Apa itu Credential Stuffing – Bagaimana Peretas Mencoba Tidak Sah Logins

By Nick Anderson Tidak ada komentar 5 menit

Kredensial online Anda adalah informasi terpenting yang memungkinkan Anda mengakses berbagai layanan. Kredensial memverifikasi kepemilikan. Ini adalah kunci Anda ke platform online tempat Anda mendaftar. Karena sangat sensitif, informasi ini berharga bagi peretas. Pelajari cara peretas menggunakan Credential Stuffing untuk mendapatkan akses ke akun Anda dan cara mencegahnya.

Isian Kredensial

Dapatkan FastestVPN

Isian Kredensial Dijelaskan

Peretasan adalah praktik mendapatkan akses tidak sah ke suatu sistem untuk melakukan tindakan yang bersifat jahat. Anda pasti pernah mendengar tentang pelanggaran dalam layanan yang menjadi berita utama di ruang teknologi sekarang dan nanti. Tidak jarang melihat laporan tentang pencurian jutaan akun bukanlah hal yang aneh. Tujuan utama menyerang layanan adalah untuk mengekstrak database yang berisi login informasi para pengguna.
Bahkan upaya yang digagalkan dapat mengambil setidaknya beberapa data. Biasanya, ketika sebuah layanan terpengaruh oleh pelanggaran, itu meluncurkan siaran pers yang memberi tahu publik tentang insiden tersebut. Itu juga mengirim email kepada pengguna terdaftar untuk segera mengubah kredensial mereka karena pelanggaran semacam itu mengambil setidaknya sebagian dari database sebelum terdeteksi, dan pertahanan keamanan mengusir mereka.
Tetapi mengatur ulang kata sandi akun tertentu itu seharusnya bukan satu-satunya hal yang Anda lakukan.
Setelah serangan dunia maya mencuri kredensial pengguna, mereka akan dijual kepada siapa pun yang bersedia membayarnya, di Web Gelap. The Dark Web adalah tempat terjadinya segala macam aktivitas ilegal. Anda dapat mempelajari tentang The Dark web di kami blog. Perut internet ini adalah tempat data yang dicuri dijual.
Seperti yang kami sebutkan, mengatur ulang kata sandi dari satu akun itu tidak akan sepenuhnya melindungi Anda dari akses resmi. Pengguna cenderung menggunakan satu kata sandi di beberapa layanan. Di sinilah Credential Stuffing masuk untuk meretas jalannya ke akun lain.
Setelah seorang peretas mendapatkan kredensial, itu akan menjalankan percobaan coba-coba pada layanan lain untuk melihat apakah kata sandinya cocok. Tentu saja, memasukkan daftar pengguna dan kredensial mereka secara manual di berbagai situs web lain akan memakan banyak waktu, sehingga peretas mendelegasikan pekerjaan ini ke bot.

Situs web menempatkan CAPTCHA (Turing Publik Sepenuhnya Otomatis) selama login untuk mencegah massa login upaya.
Tetapi bahkan dengan batasan seperti batas waktu dan larangan IP, Credential Stuffing bisa berhasil. Alat yang melewati batasan ini melompat login upaya antara beberapa alamat IP. Jadi para peretas dapat terus mencoba kata sandi tanpa terkunci.

Bahaya sebenarnya adalah ketika informasi kartu kredit bocor secara online, bukan hanya kredensial platform media sosial.
Salah satu contoh serangan siber adalah Yahoo. Perusahaan jasa internet mengungkapkan bahwa pelanggaran pada tahun 2013 membahayakan informasi 3 miliar pengguna, menjadikannya pelanggaran data terbesar dalam sejarah.

Isian Kredensial Bukan Kekuatan Brute

Credential Stuffing mungkin terlihat seperti teknik Brute Force, tapi itu tidak benar. Brute Force adalah teknik yang menerapkan kata sandi yang dibuat secara acak ke akun hingga menemukan kombinasi yang tepat. Perbedaan dari Credential Stuffing di sini adalah berurusan dengan yang tidak diketahui – tidak ada indikasi atau informasi tentang kredensial akun. Brute Forcing jauh lebih memakan waktu dan membutuhkan lebih banyak sumber daya komputasi. Kemampuan komputasi secara langsung memengaruhi efisiensi Brute Forcing.
Credential Stuffing cukup mengambil kredensial yang diketahui dan mulai menerapkannya ke layanan lain. Ini seperti memiliki kunci dan berharap ada gembok lain yang menerimanya.

Bagaimana Mempertahankan Melawan Credential Stuffing

Tidak banyak yang dapat Anda lakukan setelah layanan dilanggar. Ini sepenuhnya tergantung pada kemampuan layanan untuk menjaga keamanan data Anda.
Ingatlah bahwa membuat kata sandi yang kuat hanya mengamankan Anda dari Brute Force. Kata sandi yang menyertakan huruf besar dan kecil, karakter khusus, dan angka, membuat kombinasi yang kuat.
Namun, satu hal yang dapat Anda lakukan – dan harus dilakukan – adalah menyimpan kata sandi yang berbeda di semua akun Anda. Sulit untuk mengingat banyak kata sandi yang memiliki kombinasi unik, jadi menggunakan pengelola kata sandi akan berguna. Jika pengelola kata sandi menawarkan ekstensi browser web, maka secara otomatis akan mengisi kredensial untuk Anda di login.
Selain kata sandi yang kuat dan unik, aktifkan autentikasi dua faktor (2FA). Fiturnya adalah pertahanan yang kuat terhadap yang tidak sah logins dan menambahkan lapisan verifikasi kedua. Meskipun mengharuskan Anda untuk memiliki nomor aktif setiap saat, manfaatnya jauh lebih besar daripada kerumitannya. Setelah autentikasi dua faktor pertama, Anda dapat memilih untuk mengizinkan masa depan logins dari perangkat yang sama atau pertahankan 2FA untuk masing-masing login.
Beberapa layanan akan memberi tahu Anda jika ada a login coba dari perangkat yang tidak dikenal.
Tapi pelanggaran keamanan bukan satu-satunya cara peretas mendapatkan akses ke kredensial. Keamanan yang lemah melalui internet dapat memungkinkan peretas mencegat paket data. Contoh yang menonjol adalah bagaimana hotspot Wi-Fi publik dapat digunakan untuk melakukan a Manusia di Tengah menyerang. Jaringan tidak aman atau koneksi tidak aman antara situs web dan pengguna berpotensi memberi peluang bagi peretas.
Sebagian besar situs web saat ini menggunakan HTTPS untuk mengamankan komunikasi internet dengan enkripsi. Namun, VPN membuat setiap lalu lintas keluar dienkripsi, termasuk untuk situs web yang hanya menggunakan HTTP. FastestVPNEnkripsi tingkat militer akan memastikan keamanan saat menjelajah melalui jaringan yang tidak aman saat bepergian.

Kesimpulan

Dengan semua yang dikatakan, prospeknya tidak sesulit kedengarannya. Diperkirakan kurang dari 0.5% upaya Credential Stuffing berhasil. Tapi itu seharusnya tidak menghalangi Anda untuk mengambil tindakan pencegahan. Jangan pernah menggunakan kata sandi di lebih dari satu situs web; itulah aturan yang harus Anda ikuti.

Kendalikan Privasi Anda Hari Ini! Buka blokir situs web, akses platform streaming, dan lewati pemantauan ISP.

Dapatkan FastestVPN
Berlangganan Newsletter
Terima posting tren minggu ini dan pengumuman terbaru dari FastestVPN melalui buletin email kami.
icon
0 0 orang
Peringkat Artikel

Kamu boleh Juga Suka

Apa itu Catfishing dan Bagaimana Anda Menemukannya? Apa itu Catfishing dan Bagaimana Anda Menemukannya?
Apa itu Inspeksi Paket Mendalam dan Apa Tantangan Keamanannya Apa itu Inspeksi Paket Mendalam dan Apa Tantangan Keamanannya
Apa itu UPnP – Bagaimana Itu Membuat Anda Rentan Apa itu UPnP – Bagaimana Itu Membuat Anda Rentan
Berlangganan
Beritahu
tamu
0 komentar
Masukan Inline
Lihat semua komentar