Apa Itu Brute Force Attack?

Secara sederhana, menebak password dengan mencoba semua kombinasi karakter yang mungkin. Brute force attack digunakan untuk menjebol akses ke suatu host (server/workstation/network) atau kepada data yang terenkripsi. Metode ini dipakai para cracker untuk mendapatkan account secara tidak sah, dan sangat berguna untuk memecahkan enkripsi. Enkripsi macam apapun, seperti Blowfish, AES, DES, Triple DES dsb secara teoritis dapat dipecahkan dengan brute-force attack. Pemakaian password sembarangan, memakai password yang cuma sepanjang 3 karakter, menggunakan kata kunci yang mudah ditebak, menggunakan password yang sama, menggunakan nama, memakai nomor telepon, sudah pasti sangat tidak aman. Maka dari itu, saya igin memberitahukan sedikit masalah mengenai bahaya teknik brute force pada anda.

Berapa lama prosesnya?

Dengan menggunakan metode ini, password pasti akan diperoleh. Masalahnya, berapa lama waktu yang diperlukan seorang cracker untuk memperoleh password dengan beraneka kombinasi? Saya ingin memberikan sedikit gambaran tentang beberapa hasil bechmark untuk tiap kombinasi brute force attack. Berikut hasil diperoleh dari penggunaan software Password Calculator, yang mampu mencocokkan 500.000 kata per detik.

Tabel 1, mencocokkan password <=4 karakter

Tabel 2, mencocokkan password 5 karakter

Tabel 3, mencocokkan password 6 karakter

Tabel 4, mencocokkan password 7 karakter

Tabel 5, mencocokkan password 8 karakter

Tabel 6, mencocokkan password 9 karakter

Password dengan variasi kombinasi, ditambah panjang karakter yang =>9, akan membuat password anda kuat. Sangat sulit dibobol apalagi jika anda menambahkan karakter khusus ASCII ke dalam password and seperti ♥♦♣♠. Anda bisa melihat sendiri betapa mudahnya password dengan jumlah karakter dibawah untuk dibobol. Apalagi yang hanya lowercase dan uppercase saja. Dari tabel di atas, sebaiknya anda membuat password dengan panjang key =>9, dan usahakan memakai variasi karakter seperti spasi dan ASCII. Jangan pernah biarkan password anda cuma <4 karakter, apalagi tidak dipassword sama sekali. Sekian, semoga bermanfaat.

Referensi:

Saiful Huda, Sofyan Azhar R, Indra MMS – Analisis Penerapan Strategi Brute Force Pada Kasus Brute Force Attack

Seringkah anda mengarsipkan file yang beratakan di harddisk anda? Untuk merapikannya atau sekedar mengecilkan ukuran file? Tentu anda yang fanatik security akan sering memberinya password, terutama pada arsip ZIP yang penting/rahasia. Sayangnya manusia tak pernah luput dari kesalahan, lupa adalah hal yang lumrah. Banyak juga ditemukan file arsip yang didownload dari internet, terpassword. Anda tidak tahu passwordnya. Bagaimanakah menjebol password dari arsip ZIP yang terproteksi? Salah satu metodenya adalah brute force cracking, dan software yang mampu melakukannya adalah FDRLab Zip Password Tools.

Software yang berukuran hanya 710 KB (installer) ini mampu melakukan cracking password dengan metode brute-force maupun dictionary attack. Brute-force attack adalah metode penjebolan password/enkripsi dengan mencoba SEMUA kombinasi key/charset yang mungkin. Password adalah kombinasi dari berbagai macam character, jadi untuk menjebolnya coba saja semua kombinasi satu per satu. Sedangkan dictionary attack merupakan metode yang mirip, namun bedanya adalah menggunakan kamus sebagai ganti charset. Anda bisa memaklumi kan, karena biasanya orang membuat password berdasarkan kata yang ada di kamus. Seperti victim, strife, betrayal, vandalism, dll. Dapatkan kamusnya ZPT dari daftar kamus. Sayangnya ZPT ini merupakan software demo, jadi anda harus membayar lisensi untuk bisa menggunakan fitur penuhnya. Dalam versi demo ini, kemampuan ZPT dibatasi hanya mampu melakukan brute-force untuk password max. 4 karakter saja. Juga dictiaonary attack mode tidak bisa dijalankan. Mohon maaf karena saya belum menemukan software lain yang lisensinya free, jadi untuk latihan mari coba software ini dulu. Download Zip Password Tool dari Download.

Berikut fitur ZPT yang sebaiknya anda ketahui:

Requirement ZPT tidak rumit, hanya memerlukan Windows 98, Me, NT 4, 200, 2003, XP atau Vista.

Untuk latihan cracking password ZIP ini, silakan buat dahulu sebuah file zip dengan tool archiving seperti IZArc atau lainnya. Enkriplah dengan metode AES (terserah yang mana), namun jangan sampai passwordnya lebih dari 4 karakter. Saya di sini memakai password “abc” lowercase dan latin/huruf semua tanpa angka atau spasi. Ini langkah crackingnya:

1. Bukalah ZPT
2. Masukkan path dari file terenkrip yang anda simpan
3. Kemudian karena saya menggunakan password lowercase latin, maka pilihlah di bagian Charset->Small latin (a-z). jika sekiranya password anda mengandung angka, uppercase, simbol ASCII khusus, atau spasi, maka sesuaikanlah. semakin banyak dan bervariasi password maka proses recovery akan semakin lama.
4. Tentukan panjang min-max karakter password anda. karena saya hanya menggunakan password “abc” maka saya isi max=4. sesuaikan, dan bisa anda membeli software ini akan menikmati fitur lengkapnya Kotak start from biaran saja kosong.
5. Klik tombol start dan prose recovery akan berlangsung. Beberapa detik kemudian sebuah popup akan muncul dan memberitahukan password untuk file ini adalah “abc”. Selamanda telah berhasil menjebol file yang anda enkrip sendiri.

Cukup mudah untuk membobol password zip dengan key latin lowercase <5 karakter. Masalah baru muncul jika anda memakai kombinasi lowercase, uppercase, spasi, dan karakter khusus ASCII. Di atas 5 karakter, sudah mulai susah dijebol. Makanya, jangan perusahaan seperti Google atau Yahoo menyuruh pelanggannya membuat password minimal 8. Tujuannya agar tidak mudah dijebol menggunakan teknik brute-force. Nah, kini anda sudah memiliki software yang cukup bagus untuk mengerti bagaimana jalannya teknik brute force. Sampai jumpa di tulisan selanjutnya, cracking password RAR!