Setiap akun online yang Anda miliki dijaga oleh satu lapisan sederhana: kombinasi username dan password. Selama kombinasi itu benar, sistem menganggap yang masuk adalah Anda. Persoalannya, ada satu cara menembus lapisan ini yang tidak butuh kecerdasan tinggi maupun celah rumit — cukup kesabaran dan komputer yang cepat.
Pada 2023, polisi menangkap seorang pemuda 21 tahun lulusan SMP yang berhasil meretas puluhan situs pemerintah daerah di Indonesia. Ia tidak menemukan bug canggih. Ia hanya menjalankan program yang menebak password halaman admin secara otomatis, ribuan kali, sampai ada yang cocok. Akses yang didapat lalu dijual seharga sekitar dua dolar per situs.
Teknik yang ia pakai itulah yang akan kita bahas. Brute force adalah metode membobol password atau kunci keamanan dengan mencoba banyak kombinasi secara sistematis dan otomatis, sampai salah satu tebakan berhasil. Artikel ini menjelaskan cara kerjanya, jenis-jenisnya, dan yang paling penting untuk Anda: cara mencegahnya.
Brute Force Adalah?
Brute force secara harfiah berarti "kekuatan kasar". Nama ini pas karena serangannya memang tidak mengandalkan kelicikan, melainkan pengulangan yang membabi buta. Alih-alih mencari kelemahan pada logika sistem, penyerang menyerahkan pekerjaan pada mesin: coba "123456", gagal; coba "password", gagal; coba "admin123", dan seterusnya, hingga jutaan kemungkinan habis atau salah satunya tembus.
Karena itu, brute force sering disebut juga exhaustive search — pencarian yang menguji semua kemungkinan sampai tuntas. Selama tidak ada yang menghalangi, sebuah tebakan yang benar pasti ada di antara sekian banyak kombinasi. Pertanyaannya hanya: berapa lama waktu yang dibutuhkan untuk sampai ke sana.
Perlu dibedakan dari metode lain seperti phising, yang menipu korban agar menyerahkan password secara sukarela. Brute force tidak menipu siapa pun. Ia langsung menyerang pintu depan dan mencoba semua kunci yang mungkin. Target utamanya biasanya password akun, tetapi teknik yang sama juga dipakai untuk menebak PIN, kunci enkripsi, bahkan menemukan halaman tersembunyi di sebuah website.
Kenapa Serangan Kuno Ini Masih Ampuh
Brute force adalah salah satu teknik peretasan tertua. Secara logika seharusnya ia sudah usang, tetapi kenyataannya justru sebaliknya. Laporan Data Breach Investigations Report 2025 dari Verizon mencatat serangan brute force terhadap aplikasi web dasar meningkat hampir tiga kali lipat dalam setahun. Ada beberapa alasan kenapa metode lama ini malah makin subur.
Password bocor menjadi bahan bakar. Setiap kali sebuah layanan besar mengalami kebocoran data, jutaan pasangan email dan password beredar di internet. Penyerang tidak lagi menebak dari nol; mereka mulai dari daftar password yang sudah terbukti pernah dipakai orang.
Perangkat keras makin murah dan cepat. Kartu grafis (GPU) yang dirancang untuk game atau kecerdasan buatan ternyata sangat efisien menebak password. Menurut Kaspersky, sebuah GPU bisa menebak sekitar 250 kali lebih cepat dibanding prosesor biasa. Semakin cepat mesinnya, semakin banyak kombinasi yang bisa dicoba per detik.
Serangan berjalan otomatis dan tanpa henti. Penyerang menjalankan bot yang membombardir halaman login siang-malam tanpa lelah. Indonesia termasuk sasaran empuk. Data Kaspersky 2025 menempatkan Indonesia di urutan kedua se-Asia Tenggara untuk serangan terhadap remote desktop, dengan lebih dari sepuluh juta insiden dalam setahun.
Cara Kerja Brute Force: Dari Tebakan ke Akses
Pada dasarnya, cara kerja brute force adalah perulangan sederhana yang dijalankan sangat cepat. Penyerang menyiapkan target (misalnya halaman login sebuah website), lalu menghubungkan sebuah program penebak ke halaman itu. Program mengirim satu kombinasi, membaca jawaban server, dan mengulang.
Diagram alur serangan brute force pada halaman login dan pencegahannya.
Yang membuat serangan ini berbahaya adalah adanya dua medan tempur yang sangat berbeda.
Pada serangan online, penyerang menebak langsung lewat halaman login yang hidup. Setiap tebakan harus melewati jaringan dan menunggu jawaban server, jadi kecepatannya terbatas. Inilah jenis serangan yang paling mudah Anda hentikan, karena Anda mengendalikan servernya.
Pada serangan offline, situasinya jauh lebih genting. Di sini penyerang sudah mencuri file berisi password yang tersimpan dalam bentuk teracak — hasil dari proses enkripsi atau hashing. Karena penebakan dilakukan di komputer penyerang sendiri tanpa melewati server Anda, ia bisa mencoba miliaran kombinasi per detik. Tidak ada batas percobaan yang bisa menghentikannya. Satu-satunya pelindung adalah seberapa kuat password itu sendiri dan seberapa lambat metode hashing yang dipakai.
Jenis-Jenis Serangan Brute Force
Meski prinsipnya sama, ada beberapa cara penyerang mempersempit tebakan supaya lebih efisien. Berikut jenis serangan brute force yang paling umum:
- Brute force murni (simple): Mencoba setiap kemungkinan karakter satu per satu, dari "aaa" sampai "zzz9". Cara paling menyeluruh, tetapi juga paling lambat untuk password panjang.
- Serangan kamus (dictionary attack): Alih-alih semua kombinasi, penyerang memakai daftar kata dan password populer, seperti "qwerty" atau "bismillah". Jauh lebih cepat karena banyak orang memakai password yang mudah ditebak.
- Serangan hibrida (hybrid): Menggabungkan kata dari kamus dengan variasi angka dan simbol, misalnya "password" menjadi "P4ssw0rd2024". Menyasar kebiasaan orang menambal password lemah dengan tambahan seadanya.
- Credential stuffing: Memakai pasangan email dan password hasil kebocoran data lama, lalu mencobanya di banyak layanan lain. Efektif karena banyak orang memakai password yang sama di mana-mana.
- Reverse brute force: Kebalikannya. Penyerang memegang satu password umum (misalnya "123456"), lalu mencobanya ke ribuan akun sekaligus untuk mencari siapa yang memakainya.
- Password spraying: Mencoba sedikit password ke banyak akun secara perlahan, khusus untuk menghindari sistem yang mengunci akun setelah beberapa kali gagal.
Untuk menjalankan serangan ini, penyerang memakai program otomatis yang sudah umum beredar seperti Hydra, John the Ripper, atau Hashcat. Perangkat ini sebenarnya juga dipakai secara sah oleh praktisi keamanan untuk menguji ketahanan sistem mereka sendiri.
Kenapa Panjang Password Mengalahkan Kerumitan
Di sinilah kebanyakan orang salah paham. Selama bertahun-tahun kita diajari membuat password "rumit" seperti "K3r!". Padahal yang paling menentukan ketahanan sebuah password bukan seberapa aneh karakternya, melainkan seberapa panjang ia.
Alasannya matematis. Setiap karakter tambahan mengalikan jumlah kemungkinan secara berlipat, bukan sekadar menambah. Password enam karakter yang hanya berisi angka punya sekitar dua miliar kombinasi — kedengarannya banyak, tetapi bagi mesin modern itu habis dalam hitungan detik. Tambah panjangnya, dan angkanya meledak.
Hive Systems pada 2025 menguji ini dengan dua belas kartu grafis RTX 5090 terhadap password yang disimpan dengan metode hashing kuat (bcrypt). Hasilnya memberi gambaran nyata:
| Password | Perkiraan waktu dibobol |
|---|---|
| 8 karakter, angka saja | 15 menit |
| 8 karakter, huruf kecil saja | 3 minggu |
| 8 karakter, huruf besar-kecil | 15 tahun |
| 8 karakter, huruf + angka + simbol | 164 tahun |
| 10 karakter, huruf + angka + simbol | 803 tahun |
| 12 karakter, campuran | ribuan tahun |
Perhatikan lompatannya. Menambah dua karakter dari sepuluh ke dua belas melompat dari ratusan tahun ke ribuan tahun. Inilah kenapa sebuah kalimat sandi (passphrase) yang panjang tetapi mudah diingat, seperti "kucing-oren-suka-tidur", jauh lebih aman daripada "Xk9#" yang pendek dan justru sulit dihafal.
Angka di atas berlaku bila website menyimpan password dengan metode hashing yang lambat dan aman seperti bcrypt. Jika sebuah layanan menyimpan password secara ceroboh dengan metode yang cepat dihitung, waktu pembobolannya bisa runtuh dari tahunan menjadi menit. Sebagai pengguna, Anda tidak mengontrol hal ini — itulah kenapa password unik di tiap akun penting: bila satu layanan bocor, akun Anda yang lain tidak ikut jatuh.
Sisi Lain: Brute Force sebagai Strategi Algoritma
Menariknya, istilah brute force tidak selalu berkonotasi jahat. Di dunia pemrograman, algoritma brute force adalah pendekatan penyelesaian masalah dengan mencoba semua kemungkinan solusi satu per satu sampai menemukan yang benar. Anda memakainya tanpa sadar setiap kali mencoba semua digit pada gembok kombinasi yang lupa angkanya.
Sebagai contoh, saat sebuah program mencari jalan keluar dari labirin dengan menelusuri setiap lorong, atau memecahkan teka-teki Sudoku dengan mencoba setiap angka di setiap kotak, itu semua adalah penerapan algoritma brute force. Pendekatan ini dijamin menemukan jawaban karena tidak melewatkan satu kemungkinan pun, tetapi jadi tidak praktis ketika jumlah kemungkinannya terlalu besar.
Serangan password yang kita bahas sepanjang artikel ini pada dasarnya adalah versi bermusuh dari prinsip yang sama. Memahami ini membantu Anda melihat inti persoalannya: pertahanan terhadap brute force bukan soal membuat tebakan mustahil, melainkan membuat jumlah kemungkinannya begitu besar sehingga tidak sepadan dengan waktu untuk mencobanya.
Target yang Paling Sering Diserang
Bagi pemilik website, ada beberapa pintu yang paling sering digedor bot brute force. Mengenali pintu-pintu ini membantu Anda tahu di mana pertahanan harus diperkuat.
- Halaman login WordPress. Alamat
wp-login.phpdan fiturxmlrpc.phpadalah sasaran favorit karena WordPress dipakai begitu banyak situs. Kasus peretasan situs pemerintah yang disebut di awal artikel ini justru lewat celah ini. Jika Anda mengelola situs WordPress, inilah yang paling perlu dijaga. - Panel hosting seperti cPanel dan WHM. Panel pengelola hosting menyimpan kunci ke seluruh website Anda, sehingga sangat berharga bagi penyerang. Untungnya, panel modern umumnya sudah dilengkapi proteksi brute force bawaan seperti cPHulk.
- Akses server jarak jauh. Layanan SSH di port 22 dan RDP di port 3389 terus-menerus dipindai. Riset honeypot di Indonesia pernah mencatat ribuan percobaan login otomatis hanya dalam dua minggu, dengan username "admin" sebagai tebakan paling favorit.
Memilih layanan web hosting yang menyediakan proteksi login berlapis sejak awal akan meringankan sebagian beban ini, meski konfigurasi akhir tetap ada di tangan Anda.
Cara Mencegah Serangan Brute Force
Kabar baiknya, brute force termasuk serangan yang paling bisa dilawan. Kuncinya adalah pertahanan berlapis. Berikut langkah pencegahan yang diurutkan dari yang paling berdampak:
- Gunakan password panjang dan unik. Seperti dijelaskan di atas, panjang adalah pelindung terbesar. Targetkan minimal 12 karakter dan jangan pernah memakai password yang sama di dua layanan. Karena mustahil menghafal semuanya, pakailah password manager untuk menyimpannya.
- Aktifkan autentikasi dua faktor. Ini pertahanan paling efektif melawan brute force. Dengan 2FA aktif, menebak password saja tidak cukup — penyerang tetap butuh kode dari ponsel Anda yang tidak mereka miliki. Microsoft menyebut langkah ini memblokir sekitar 99,9% serangan akun otomatis. Untuk keamanan lebih tinggi, MFA menambahkan lapisan verifikasi lebih banyak lagi.
- Batasi jumlah percobaan login. Kunci akun sementara setelah beberapa kali gagal (misalnya lima kali). Ini langsung mematahkan serangan online yang mengandalkan pengulangan tanpa henti.
- Pasang CAPTCHA. Uji sederhana seperti CAPTCHA memaksa yang login membuktikan diri sebagai manusia, sehingga bot otomatis tersaring.
- Sembunyikan atau ganti pintu masuk. Mengubah alamat halaman login default dan menonaktifkan fitur yang tidak dipakai seperti XML-RPC di WordPress membuat bot kesulitan menemukan sasaran.
- Manfaatkan firewall dan pembatasan IP. Sebuah firewall aplikasi web bisa mengenali pola serangan dan memblokir alamat IP yang mencurigakan sebelum mencapai halaman login Anda.
Kelemahan dan Pertimbangan Tiap Pencegahan
Tidak ada satu lapisan pun yang sempurna, dan setiap solusi punya sisi lain yang perlu Anda timbang.
Penguncian akun bisa berbalik menyerang Anda. Bila sistem mengunci akun setelah sekian kali gagal, penyerang bisa sengaja memasukkan password salah berkali-kali pada akun orang lain, sehingga korban justru terkunci dari akunnya sendiri. Untuk sistem publik, penguncian sementara yang otomatis terbuka lebih aman daripada penguncian permanen.
CAPTCHA mengganggu kenyamanan pengguna. Uji yang terlalu sering atau sulit bisa membuat pengunjung asli frustrasi dan pergi. Sebaiknya tampilkan hanya setelah ada indikasi percobaan mencurigakan, bukan di setiap login.
2FA lewat SMS tidak sekuat kelihatannya. Kode yang dikirim via SMS rawan disadap lewat penipuan penukaran kartu SIM (SIM swap). Bila memungkinkan, pilih aplikasi autentikator atau kunci keamanan fisik daripada SMS.
Poin ini penting: keamanan yang baik bukan menumpuk sebanyak mungkin pengaman, melainkan memilih kombinasi yang sepadan antara perlindungan dan kenyamanan.
Pertanyaan yang Sering Muncul
Apakah melakukan brute force itu ilegal? Ya, bila dilakukan terhadap sistem yang bukan milik Anda tanpa izin. Di Indonesia, mengakses sistem orang lain secara tidak sah diatur dan diancam pidana dalam Undang-Undang ITE. Penggunaan yang sah hanya untuk menguji sistem milik sendiri atau atas izin tertulis pemiliknya.
Berapa lama password saya bisa dibobol? Tergantung panjang dan jenis karakternya, seperti pada tabel di atas. Password 8 karakter sederhana bisa jatuh dalam hitungan menit sampai minggu, sementara 12 karakter campuran praktis mustahil ditembus dengan teknologi saat ini.
Apakah cukup mengandalkan 2FA saja? 2FA sangat kuat, tetapi bukan alasan untuk memakai password lemah. Anggap keduanya sebagai dua kunci pada satu pintu — keduanya perlu Anda pasang.
Kesimpulan
Brute force adalah serangan yang mengandalkan kesabaran mesin, bukan kecerdasan. Ia menebak password dengan mencoba jutaan kombinasi sampai berhasil, dan justru karena sederhana itulah ia tetap relevan sampai hari ini, ditopang password yang bocor, komputer yang makin cepat, dan bot yang tak kenal lelah.
Kabar baiknya, pertahanannya ada di tangan Anda. Password yang panjang dan unik, autentikasi dua faktor, serta pembatasan percobaan login sudah cukup membuat serangan ini tidak sepadan dengan usahanya. Anda tidak perlu menjadi mustahil ditembus — cukup menjadi terlalu merepotkan untuk diserang. Semoga artikel ini membantu.




