Dalam beberapa kasus, penjahat dunia maya bahkan tidak memerlukan basis data yang dicuri untuk mengetahui kata sandi dan meretas akun Anda. Mereka dapat menggunakan serangan brute-force, dengan kata lain mencoba ribuan varian kata sandi biasa hingga salah satunya berfungsi. Kedengarannya tidak meyakinkan, tetapi mereka tidak perlu mengulangi semua kemungkinan kombinasi karena ada alat khusus yaitu Generator Daftar Kata (Wordlist Generators) yang dapat menghasilkan daftar probabilitas kata sandi umum (yang disebut kamus brute-force) berdasarkan informasi pribadi korban.
Program semacam itu terlihat seperti kuesioner mini tentang pengguna yang ditargetkan. Mereka menanyakan nama, nama belakang, tanggal lahir, informasi pribadi tentang pasangan, anak, bahkan hewan peliharaan. Penyerang bahkan dapat menambahkan kata kunci tambahan yang mereka ketahui tentang target yang dapat dimasukkan ke dalam kombinasi. Dengan menggunakan campuran kata, nama, tanggal, dan data lainnya ini, pembuat daftar kata membuat ribuan varian kata sandi, yang kemudian dicoba oleh penyerang saat masuk. Layanan yang dapat membuat kamus untuk serangan bruteforce berdasarkan informasi yang diketahui tentang korban yang dimaksud. Untuk menggunakan metode tersebut, penjahat dunia maya perlu melakukan penelitian terlebih dahulu — dan saat itulah basis data yang bocor itu mungkin berguna.
Mereka mungkin berisi informasi seperti tanggal lahir, alamat, atau jawaban atas "pertanyaan rahasia". Sumber data lainnya adalah berbagi secara berlebihan di jejaring sosial. Sesuatu yang terlihat sangat tidak penting, seperti foto dari tanggal 6 Desember dengan judul “hari ini adalah hari ulang tahun anjing kesayangan”.
Kemungkinan konsekuensi dari kata sandi yang bocor atau dipaksakan
Ada beberapa konsekuensi yang jelas: penjahat dunia maya dapat mengambil alih akun dan menahannya untuk tebusan, menggunakannya untuk menipu kontak dan teman online Anda, atau, jika mereka bisa mendapatkan kata sandi ke situs atau aplikasi perbankan, terburuknya mengosongkan rekening Anda. Namun, terkadang niat mereka tidak sesederhana itu.
Misalnya, dengan semakin banyaknya game yang memperkenalkan mata uang dalam game dan transaksi mikro, semakin banyak pengguna yang metode pembayarannya ditautkan ke akun mereka. Ini membuat para gamer menjadi target yang menarik bagi para peretas. Dengan memperoleh akses ke akun game, mereka dapat mencuri barang berharga dalam game seperti skin, item langka, atau mata uang game internal, hingga menyalahgunakan data kartu kredit korban.
Basis data dan informasi yang bocor yang dapat diperoleh saat mencari akun Anda dapat digunakan tidak hanya untuk keuntungan finansial tetapi juga untuk merusak reputasi dan jenis kerusakan sosial lainnya, termasuk doxing. Jika Anda seorang selebritas, Anda dapat diperas dan menghadapi pilihan: pengungkapan informasi pribadi (yang dapat memengaruhi reputasi Anda) atau kehilangan uang.
Bahkan jika Anda bukan selebritas, Anda bisa menjadi korban doxing — tindakan mengungkap informasi identitas seseorang secara online — seperti nama asli, alamat rumah, tempat kerja, telepon, keuangan, dan informasi pribadi lainnya. Serangan doxing dapat berkisar dari yang relatif tidak berbahaya, seperti mendaftar ke milis yang tak terhitung jumlahnya atau pesanan pengiriman pizza palsu atas nama Anda, hingga yang jauh lebih berbahaya, seperti berbagai bentuk cyberbullying, pencurian identitas, atau bahkan menguntit secara langsung.
Terakhir, jika Anda menggunakan kata sandi yang sama untuk akun pribadi dan kantor, penjahat dunia maya dapat mengambil alih email perusahaan Anda dan menggunakannya untuk skema penyusupan email bisnis atau bahkan serangan yang ditargetkan.
Bagaimana melindungi akun Anda dari akses yang tidak diinginkan
Pertama-tama — selalu ingat kebersihan kata sandi:
• Jangan menggunakan kembali kata sandi yang sama untuk beberapa akun;