Kamis, 07 Oktober 2010

Password

Apa itu Password? Password adalah serentetan karakter yang memuat informasi untuk melakukan proses ototentifikasi (Authentication), yaitu proses sistem untuk memastikan bahwa orang yang mengakses sistem tersebut adalah orang yang asli. Password ini bersifat statis, artinya password ini tidak akan berubah sampai seseorang mengubahnya sendiri.

Password sifatnya amat rahasia dan tidak boleh diberitahukan kepada orang lain. Karena jika orang lain sampai mengetahuinya, maka dia akan mendapatkan akses ke sebuah modul. Masalahnya, jika modul itu amat rahasia, rekening bank misalnya, akan terjadi hal yang amat sangat fatal jika orang lain mengetahuinya. Apa itu hal yang sangat fatal? Anda akan mengetahuinya sendiri dan Saya rasa Anda juga sudah mengetahuinya :) .

Di sini Saya akan memberitahukan bagaimana caranya membongkar password dan cara mengamankannya agar tidak dibongkar.
!! AWAS + PERINGATAN !! JANGAN MENGGUNAKAN DAN MENDASARKAN POST INI UNTUK MELAKUKAN HACKING ATAU MEMBONGKAR PASSWORD


Pembongkaran Password
Password bisa dibongkar dengan banyak cara, mulai dari teknis hingga non-teknis (sering disebut social engineering). Secara teknis berarti kita berhubungan dengan sistem komputernya itu sendiri sedangkan non-teknis berarti kita (hampir) tidak menyentuh sistem komputernya. Lalu dengan cara apa kita dapat mengetahui passwordnya jika kita memakai cara ini? Akan kita bahas di sini.

Dengan cara teknis, kita dapat memakai software untuk membongkar password. Misalnya untuk worksheet Excel yang terpassword, bisa kita gunakan software seperti Excel Password Recovery. Dengan cara teknis rasanya tidak terlalu sulit, dan sofwarenya pun tersedia banyak. Selain itu, cara penggunaannya pun dapat kita lihat pada menu Help di Software tersebut. Bagaimana software ini dapat membongkar password?

Cara bekerjanya adalah dengan mencoba segala kemungkinan yang ada. Metode ini dinamakan brute-force. Namun ada juga cara lain yang biasanya juga dilakukan oleh software ini yaitu metode dictionary. Setiap kata dalam kamus akan dicocokan dengan passwordnya. Jika cocok dengan passwordnya, maka inilah passwordnya.

Sedangkan metode bruteforce mencoba segala karakter yang ada untuk menjebol password (Kaya'nya tadi udah dijelasin yah?). Misalnya, dengan mencoba segala kemungkinan dari AAAAAAAA sampai ZZZZZZZZZ akan ditemukan password pass.

Metode Bruteforce ini memakan waktu sekali. Karena mencoba segala kemungkinan yang ada. Untuk membongkar password dengan panjang 5 karakter (huruf), berarti ada 256 pangkat 5 kemungkinan (256 adalah semua karakter ASCII). Berarti, 1.099.511.627.776 ada kemungkinan! Banyak sekali bukan? Itu baru 5 karakter yang akan terbongkar. Bayangkan banyaknya karakter ada 10, 15, 20?? Silahkan hitung sendiri :)

Resminya adalah dengan cara di atas. Namun secara tidak resmi kita juga bisa bikin cara tidak resmi untuk membongkar password. Ya, misalnya dengan Keylogging. Keylogging adalah sebuah metode untuk mengumpulkan, mencatat dan mengoleksi (kaya'nya sama aja dah :) ) tentang tombol apa saja yang ditekan di Keyboard. Perangkat untuk melakukan keylogging ini dinamakan keylogger. Keylogger ada yang berupa Software dan ada pula yang berupa Hardware. Keylogger Software berarti kita memasang perangkat lunak di komputer korban kemudian software itu akan mencatat tombol apa saja yang ditekan. Sedangkan Keylogger Hardware biasanya berupa perantara antara Keyboard dan komputer. Sebelum ditancapkan ke komputer, maka colokan (Hmm... nyebutnya yang enak apa yah?) Keyboard dihubungkan dulu ke Keylogger lalu baru ke komputer. Mirip konverter serial > PS/2.

Dengan demikian, kita akan mengetahui tombol apa saja yang ditekan oleh si korban dan dengan kata lain, kita bisa mengetahui password yang diketikkan korban (kecuali korban mengetikkan passwordnya dengan mouse :D yang ini lain lagi ceritanya).

Jika ingin berbicara lebih teknis lagi maka kita bisa pakai trik network sniffing. Artinya kita akan pasang perangkat (biasanya software) untuk memantau lalu lintas di LAN pada sebuah komputer. Trik ini baru berhasil jika digunakan untuk membongkar password yang digunakan untuk masuk ke sebuah Web site (Friendster, misalnya). Dengan memantau lalu lintas data, berarti kita bisa melihat semua data yang keluar dan yang masuk. Dengan kita dapat melihat semua data ini, kita juga dapat melihat semua password yang keluar dan yang masuk.

Yang lebih mudah lagi adalah dengan menebak password. Pada beberapa kasus, korban memakai password dari nama buah kegemarannya, nama istri, namanya sendiri, nama ayahnya, nama ibunya, tanggal lahir, nomor PIN BANK (yang ini parah banget), Plat Nomor Mobil korban, atau yang lainnya yang bersifat statis. Artinya, dengan mengingat hal "itu" maka passwordnya "itu". Agar lebih mudah, coba Anda baca bagian pembongkaran password non-teknis tentang mengetahui profil si korban.

Metode non-teknis
Di antaranya adalah berbincang-bincang dengan si korban. Lho? Kok bisa? Coba saja. Namun jangan yang menyinggung secara langsung. Misalnya, tanyakan korban tentang Operating Systemnya apa, Nama istrinya, Nama anaknya, Tanggal lahirnya, atau apa pun yang berkaitan dengan si korban yang sifatnya statis (artinya hal itu tidak akan berubah-ubah, inilah sebabnya hal itu mudah diingat karena tidak berubah-ubah), bahkan nama kucingnya pun bisa Anda tanyakan. Setelah mendapatkan profilnya, maka anda coba menebak pasword sebagaimana pada paragraf di atas ini.

Teknik Shoulder Sniffing, namun Anda harus jeli jika korban mengetikkan password dengan cepat. Teknik Shoulder Sniffing ialah mencoba berdiri, baik diam, atau sambil "little walking", di belakang korban dan berusaha agar korban tidak menyadarinya, sambil melihat password yang diketikkan korban.

Ada pula teknik yang lebih gila lagi adalah Garbage Diving (kalo gak salah ini nih namanya). Pada teknik ini kita berusaha untuk mengobrak-abrik sampahnya demi mendapatkan hal berguna. Barangkali sang korban menuliskan passwordnya pada secarik kertas dan ditempelkan di monitor dan setelah korban sudah sangat ingat passwordnya, maka kertas itu dibuang ke tong sampah. Jangan salah, ini benar-benar tehnik hacking dan pernah dipraktekkan sebelumnya!

Pencegahan
Agar password tidak dapat dibongkar dengan metode brute-force, maka buatlah password yang sangat panjang, 20 huruf misalnya, dan juga dengan kombinasi angka dan simbol, misalnya spasi, !~@$#^$%*^)*)(_+|=-\ . Pakai juga kombinasi antara huruf kecil dan kapital. Contoh password ampuh: hEI,! iNI$%aDLaH >>PASSWORD<< yg sulit d!b0b0l 0l3h or4nk l41n. Kemudian, jangan memakai kata dalam kamus sebagai password. Jika demikian, maka dapat dibongkar dengan metode Dictionary.

Jangan coba-coba juga memakai nama-nama atau hal-hal di sekitar anda sebagai password. Misalnya ya itu tadi, nama istri, kakek, nenek, ibu, bapak, anak, mertua, tanggal lahir, plat nomor mobil, merk perangkat elektronik, dan lain sebagainya. Password yang seperti ini dapat dibongkar dengan metode menebak, namun jika Anda mengkombinasikan password ini dengan huruf kecil, kapital, angka dan simbol, saya berani jamin password anda sulit dibobol.

Pastikan kabel keyboard ke komputer tanpa perantara apa pun. Jika tidak, maka hampir bisa dipastikan itu adalah hardware keylogger! Pastikan juga selalu awasi software yang terpasang pada komputer Anda. Karena Keylogger berbentuk software biasanya tidak terlihat. Baik itu di taskbar, tray icon, daftar Add/Remove Programs, Registry, atau Task Manager. (Mungkin) Hanya yang memasang keylogger itulah yang tahu bagaimana keylogger itu dihilangkan dari sistem. Biasanya dengan menekan tombol tertentu, kita mempunyai akses ke keylogger tersebut untuk kemudian menghapusnya dari sistem.

Masalah Network Sniffing mungkin solusinya hanya satu: Berhati-hatilah bermain di komputer Warnet, karena mungkin saja salah satu pengunjung warnet itu adalah hacker yang sedang mencoba mencuri password setiap orang yang ada di sana.

Untuk teknik shoulder sniffing, Anda dapat mengetikkan password dengan cepat atau membuat passwordnya rancu. Contohnya begini:

Cara Pertama, ketikkan password ngasal (dengan berpura-pura benar) sebanyak 2 kali. Kemudian pada kesempatan ke-3 Anda ketikkan passwordnya yang benar sekarang.
Cara Kedua, ketikkan huruf ngasal (dengan berpura-pura benar), setelah puas, tekan Home, ketikkan password yang benar, tekan [Shift] + [End], tekan Delete, tekan ENTER.
Cara Ketiga, silahkan berimajinasi dan berkreasi untuk mendapatkan cara ngasal yang lebih baik.

Terakhir, jangan mencatat password. Password yang penting dihafal, jangan dicatat.

Akhir kata, semoga post ini membantu Anda semua dalam mengamankan password

Tidak ada komentar:

Posting Komentar