JobSheet 3

PASSWORD MANAGEMENT


I. Tujuan Pembelajaran
1. Mengenalkan pada mahasiswa tentang konsep Scanner dan Probing
2. Mahasiswa memahami konsep layanan jaringan dan port numbering
3. Mahasiswa mampu menganalisa kelemahan jaringan menggunakan software scanning
yang ada

I. Dasar Teori
Untuk dapat mengakses sistem operasi Linux digunakan mekanisme password. Pada
distribusi-distribusi Linux yang lama, password tersebut disimpan dalam suatu file teks yang
terletak di /etc/passwd. File ini harus dapat dibaca oleh setiap orang (world readable) agar
dapat digunakan oleh program-program lain yang menggunakan mekanisme password
tersebut.
Contoh isi file /etc/passwd :
root:..CETo68esYsA:0:0:root:/root:/bin/bash
bin:jvXHHBGCK7nkg:1:1:bin:/bin:
daemon:i1YD6CckS:2:2:daemon:/sbin:
adm:bj2NcvrnubUqU:3:4:adm:/var/adm:
rms:x9kxv932ckadsf:100:100:Richard M Stallman:/home/rms:/bin/bash
dmr:ZeoW7CaIcQmjhl:101:101:Dennis M Ritchie:/home/dmr:/bin/bash
linus:IK40Bb5NnkAHk:102:102:Linus Torvalds:/home/linus:/bin/bash

Keterangan :
Field pertama : nama login
Field kedua : password yang terenkripsi
Field ketiga : User ID
Field keempat : Group ID
Field kelima : Nama sebenarnya
Field keenam : Home directory user
Field ketujuh : User Shell
Password login yang terdapat pada file /etc/passwd dienkripsi dengan menggunakan algoritma
DES yang telah dimodifikasi. Meskipun demikian hal tersebut tidak mengurangi
kemungkinan password tersebut dibongkar (crack). Karena penyerang (attacker) dapat
melakukan dictionary-based attack dengan cara :
a. menyalin file /etc/passwd tersebut
b. menjalankan program-program yang berguna untuk membongkar password, contohnya
adalah John the Ripper (www.openwall.com/john/).
Untuk mengatasi permasalahan ini pada distribusi-distribusi Linux yang baru digunakan
program utility shadow password yang menjadikan file /etc/passwd tidak lagi berisikan
informasi password yang telah dienkripsi, informasi tersebut kini disimpan pada file
/etc/shadow yang hanya dapat dibaca oleh root.
Berikut ini adalah contoh file /etc/passwd yang telah di-shadow :
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/adm:
rms:x:100:100:Richard M Stallman:/home/rms:/bin/bash
dmr:x:101:101:Dennis M Ritchie:/home/dmr:/bin/bash
linus:x:102:102:Linus Torvalds:/home/linus:/bin/bash

Dengan demikian, penggunaan shadow password akan mempersulit attacker untuk
melakukan dictionary-based attack terhadap file password. Selain menggunakan shadow
password beberapa distribusi Linux juga menyertakan program hashing MD5 yang
menjadikan password yang dimasukkan pemakai dapat berukuran panjang dan relatif
mudah diingat karena berupa suatu passphrase. Mekanisme yang telah disediakan sistem
operasi tersebut di atas tidaklah bermanfaat bila pemakai tidak menggunakan password
yang "baik". Berikut ini adalah beberapa kriteria yang dapat digunakan untuk membuat
password yang "baik" :
a) Jangan menggunakan nama login anda dengan segala variasinya.
b) Jangan menggunakan nama pertama atau akhir anda dengan segala variasinya.
c) Jangan menggunakan nama pasangan atau anak anda.
d) Jangan menggunakan informasi lain yang mudah didapat tentang anda, seperti nomor
telpon, tanggal lahir.
e) Jangan menggunakan password yang terdiri dari seluruhnya angka ataupun huruf yang
sama.
f) Jangan menggunakan kata-kata yang ada di dalam kamus, atau daftar kata lainnya.
g) Jangan menggunakan password yang berukuran kurang dari enam karakter.
h) Gunakan password yang merupakan campuran antara huruf kapital dan huruf kecil.
i) Gunakan password dengan karakter-karakter non-alfabet.
j) Gunakan password yang mudah diingat, sehingga tidak perlu ditulis.
k) Gunakan password yang mudah diketikkan, tanpa perlu melihat pada keyboard.
l) Beberapa tool yang bisa dipakai untuk melihat strong tidaknya password adalah john
the ripper. Kita bisa memakai utility ini untuk melihat strong tidaknya suatu pasword
yang ada pada komputer.

II. Alat yang Digunakan
1. Unit komputer min. 2 unit
2. Switch hub 1 buah
3. Kabel UTP straight seckupnya
4. Tester kabel UTP 1 buah
5. Repository sistem atau koneksi internet



III. Percobaan
Melihat Password dengan John The Ripper
1. Login sebagai root dan buatlah beberapa 6 user baru, selanjutnya untuk 2 nama user, beri
password user sama dengan nama user . Nama user terserah anda. Contoh : userkiri,
passwd: userkiri; userkanan, passwd : userkanan; userbaru, passwd: userbaru. Satu user
dengan password yang unik, contoh : niken, passwd :kenis1234. Sedangkan : hadi,
passwdnya : 123456.
Contoh :
# adduser userkiri
User di console 1
Buat user baru pada console 1, tekan ctrl + alt + F1. Maka akan muncul tampilan
berikut. Login ke console 1 dengan user root dan isikan password.

Gambar 1 Akses console 1
Kemudian tambahkan user baru dengan perintah #adduser donghae, seperti gambar
berikut kemudian isikan password dan informasi lain, password sama dengan
username di akhir pengisian data konfirmasi data benar tekan y kemudian enter.

Gambar 2 Pembuatan user baru di console 1
User di console 2
Buat user baru pada console 2, tekan ctrl + alt + F2. Maka akan muncul tampilan
berikut. Login ke console 2 dengan user root dan isikan password.

Gambar 3 Akses console 2
Kemudian tambahkan user baru dengan perintah #adduser gongxii, seperti gambar
berikut kemudian isikan password dan informasi lain, password sama dengan
username di akhir pengisian data konfirmasi data benar tekan y kemudian enter.


Gambar 4 Pembuatan user baru di console 2
User di console 3
Buat user baru pada console 3, tekan ctrl + alt + F3. Maka akan muncul tampilan berikut.
Login ke console 3 dengan user root dan isikan password.

Gambar 5 Akses console 3
Kemudian tambahkan user baru dengan perintah #adduser minhoo, seperti gambar
berikut kemudian isikan password dan informasi lain, password berbeda dengan
username di akhir pengisian data konfirmasi data benar tekan y kemudian enter.


Gambar 6 Pembuatan user baru di console 3
User di console 4
Buat user baru pada console 4, tekan ctrl + alt + F4. Maka akan muncul tampilan berikut.
Login ke console 4 dengan user root dan isikan password.

Gambar 7 Akses console 4
Kemudian tambahkan user baru dengan perintah #adduser nichy, seperti gambar berikut
kemudian isikan password dan informasi lain, password tidak sama dengan username,
pada akhir pengisian data konfirmasi data benar tekan y kemudian enter.


Gambar 8 Pembuatan user baru di console 4
User di console 5
Buat user baru pada console 5, tekan ctrl + alt + F5. Maka akan muncul tampilan
berikut. Login ke console 5 dengan user root dan isikan password.

Gambar 9 Akses console 5
Kemudian tambahkan user baru dengan perintah #adduser harry, seperti gambar
berikut kemudian isikan password dan informasi lain, password tidak sama dengan
username, pada akhir pengisian data konfirmasi data benar tekan y kemudian enter.


Gambar 10 Pembuatan user baru di console 5
User di console 6
Buat user baru pada console 6, tekan ctrl + alt + F6. Maka akan muncul tampilan berikut.
Login ke console 6 dengan user root dan isikan password.

Gambar 11 Akses console 6
Kemudian tambahkan user baru dengan perintah #adduser anisa, seperti gambar berikut
kemudian isikan password dan informasi lain, password tidak sama dengan username,
pada akhir pengisian data konfirmasi data benar tekan y kemudian enter.


Gambar 12 Pembuatan user baru di console 6
2. Login sebagai root dan install john the ripper dari source.


Gambar 13 Login Sebagai User root
3. Cara instalasi source :
# tar -xvzf john-1.7.9.tar.gz --dir=/usr/local
Akan terbentuk direktori john-1.7.9 di usr/local
(tampilkan hasilnya)

4. Setelah itu masuklah ke direktori john-1.7.9
# cd /usr/local
# cd john-1.7.9
# cd src
# make
# make clean generic

5. Tunggu sampai proses kompilasi selesai karena cukup memakan waktu, kemudian
masuklah ke direktori run
# cd ../run (tampilkan hasilnya)
# ./john --test
6. Bila benar, anda akan melihat baris ini pada baris terbawah :
Benchmarking: NT LM DES [32/32 BS]... DONE
Raw: 2727K c/s real, 2777K c/s virtual

Gambar 14 Perintah hasil ./john --test
7. Setelah itu mari mengcrack password dengan john the ripper. Lakukan langkah-langkah
berikut :
a. Amati isi file /etc/passwd dan /etc/shadow
# cat /etc/passwd
(tampilkan hasilnya)
# cat /etc/shadow
(tampilkan hasilnya)
b. Lakukan umask terhadap direktori ../run
# umask 077



Gambar 15 Perintah umask 077
Apa guna perintah umask ? Apa arti umask 077 ?
Amati perintah diatas dengan : # ls al






Gambar 16 Perintah ls al pada direktori run

c. Jika password anda sudah ter-shadow, anda perlu melakukan unshadow
# ./unshadow /etc/passwd /etc/shadow > mypasswd



Gambar 17 Perintah unshadow
d. Amati isi mypasswd. Apakah benar sekarang semua password telah ter-unshadowed?
# cat mypasswd
(tampilkan hasilnya)
e. Untuk melihat password yang dicrack oleh john the ripper, amati dengan perintah ini
# ./john --show mypasswd
(tampilkan hasilnya)
Lihatlah, apakah semua user yang anda buat dapat dicrack oleh john? Jika tidak,
usermana yang tidak dapat dicrack ?
Amati apakah file password.lst dan all.chr ada ?
Gunakan :
# ls -al
(tampilkan hasilnya)
Pada direktori run terdapat 2 file yaitu password.lst dan all.chr.
File password.lst berisi listing password yang biasa dipakai oleh unix.
# cat password.lst
(tampilkan hasilnya)
Daftar password di atas adalah sebagian daftar password yang biasa digunakan di linux,
sebenarnya masih banyak lagi daftar password yang bisa digunakan.

(tampilkan hasilnya)
f. Jalankan lagi john untuk mengcrack semua password user. Ini mungkin makan waktu
lama.
# john mypasswd
Tunggulah sampai 10 menit, bila masih belum selesai, keluarkan perintah Ctrl C untuk
menghentikan john bekerja.
(tampilkan hasilnya)

Password yang dicrack ditempatkan di folder /john-1.7.9/run/john.pot. Amati file di
john.pot, perhatikan bahwa password masih dalam kondisi terenkripsi.
g. Untuk melihat hasil crack, jalankan perintah ini.
# ./john --show mypasswd
Capture-lah output perintah diatas dan catat di laporan untuk hasilnya, bandingkan
dengan langkah 7e.
(tampilkan hasilnya)
h. Untuk mengcrack user tertentu, anda dapat menggunakan opsi ini :
# ./john --show --users=userbaru mypasswd
Jika ingin mengetahui variasi perintah untuk john, lihat dokumentasi tambahan tentang
john the ripper atau carilah di internet.
(contoh tampilkan hasil crack)





Gambar 18 Hasil Crack untuk user user tertentu
Karena masing-masing user sudah berhasil dicrack, maka bisa dilakukan uji coba
perubahan password, sehingga ketika pemilik komputer login dengan password di atas
akan gagal. Berikut ini perintah ganti password user tertentu.

# passwd username


Gambar 19 Perubahan Password



Gambar 20 Login dengan username Harry gagal (invalid password)

Pengguna gagal masuk ke sistem dengan username harry karena password user harry sudah
diganti bukan harry 123 tetapi menjadi harry93. Inilah bahayanya jika password berhasil
dicrack oleh hacker maka mereka bisa login ke sistem dengan mudah.







Gambar 21 Login sukses (password : harry93)
i. Cracking paling baik dilakukan dengan menggunakan opsi incremental :
# john -i mypasswd
Bila terlalu lama hentikan proses. Capture hasilnya.



Gambar 22 Cracking password (1 password tidak bisa dicrack)
Jika ada peringatan ini, Crash recovery file is locked: /root/.john/john.rec, artinya anda harus
mengcopy file /root/.john/john.rec, lalu hapus file lama, dan ubah dari john(copy).rec menjadi
john.rec.

IV. Tugas
1. Bagaimana cara installasi john the ripper password ?
2. Jelaskan cara penggunaan john the ripper ?
3. Apa kegunaan shadow password pada linux ?

V. Kesimpulan