Skip to main content

Brute Force Attack (Login)

  • Penjelasan Singkat: Penyerang mencoba menebak password user dengan mencoba kombinasi kata sandi secara berulang-ulang dalam waktu singkat.

Mode Pada Project ini

  • Mode Vuln (Rentang): Sistem membiarkan user mencoba login ratusan kali tanpa henti.
  • Mode Fix (Aman): Sistem menerapkan Rate Limiting.
    • Mitigasi: Jika salah password 3 kali, IP user akan diblokir sementara selama 5 menit.

🧠 Penjelasan Lengkap

Bayangkan Anda mencoba membuka brankas dengan nomor kombinasi. Jika tidak ada batasan percobaan, Anda bisa mencoba semua kombinasi angka (0000, 0001, 0002, ...) sampai ketemu yang benar. Brute force attack adalah teknik peretasan di mana penyerang melakukan hal serupa pada halaman login:

  • Menebak password secara otomatis menggunakan ribuan kombinasi kata sandi
  • Menggunakan software khusus untuk mencoba ratusan/ribuan percobaan dalam hitungan detik
  • Bertujuan mendapatkan akses ilegal ke akun pengguna

🔍 Kategori Keamanan (OWASP)

Termasuk dalam:
OWASP Top 10 2021
Kategori: A07:2021 - Identification and Authentication Failures
(Dulunya disebut "Broken Authentication" di OWASP 2017)

Apa itu OWASP?
Organisasi nirlaba yang menyediakan standar keamanan aplikasi web. "OWASP Top 10" adalah daftar 10 risiko keamanan paling kritis di aplikasi web.

🌍 Di Mana Biasa Terjadi?

Serangan ini umum terjadi di:

  1. Halaman login website/aplikasi (contoh: login admin, akun pelanggan)
  2. API endpoint yang memiliki mekanisme autentikasi
  3. Sistem remote access (SSH, RDP) tanpa proteksi
  4. Aplikasi mobile dengan endpoint login yang rentan

💥 Mengapa Sangat Berbahaya?

  1. Akun Diretas: Penyerang bisa mengakses data pribadi, riwayat transaksi, atau informasi sensitif
  2. Pencurian Identitas: Akun yang diretas bisa digunakan untuk penipuan atau kejahatan lain
  3. Kebocoran Data Massal: Jika akun admin diretas, seluruh database bisa dicuri
  4. Kerugian Finansial: Contoh: akun e-commerce diretas → saldo dompet digital dikuras
  5. Reputasi Rusak: Pengguna kehilangan kepercayaan pada aplikasi Anda

🛡️ Cara Mencegah (Best Practices)

Selain rate limiting, tambahkan lapisan keamanan:

  1. Multi-Factor Authentication (MFA)
    • Wajibkan verifikasi kedua (SMS, email, atau authenticator app)
  2. CAPTCHA
    • Tampilkan verifikasi "Saya bukan robot" setelah 2x gagal login
  3. Pantau Aktivitas Mencurigakan
    • Kirim notifikasi ke pengguna jika ada percobaan login gagal dari lokasi tidak biasa
  4. Blokir Pola Serangan
    • Gunakan tools seperti Fail2Ban (untuk server) atau Cloudflare Rate Limiting