Blog Spaceship

Serangan brute force dan cara mencegahnya pada 2026

Serangan Brute Force Dijelaskan: Definisi, Jenis & Cara Mencegahnya pada 2026
  • Apa itu serangan brute force — dan bagaimana serangan ini mengancam kata sandi Anda.

  • Jenis-jenis umum, dari serangan kamus hingga credential stuffing.

  • Cara mencegah serangan brute force dengan rate limiting, 2FA, dan lainnya.

  • Alat dan pertahanan terbaik untuk platform Anda.

  • Pertanyaan yang sering diajukan.


Meskipun pelaku ancaman terus menemukan cara baru dan canggih untuk meretas atau membobol situs web, ada beberapa metode klasik yang tetap bertahan. Meski sederhana, metode ini masih terbukti sangat efektif. Salah satu metode tersebut adalah serangan brute force. 

Ini adalah salah satu metode serangan siber tertua, dan tetap populer di kalangan peretas. Mungkin terlihat sederhana, tetapi penting untuk mengetahui cara melindungi diri Anda dari bahaya. Lanjutkan membaca untuk mempelajari definisi serangan brute force, risikonya, dan apa yang dapat Anda lakukan untuk mencegahnya.

Apa itu serangan brute force dalam keamanan siber?

Serangan brute force adalah metode peretasan yang menggunakan trial and error untuk menebak kredensial login, kunci enkripsi, atau halaman web tersembunyi. Disebut serangan brute force karena memang itulah yang dilakukan. Pelaku jahat mencoba mendapatkan akses tanpa izin ke akun atau jaringan melalui trial and error yang berlebihan. Trial and error ini mungkin hanya memerlukan beberapa menit atau hingga beberapa tahun. 

Contoh umumnya adalah menggunakan banyak kombinasi nama pengguna dan kata sandi untuk mencoba masuk ke sebuah akun. Mereka mungkin menebak kata sandi dengan menggunakan kata sandi umum, kebocoran kata sandi sebelumnya, atau dengan meneliti informasi pribadi target, seperti tanggal lahir atau nama hewan peliharaan. Ini dapat dilakukan secara manual atau dengan perangkat lunak khusus, yang membuatnya jauh lebih cepat.

Serangan brute force dapat terjadi di setiap platform online. Menurut Group-IB, aplikasi web dan portal, seperti portal akun pelanggan, panel admin content management system (CMS), seperti WordPress, menyumbang 43% dari serangan brute force. Setelah itu ada login jaringan dan server, lalu akun email dan media sosial.

Bagaimana cara kerja serangan brute force?

Serangan brute force yang umum dapat dibagi menjadi tiga langkah utama: 

Bagaimana cara kerja serangan brute force?

1. Memilih target

Ada beberapa alasan mengapa seseorang atau organisasi dapat menjadi target serangan brute force. Informasi berharga seperti data pelanggan pribadi, informasi keuangan, atau kekayaan intelektual memang penting, tetapi kemudahan akses juga berperan. Pelaku jahat akan mencari sistem dengan pertahanan lemah, misalnya perangkat lunak yang usang atau kebijakan kata sandi yang buruk dan tidak memiliki penerapan autentikasi multi-faktor (MFA). 

2. Peluncuran serangan

Ini bisa dilakukan secara manual, tetapi penyerang lebih sering menggunakan perangkat lunak dan bot karena jauh lebih efisien dan dapat diotomatisasi. Ada berbagai jenis serangan, yang akan kita bahas lebih lanjut nanti, tetapi biasanya mereka akan mencoba masuk ke portal dengan banyak kombinasi kredensial yang mungkin. Untuk menghindari deteksi dan meningkatkan peluang keberhasilan, penyerang dapat menggunakan botnet untuk mendistribusikan percobaan ke berbagai mesin dan alamat IP. Ini mengurangi kemungkinan penguncian akun atau rate limiting.

3. Mendapatkan akses

Jika penyerang menemukan kombinasi yang berhasil dan menghindari deteksi keamanan, mereka dapat mengakses sistem atau akun target. Setelah itu, mereka dapat mencuri data atau menembus sistem lebih jauh dan melancarkan serangan berbahaya, seperti menginfeksinya dengan malware atau mengganggu layanan.

Saat ini, penyerang jarang melakukan serangan brute force secara manual. Alat khusus jauh lebih praktis, karena dapat menemukan kombinasi kata sandi atau ID sesi yang benar jauh lebih cepat daripada manusia. 

Alat populer untuk serangan brute force meliputi:

  • Aircrack-ng – memantau dan mengekspor data melalui keamanan jaringan Wi-Fi, serta meluncurkan serangan seperti access point palsu dan injeksi paket.

  • John the Ripper – alat pembobol kata sandi open-source yang digunakan oleh peretas etis maupun peretas black-hat.

  • Hydra – platform open source yang dapat dengan cepat mencoba banyak kombinasi kata sandi dan dapat menyerang lebih dari 50 protokol serta beberapa sistem operasi.

Apa saja jenis-jenis serangan brute force yang berbeda?

Meskipun tujuan setiap serangan brute force pada dasarnya sama, cara peretas melakukannya bisa berbeda. Pelajari tabel di bawah ini untuk mengenal berbagai jenis serangan brute force dan apa saja yang terlibat di dalamnya.

Apa saja berbagai jenis serangan brute force?

Mengapa serangan brute force berbahaya?

Seperti serangan siber lainnya, serangan brute force dapat membuat pengguna Internet dan bisnis online rentan dalam berbagai cara, termasuk:

  • Risiko pengambilalihan akun – bagi pengguna, ini dapat mengakibatkan pencurian data dan kerugian finansial, sementara bisnis menghadapi kerusakan reputasi dan kerugian ekonomi.

  • Pencurian identitas – jika peretas mengakses informasi pribadi seseorang, mereka dapat menggunakannya untuk melakukan penipuan atas nama orang tersebut, mulai dari membuka akun hingga mengajukan pinjaman.

  • Pelanggaran jaringan (RDP brute force) – pelaku ancaman dapat memperoleh akses ke banyak komputer, menyebarkan malware atau ransomware ke seluruh jaringan. 

  • Biaya penanganan – pelanggaran data bisnis sering kali mengakibatkan downtime operasional, investigasi yang mahal, denda, dan lainnya.

Cara mencegah serangan brute force

Meskipun konsekuensi dari serangan brute force bisa parah, untungnya serangan ini dapat dicegah dengan beberapa perlindungan sederhana.

1. Perlindungan login

Pencegahan serangan brute force dimulai dari halaman login. Berikut beberapa langkah penting yang perlu dilakukan:

  • Aktifkan 2FA/MFA – jika peretas berhasil menebak kata sandi dengan benar, lapisan perlindungan tambahan ini akan mencegah mereka melangkah lebih jauh.

  • Gunakan CAPTCHA setelah login gagal – untuk percobaan brute force otomatis, CAPTCHA dapat mencegah bot dan perangkat lunak mendapatkan akses ke akun.

  • Blokir percobaan login berulang – gunakan rate limiting, yang membatasi percobaan login dalam jangka waktu tertentu, atau pemblokiran IP, yang memblokir IP karena perilaku mencurigakan.

2. Keamanan kata sandi

Kebersihan kata sandi adalah elemen penting namun terlalu sering diabaikan dalam keamanan online. Kata sandi seperti “123456” dan “password” tidak lagi memadai di lanskap digital saat ini. Jadi, pastikan untuk: 

  • Terapkan kebijakan kata sandi yang kuat

  • Wajibkan frasa sandi atau kata sandi acak yang panjang

  • Gunakan campuran angka, karakter, simbol, dan huruf besar-kecil

  • Jangan sertakan informasi pribadi apa pun, seperti nama hewan peliharaan atau tanggal lahir

  • Hindari menggunakan ulang kata sandi di beberapa platform

  • Gunakan pengelola kata sandi yang baik untuk menyimpan dan melacak kata sandi dengan aman

3. Pertahanan tingkat jaringan

Memiliki perlindungan di luar halaman login juga sangat penting.

  • Gunakan web application firewall (WAF) – mekanisme seperti rate limiting, deteksi bot, dan geo-blocking mengidentifikasi dan memitigasi percobaan brute force.

  • Batasi akses ke portal login –  beberapa cara untuk melakukannya termasuk membatasi akses ke IP tertentu atau hanya mengizinkan akses VPN.

  • Pantau percobaan login yang gagal – gunakan alat security information and event management (SIEM) untuk memantau, menganalisis, dan memberi tahu Anda tentang hal mencurigakan apa pun.

Alat apa yang membantu menghentikan serangan brute force?

Berikut cara menghentikan serangan brute force dengan menggunakan berbagai alat gratis dan berbayar.

Alat apa yang membantu menghentikan serangan brute force?

Cara mendeteksi apakah Anda sedang diserang brute force

Jika Anda menggunakan platform dengan fitur keamanan bawaan dan menerapkan alat yang tepat, Anda seharusnya dapat mendeteksi apakah Anda sedang diserang atau apakah serangan brute force telah dicoba. Perhatikan tanda-tanda seperti:

  • Lonjakan percobaan login yang gagal.

  • Anomali log, seperti IP yang sama mencoba berkali-kali. 

  • Peringatan keamanan dari hosting atau CDN Anda.

Cara memilih pertahanan brute force yang tepat untuk situs web Anda

Memilih pertahanan brute force yang tepat untuk situs Anda akan bergantung pada beberapa faktor. Berikut beberapa langkah untuk melindungi situs Anda dengan tepat:

Cara memilih perlindungan brute force yang tepat untuk situs web Anda



1. Nilai platform Anda

Apakah situs Anda dihosting di WordPress, platform site builder/software-as-a-service (SaaS), atau backend kustom yang sepenuhnya Anda bangun sendiri? Ini akan memengaruhi jenis perlindungan yang dapat Anda terapkan dan seberapa besar kontrol yang Anda miliki atasnya.

2. Pilih perlindungan yang sesuai

Anda memahami platform Anda, jadi berikut perlindungan yang paling tepat: 

  • WordPress – tambahkan plugin dengan mudah untuk melindungi situs Anda, seperti plugin keamanan yang mencakup WAF, CAPTCHA, dan pembatasan login. Anda juga dapat mengubah URL halaman login Anda.

  • Site builder/SaaS – platform ini biasanya menangani keamanan dan perlindungan login, jadi pastikan fitur tersebut diaktifkan. Kustomisasi biasanya terbatas.

  • Custom backend – Anda perlu menambahkan kode sendiri, seperti rate limiting, di tingkat server. Anda memiliki kontrol penuh atas apa yang dapat diterapkan.

3. Tambahkan MFA untuk semua pengguna

Apa pun platform situs web Anda, lapisan perlindungan tambahan yang dibawa MFA sangat penting untuk perlindungan brute force. 

  • WordPress – Beberapa plugin, seperti WP 2FA dan Wordfence, memungkinkan Anda menjadikan MFA sebagai persyaratan bagi semua pengguna.

  • Site builder/ SaaS – sebagian besar platform modern seharusnya menawarkan cara untuk menerapkan ini di pengaturan akun.

  • Custom backend – gunakan aplikasi authenticator atau WebAuthn, seperti passkeys.

4. Pantau log secara rutin

Semua program, perangkat lunak, sistem, dan aplikasi menghasilkan catatan peristiwa yang dikenal sebagai log. Memantau jenis log tertentu, seperti percobaan login dan aktivitas sistem, dapat membantu Anda tetap mengetahui bagaimana semuanya berjalan. 

Untuk WordPress, plugin seperti WP Security Activity Log akan memudahkan pemantauan log. Untuk website builder, Anda perlu memeriksa bagian log aktivitas khususnya, meskipun tingkat detailnya akan bervariasi. Untuk custom backend, siapkan log login terstruktur yang melacak login berhasil dan gagal beserta IP dan nama pengguna, lalu pusatkan log tersebut. Picu peringatan atau pemblokiran otomatis saat pola mencurigakan muncul, seperti lonjakan kegagalan berulang dari IP tertentu.

Paragraf penutup

Sekarang Anda seharusnya sudah memiliki gambaran yang baik tentang apa itu serangan brute force dan apa saja yang terlibat di dalamnya. Untungnya, meskipun konsekuensi dari serangan ini bisa serius, serangan ini mudah dicegah. Dengan menggunakan panduan dari artikel ini, luangkan waktu untuk meninjau pengaturan dan kebiasaan keamanan login Anda saat ini lalu lakukan perbaikan sesuai kebutuhan. Jika Anda tertarik pada platform dengan perlindungan bawaan, mulai dari firewall hingga pencegahan intrusi, jelajahi bagaimana Spaceship melindungi semua akun hosting.

Pertanyaan yang sering diajukan

Serangan brute force mencoba semua kemungkinan kombinasi karakter untuk menebak kata sandi. Sebaliknya, serangan kamus menggunakan daftar kredensial bocor yang telah ditentukan sebelumnya serta kata, frasa, dan nama yang umum. Meskipun brute force biasa dapat memakan waktu, metode ini lebih efektif terhadap kata sandi yang kompleks. Serangan kamus lebih efektif terhadap kata sandi yang lemah dan mudah diprediksi.

Mustahil membuat situs Anda benar-benar tidak dapat diretas, dan itu juga berlaku untuk serangan brute force. Namun, serangan ini dapat dibuat nyaris mustahil dengan pertahanan berlapis, seperti perlindungan login, kebersihan kata sandi, dan keamanan jaringan yang baik.

Ya, upaya melakukan serangan brute force adalah ilegal di sebagian besar negara. Namun, profesional keamanan yang berwenang dapat melakukannya secara legal jika pemilik sistem memberi izin kepada mereka untuk menggunakan brute force guna menguji seberapa aman situs web atau sistem mereka.

Ini bergantung pada kompleksitas kata sandi Anda. Kata sandi lemah seperti “password” hanya memerlukan beberapa menit. Sesuatu dengan simbol dan karakter yang berbeda mungkin memerlukan beberapa jam. Namun, jika Anda memiliki lapisan perlindungan tambahan seperti enkripsi atau autentikasi multi-faktor, itu bisa memakan waktu bertahun-tahun.


Bagikan pemikiran Anda

Diperlukan lebih dari 10 karakter.
Identitas Anda untuk tampilan publik.
Memberikan alamat email Anda adalah opsional. Itu tidak akan dibagikan dengan pihak ketiga.

Bantu kami meningkatkan blog kami

Bagikan pemikiran Anda dalam survei singkat dua menit.

Email yang valid diperlukan