Image credit: Freepix
Credential Stuffing Kunci Duplikat Digital Anda – Kebiasaan buruk mendaur ulang kata sandi menciptakan peluang sempurna bagi teknik serangan yang disebut Credential Stuffing.
Dalam serangan ini, peretas mengambil daftar kombinasi username dan password yang bocor dari satu situs, lalu secara otomatis mencobanya di berbagai layanan daring lainnya.
Credential stuffing adalah setara digital dengan seseorang yang menemukan “kunci duplikat” yang tidak hanya bisa membuka pintu rumah Anda, tetapi juga pintu kantor, brankas, hingga mobil Anda dalam sekali jalan.
|
Baca juga: Kartel Hacker dan Kerugian Miliaran Rupiah |
Mengapa Serangan Ini Begitu Berbahaya?
Menurut survei dari NordPass, sekitar 62% orang mengaku sering atau selalu menggunakan kembali kata sandi yang sama. Inilah alasan mengapa serangan ini sangat efektif:
- Bukan Tebakan, Tapi Fakta: Berbeda dengan serangan brute-force yang menebak kata sandi secara acak, credential stuffing menggunakan data yang sudah terbukti valid.
- Sulit Dideteksi: Karena peretas menggunakan kredensial yang benar, sistem keamanan sering kali menganggapnya sebagai login pengguna yang sah, sehingga tidak memicu alarm peringatan.
- Skala Besar dengan AI: Saat ini, peretas menggunakan skrip bantuan AI yang bisa meniru perilaku manusia untuk melewati pertahanan bot dan CAPTCHA dasar.
Contoh Kasus Nyata
- PayPal (2022): Hampir 35.000 akun pengguna dibobol. PayPal sendiri tidak diretas; penjahat hanya menggunakan data bocoran lama dari situs lain untuk masuk ke akun pengguna yang menggunakan sandi yang sama.
- Snowflake (2024): Serangan ini berdampak pada sekitar 165 organisasi. Peretas masuk menggunakan kredensial yang sebelumnya dicuri melalui malware pencuri informasi (infostealer), yang kemudian berujung pada tuntutan tebusan data.
|
Baca juga: Penipuan Berbagi Layar WhatsApp |
Cara Melindungi Diri Anda
Melindungi diri dari serangan ini sebenarnya cukup sederhana jika Anda mau mengubah sedikit kebiasaan:
- Jangan Pernah Daur Ulang Kata Sandi: Gunakan kata sandi yang unik untuk setiap layanan. Manfaatkan Password Manager untuk membuat dan menyimpan sandi yang kuat secara otomatis.
- Aktifkan Autentikasi Dua Faktor (2FA): Ini adalah pertahanan terkuat. Bahkan jika peretas tahu kata sandi Anda, mereka tetap tidak bisa masuk tanpa faktor kedua (seperti kode dari aplikasi autentikator).
- Pantau Kebocoran Data: Gunakan layanan seperti haveibeenpwned.com untuk mengecek apakah email Anda pernah terlibat dalam kebocoran data. Jika ya, segera ganti kata sandi akun tersebut.
Tips untuk Organisasi/Perusahaan
Bagi pemilik bisnis, mengandalkan kata sandi saja sudah tidak cukup. Perusahaan harus:
- Mewajibkan penggunaan Passkeys (autentikasi tanpa kata sandi) yang membuat credential stuffing menjadi tidak berguna.
- Menerapkan sistem deteksi bot dan memantau aktivitas login yang tidak wajar.
- Membatasi jumlah percobaan login dari satu alamat IP.
Credential stuffing bekerja dengan memanfaatkan kebiasaan manusia. Selama kita masih menggunakan pengamanan yang usang, risiko peretasan akan selalu ada. Praktik kata sandi yang aman bukanlah pilihan, melainkan standar wajib di era digital saat ini.
Sumber berita:
