Dictionary Attack

Dictionary Attack

Memahami apa itu Dictionary Attack

Dictionary attack merupakan salah satu teknik penyerangan yang umum digunakan dalam hacking / pentesting, serangan ini menggunakan sebuah kumpulan password (wordlist) yang umum digunakan ataupun password yang sudah bocor di Internet (seperti rockyou.txt, ignis dsb) tentunya.

Perbedaan serangan bruteforce dan dictionary attack ini adalah penggunaan wordlist / kumpulan password, pada serangan bruteforce attack umumnya akan menebak seluruh kombinasi karakter yang ada dan tentunya lebih banyak memakan waktu lama, serangan dictionary attack sendiri juga membutuhkan cukup waktu tergantung dengan kompleksitas password yang digunakan oleh user, bagus / tidaknya wordlist yang digunakan serta response time server.

Dictionary attack umumnya menyerang password-protected access seperti pada fitur login aplikasi web, login dengan menggunakan protokol ssh ataupun mencoba melakukan crack terhadap hash yang didapatkan sebelumnya.

Menjadi Aman

agar terhindar dari resiko serangan ini, kita dapat menerapkan beberapa hal berikut sehingga akun / akses yang dimiliki tetap aman

1. Strong Password

Tambahkan kombinasi angka, huruf kapital dan karakter special agar password tidak mudah ditebak tentunya dengan tidak berulang atau secara urut seperti 123, !@#, ASD serta pastikan password yang dibuat memiliki minimal 14 karakter

2. Never use the same Password Again

Jangan gunakan password yang sama lagi karena terdapat serangan lain yaitu Credential Stuffing secara simplenya menggunakan informasi username dan password yang telah bocor di internet dan mencobanya pada platform lain

3. Use Password Manager

Manusia cukup mudah ditebak, susah membuat sesuatu yang random dan mudah diingat maka dari itu gunakan password manager saja, tentunya harus menggunakan password manager yang terpecaya atau self-host aja

4. Use Multi Factor Authentication

Jika aplikasi yang kita gunakan terdapat fitur MFA lebih baik digunakan saja sehingga ketika password kita bocor maka penyerang masih perlu memasukan faktor lain tersebut sebelum dapat mengakses akun kita

As Developers

Sebagai seorang pengembang aplikasi, kita juga dapat menerapkan hal-hal berikut agar user dan aplikasi yang dikembangkan tetap aman dari percobaan serangan ini.

1. Force User to Use Strong Password Policy

Pastikan pada saat user pertama kali melakukan pendaftaran / login pada waktu pertama, paksa user untuk mengganti / menggunakan password dengan policy yang kuat seperti minimal 14 karakter dengan minimal 1 huruf kecil, 1 huruf besar, 1 angka dan 1 karakter spesial

2. Blocking Mechanism

Kita juga bisa menerapkan blocking mechanism untuk melakukan blockir / disable account secara sementara ketika terdapat percobaan masuk dengan volume yang cukup besar seperti salah 3 x maka user akan dinonaktifkan / ip akan di block adapun yang menggunakan rate limit pada fitur login sehingga percobaan serangan ini akan dapat ditangkal sementara

Conclusion

Dictionary attack masih menjadi ancaman terhadap serangan terhadap akses / kredentials kita maka dari itu kita perlu membuat password yang unik, kuat dan tidak digunakan secara berulang serta menerapkan multi factor authentication, ingat password masih menjadi satu-satunya metode authentikasi yang paling umum digunakan maka jika password kita lemah akan berujung pada hilangnya / disalahgunakannya akses kita

Download Wordlist Password Indonesia

Password: tcsT4XtyywiB8EkFLEKkqg
Download: LINK