyebabkan penulisan ulang baru dari password akun pengguna. Selain itu jika ingin meningkatkan kenyamanan pengguna dengan membuat konfigurasi password yang lebih sederhana malah akan menyebabkan keamanan dari password tersebut menjadi berkurang
Keamanan password dalam masa sekarang masih menjadi tantangan yang sering dihadapi dari segi keamanannya. Brute force dan directory attack menjadi salah satu jenis serangan yang sering digunakan untuk mendapatkan akun pengguna. Jenis serangan tersebut sederhananya dapat diperlambat dengan standarisasi penggunaanrate limiting. Namun dalam masa sekarang keamanan password masih dalam masa penyesuaian untuk menggunakan standar yang sesuai dengan yang tertulis dalam dokumen – dokumen terstandar seperti ISO dan NIST. Pada masa depan keamanan password dari segi sistem mungkin akan juga melibatkan AI sebagai salah satu sistem yang bisa dimanfaatkan untuk keamanan yang lebih mendalam. Juga penggunaan MFA yang harus menjadi standarisasi yang dilakukan setiap penyedia akun merupakan layer – layer tambahan untuk proteksi keamanan sehingga akun dari pengguna dapat terjaga dan aman.
Sumber
Raza, M., Iqbal, M., Sharif, M., & Haider, W. (2012). "A Survey of Password Attacks and Comparative Analysis on Methods for Secure Authentication."
Subangan, S., & Senthooran, V. (2019). "Secure Authentication Mechanism for Resistance to Password Attacks."
ISO/IEC 27001
National Institute of Standards and Technology (NIST) - Digital Identity Guidelines SP 800-63B
National Institute of Standards and Technology (NIST) - Digital Identity Guidelines SP 800-63B