Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Credential Stuffing atau Pengisian Kredensial
  • Teknologi

Credential Stuffing atau Pengisian Kredensial

4 min read
Credential Stuffing atau Pengisian Kredensial

image credit: Pixabay.com

Credential stuffing atau pengisian kredensial adalah metode serangan siber yang dilakukan oleh penyerang dengan menggunakan daftar kredensial pengguna yang disusupi untuk membobol sistem.

Serangan ini menggunakan bot untuk otomatisasi dan skalabilitas, serta didasarkan pada asumsi bahwa banyak pengguna menggunakan kembali nama pengguna dan kata sandi di beberapa layanan. Statistik menunjukkan bahwa sekitar 0,1% kredensial yang dibobol pada layanan lain akan menghasilkan login yang berhasil.

Pengisian credential stuffing merupakan vektor ancaman yang meningkat karena dua alasan utama:

  • Ketersediaan basis data kredensial yang sangat besar, misalnya, “Koleksi #1-5” yang membuat 22 miliar kombinasi nama pengguna dan kata sandi tersedia secara terbuka dalam bentuk teks biasa bagi komunitas peretas.
  • Bot yang lebih canggih yang secara bersamaan mencoba beberapa login, dan tampaknya berasal dari alamat IP yang berbeda. Bot ini sering kali dapat menghindari langkah-langkah keamanan sederhana seperti memblokir alamat IP dengan terlalu banyak login yang gagal.

Baca juga: Serangan Phising Kredensial

Credential Stuffing Vs Serangan Brute Force

Perlu diketahui bahwa credential stuffing mirip dengan serangan brute force, tetapi ada beberapa perbedaan penting:

  • Bahwa serangan brute force mencoba menebak kredensial tanpa konteks, menggunakan string acak, pola kata sandi yang umum digunakan, atau kamus frasa umum
  • Serangan brute force berhasil jika pengguna memilih kata sandi yang sederhana dan dapat ditebak
  • Pada serangan brute force tidak memiliki konteks dan data dari pelanggaran sebelumnya, sehingga tingkat keberhasilan loginnya jauh lebih rendah

Dalam aplikasi web modern dengan langkah-langkah keamanan dasar, serangan brute force cenderung gagal, sementara serangan credential stuffing dapat berhasil. Alasannya adalah meskipun Anda menerapkan kata sandi yang kuat, pengguna dapat berbagi kata sandi tersebut di seluruh layanan, yang mengarah pada kompromi.

Cara Kerja Credential Stuffing atau Pengisian Kredensial

Berikut adalah proses umum yang diikuti oleh penyerang dalam serangan credential stuffing skala besar. Penyerang:

Menyiapkan bot yang dapat secara otomatis login ke beberapa akun pengguna secara paralel, sambil memalsukan alamat IP yang berbeda. Menjalankan proses otomatis untuk memeriksa apakah kredensial yang dicuri berfungsi di banyak situs web. Dengan menjalankan proses secara paralel di beberapa situs, mengurangi kebutuhan untuk berulang kali masuk ke satu layanan.

Memantau login yang berhasil dan memperoleh informasi identitas pribadi, kartu kredit, atau data berharga lainnya dari akun yang disusupi.

Menyimpan informasi akun untuk penggunaan di masa mendatang, misalnya, serangan phishing atau transaksi lain yang dimungkinkan oleh layanan yang disusupi.

Pencegahan Pengisian Kredensial

Langkah-langkah berikut dapat membantu Anda melindungi situs web Anda dari serangan pengisian kredensial.

Baca juga: Akses Kredensial

Autentikasi Multifaktor (MFA)

Meminta pengguna untuk mengautentikasi dengan sesuatu yang mereka miliki, selain sesuatu yang mereka ketahui, merupakan pertahanan terbaik terhadap penjejalan kredensial.

Bot penyerang tidak akan dapat menyediakan metode autentikasi fisik, seperti ponsel atau token akses. Dalam banyak kasus, tidak memungkinkan untuk meminta autentikasi multifaktor untuk seluruh basis pengguna.

Jika demikian, hal tersebut dapat dikombinasikan dengan teknik lain, misalnya, MFA hanya dapat diterapkan dalam kombinasi dengan sidik jari perangkat.

Gunakan CAPTCHA

CAPTCHA, yang mengharuskan pengguna untuk melakukan tindakan guna membuktikan bahwa mereka manusia, dapat mengurangi efektivitas credential stuffing.

Namun, peretas dapat dengan mudah melewati CAPTCHA dengan menggunakan browser tanpa kepala. Seperti MFA, CAPTCHA dapat dikombinasikan dengan metode lain dan diterapkan hanya dalam skenario tertentu.

Sidik Jari PerangkatAnda dapat menggunakan JavaScript untuk mengumpulkan informasi tentang perangkat pengguna dan membuat “sidik jari” untuk setiap sesi yang masuk.

Sidik jari adalah kombinasi parameter seperti sistem operasi, bahasa, browser, zona waktu, agen pengguna, dll. Jika kombinasi parameter yang sama dicatat beberapa kali secara berurutan, kemungkinan besar itu adalah serangan brute force atau credential stuffing.

Jika Anda menggunakan sidik jari ketat dengan beberapa parameter, Anda dapat menerapkan tindakan yang lebih berat, seperti memblokir IP.

Untuk menangkap lebih banyak serangan, Anda dapat menggunakan kombinasi 2-3 parameter umum, dan menerapkan tindakan yang tidak terlalu berat seperti pemblokiran sementara. Kombinasi sidik jari yang umum adalah Sistem Operasi + Geolokasi + Bahasa.

Daftar Hitam IP

Penyerang biasanya memiliki kumpulan alamat IP yang terbatas, jadi pertahanan efektif lainnya adalah memblokir atau mengunci IP yang mencoba masuk ke beberapa akun.

Anda dapat memantau beberapa IP terakhir yang digunakan untuk masuk ke akun tertentu dan membandingkannya dengan IP yang diduga buruk, untuk mengurangi positif palsu.

Baca juga: Verifikasi Kredensial

Rate-Limit Non-Residential Traffic Sources

Sangat mudah untuk mengidentifikasi lalu lintas yang berasal dari Amazon Web Services atau pusat data komersial lainnya. Lalu lintas ini hampir pasti merupakan lalu lintas bot dan harus ditangani dengan lebih hati-hati daripada lalu lintas pengguna biasa. Terapkan batas kecepatan yang ketat dan blokir atau larang IP dengan perilaku yang mencurigakan.

Blokir Browser Headless

Peramban tanpa kepala seperti PhantomJS dapat dengan mudah diidentifikasi melalui panggilan JavaScript yang digunakannya. Blokir akses ke peramban tanpa kepala karena mereka bukan pengguna yang sah, dan hampir pasti menunjukkan perilaku yang mencurigakan.

Larang Alamat Email sebagai ID Pengguna

Credential stuffing bergantung pada penggunaan kembali nama pengguna atau ID akun yang sama di seluruh layanan. Hal ini lebih mungkin terjadi jika ID tersebut adalah alamat email.

Dengan mencegah pengguna menggunakan alamat email mereka sebagai ID akun, Anda secara drastis mengurangi kemungkinan mereka menggunakan kembali pasangan pengguna/kata sandi yang sama di situs lain.

 

 

Baca lainnya:

  • Penyalahgunaan Kredensial
  • Mencegah Penyalahgunaan Kredensial Khusus
  • Trojan Pencuri Kredensial PayPal Bersembunyi dalam Aplikasi
  • Curi Kredensial CC Betaling Meniru Google Chrome
  • Flashlight Incar Kredensial Perbankan Pemilik Android
  • Aplikasi Pencuri Kredensial Instagram
  • Jenis Kredensial Bocor
  • Kredensial Curian Komoditas Utama Dunia Siber

 

 

Sumber berita:

 

WeLiveSecurity

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik cara kerja credential stuffing cara kerja pengisian kredensial credential stuffing definisi credential stufing definisi pengisian kredensial pencegahan pengisian kredensial pengisian kredensial

Continue Reading

Previous: Cara Mengetahui Aplikasi Palsu
Next: Quishing Mobil Listrik

Related Stories

Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Panduan untuk Keluarga di Era Digital Panduan untuk Keluarga di Era Digital
3 min read
  • Edukasi
  • Sektor Personal
  • Teknologi

Panduan untuk Keluarga di Era Digital

July 4, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025

Recent Posts

  • Modus Baru Penipuan Ancaman Callback Phising
  • Bertahan dari Serangan Siber
  • Ancaman Rantai Pasok Mengintai UMKM
  • Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
  • Mengapa Gamer Menjadi Target Menarik bagi Penjahat Siber
  • Jebakan Siber Makin Canggih
  • 5 Kiat Menjaga Kemanan Siber Ponsel
  • Panduan untuk Keluarga di Era Digital
  • Gamer: Mengapa Mereka Rentan & Cara Melindungi Diri
  • Keylogger Curi Kredensial di Server Microsoft Exchange

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Modus Baru Penipuan Ancaman Callback Phising Modus Baru Penipuan Ancaman Callback Phising
3 min read
  • Sektor Bisnis
  • Sektor Personal

Modus Baru Penipuan Ancaman Callback Phising

July 9, 2025
Bertahan dari Serangan Siber Bertahan dari Serangan Siber
6 min read
  • Teknologi

Bertahan dari Serangan Siber

July 8, 2025
Ancaman Rantai Pasok Mengintai UMKM Ancaman Rantai Pasok Mengintai UMKM
4 min read
  • Sektor Bisnis

Ancaman Rantai Pasok Mengintai UMKM

July 8, 2025
Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru
6 min read
  • Mobile Security
  • Sektor Personal

Data NFC untuk Pembayaran Nirsentuh Menjadi Target Baru

July 8, 2025

Copyright © All rights reserved. | DarkNews by AF themes.