Apa itu Serangan Brute-Force?
Serangan brute-force adalah metode kriptanalisis yang berupaya menentukan password, kunci enkripsi, atau rahasia lain dengan secara sistematis mencoba setiap kombinasi yang mungkin hingga nilai yang benar ditemukan.
Juga dikenal sebagai: brute force, password cracking, exhaustive search
Serangan brute-force adalah bentuk serangan paling sederhana terhadap rahasia apa pun: coba semua kemungkinan. Terhadap PIN 4 digit, ada 10.000 kombinasi — sepele bagi komputer. Terhadap password 8 karakter huruf kecil, ada sekitar 209 miliar kombinasi — dapat dilakukan dengan perangkat keras modern. Terhadap kunci enkripsi 256-bit, ada 2^256 kemungkinan — tidak mungkin secara komputasi dengan teknologi apa pun yang dapat ada berdasarkan hukum fisika yang diketahui.
Dalam praktiknya, penyerang jarang melakukan serangan brute-force murni terhadap password. Sebaliknya, mereka menggunakan varian yang dioptimalkan: serangan kamus (mencoba password dan kata-kata umum), serangan berbasis aturan (menerapkan transformasi umum seperti menambahkan angka atau substitusi karakter), credential stuffing (menggunakan password yang bocor dari pelanggaran lain), dan serangan rainbow table (menggunakan pencarian hash yang sudah dihitung sebelumnya). Teknik-teknik ini mengeksploitasi prediktabilitas password yang dipilih manusia untuk secara dramatis mempersempit ruang pencarian.
Pertahanan terhadap serangan brute-force beroperasi pada beberapa tingkatan. Password yang kuat dan kunci enkripsi yang panjang membuat pencarian menyeluruh menjadi tidak praktis. Rate limiting membatasi jumlah percobaan per periode waktu. Kebijakan penguncian akun memblokir akses setelah kegagalan berulang. Fungsi penurunan kunci seperti PBKDF2 dan bcrypt membuat setiap tebakan mahal secara komputasi. Salting mencegah serangan pencarian yang sudah dihitung sebelumnya. Bersama-sama, pertahanan ini meningkatkan biaya serangan brute-force melampaui ambang batas praktis apa pun.
Cara Vaulted menggunakan Serangan Brute-Force
Vaulted bertahan terhadap serangan brute-force di beberapa lapisan. Kunci enkripsi AES-256-GCM adalah nilai acak 256-bit, membuat dekripsi brute-force tidak mungkin secara komputasi. Untuk rahasia yang dilindungi passphrase, PBKDF2 dengan 100.000 iterasi membuat setiap tebakan passphrase menjadi mahal. Rate limiting sisi server (10 pembuatan per menit, 30 tampilan per menit per IP) mencegah percobaan otomatis cepat terhadap API. Dan batas tampilan memastikan sebuah rahasia dihapus secara permanen setelah sejumlah kecil akses, menutup jendela untuk tebakan berulang.