PASWORD MANAGEMENT
Introduction
2
Enumeration
Password Attack mediskripsikan berbagai aktivitas
Enumeration
3
ttargett k
kemudian
di mengumpulkan
lk d
dan
mendapatkan informasi username, nama mesin,
resource jaringan, sharing dan service.
Windows:
DumpSec
6
Enkripsi
p yyang
g lemah
Diperbaiki dengan pemilihan password
Fungsi Hash terbaru MD5/SH-1
Guessing
Dictionary Attack
Brute Force
Brute-Force
8
Crack password
utk
tk oracle
l
Fakta
10
User membuat p
password dari :
Birth date
Social Security Number
Childrens
Child name
Name of favorite artist
Word from dictionary
Numeric Sequence (like 90125)
Word Spell Backwords
Sistem Password
11
System
y
Password yyang
g umum digunakan
g
adalah
Password policy
Strong password
Password file security
/etc/passwd, /etc/shadow
Password audit
John
J h the
th ripper
i
Password management software
Centralized password (Centralized Auth System)
Individual password management
Linux Password
13
Menggunakan
gg
sistem shadow.
shadow adalah program yang membuat file /etc/passwd
menjadi dapat dibaca (readable) tetapi tidak lagi berisi
password dan sebagai gantinya disimpan di file
password,
/etc/shadow.
Contoh isi /etc/passwd
Linux Password
14
Windows Sistem
15
Menggunakan
gg
sistem SAM
Security Account Manager adalah database yang
Password Strength
16
Password Strong
17
P
Password
d anda
d seharusnya:
h
paling tidak terdiri dari 8 karakter atau lebih panjangnya
Terdiri dari paling tidak 3 dari 4 tipe karakter berikut:
Huruf
H
f besar
b
Huruf kecil
Nomor atau numerik
Simbol seperti ! * () : |
Tidak terdapat pada daftar Kamus kata
Tidak terdiri dari NetID anda
Tidak terdiri dari karakter (AAA) dan berurutan (abc, cbs, 123,
321, dll)
Password random
Password mnemonic
d!n.jng
d!n jng for user druid at system neo.jpl.nasa.gov
neo jpl nasa gov
i@i.n for user intropy at system intropy.net
"My 1st mnemonic password is cool" would be "M1mpic.
b33rb4sh
33 4
for beerbash
Password berpola
Misal : H untuk uppercase hex character
l untuk lowercase letter
HHHllH akan menjadi : A6BegD
Pekerjaan routine :
g hanya
y digunakan
g
untuk sekali
Password yyang
transaksi atau single login session (contoh di Bank)
PAM
23
kompleksitasnya.
Cara kerja PAM:
a. Program X meminta PAM untuk otentikasi password
b. PAM mengecek apakah X diregister sebagai layanan yang berpassword (di
/etc/pam.d) dan mempunyai config file yang berhubungan dengannya.
c. PAM memberikan
b ik module
d l yang di
ditentukan
k dalam
d l
//etc/pam.d/X
/
d/X dari
d i
/lib/security, dan melakukan pengecekan password.