NETWORK SECURITY

PASWORD MANAGEMENT

MUHAMMAD ZEN S. HADI, ST. MSC.

Introduction
2

Enumeration
Password Attack mediskripsikan berbagai aktivitas

termasuk di dalamnya crack, decrypt, delete dan

berbagai teknik untuk mendeface keamanan
password

Enumeration
3

Enumeration adalah proses koneksi ke sistem

ttargett k
kemudian
di mengumpulkan
lk d
dan
mendapatkan informasi username, nama mesin,
resource jaringan, sharing dan service.

Tool untuk melakukan Enumeration di platform

Windows:

Net View, Net Use, NBTStat, DumpSec, Hyena, SMB

Auditing Tool, NetBios Auditing Tool, netcat

NULL Sessions & Countermeasures

4

What is a NULL Session?

Answer: Gaining access to a system without Logging On

C:\> net use \\192.168.0.10\IPC$ /u:
Protocols providing information: CIFS/SMB and NetBIOS,
through TCP port 139. Win 2K/XP adds another SMB port,
445.
After the NULL Session is established, the hacker has a
channel over which to operate
NULL Sessions are Windows NetBios Vulnerabilities

NULL Sessions & Countermeasures

5

Cara pencegahan Null Session

Filter NetBIOS yang berhubungan dengan TCP, UDP ports

135-139 (firewall).
Disable NetBIOS over TCP/IP.
TCP/IP
Batasi anonymous
Tambahkan di registry
Registry Key: HKLM\SYSTEM\CurrentControlSet\LSA
Add Value
Value Name: RestrictAnonymous
Data Type: Reg_Word
Value: 2

DumpSec
6

DumpSec adalah security tool yang memberikan berbagai

informasi tentang system
system'ss users,
users file system,
system registry
registry,
permissions, password policy, dan services.

Prinsip Metode Penyerangan Password

7

Enkripsi
p yyang
g lemah
Diperbaiki dengan pemilihan password
Fungsi Hash terbaru MD5/SH-1
Guessing
Dictionary Attack
Brute Force

Brute-Force
8

Serangan brute-force adalah sebuah teknik serangan terhadap

sebuah sistem keamanan komputer yang menggunakan percobaan

terhadap semua kunci yang mungkin.
Pendekatan ini pada awalnya merujuk pada sebuah program komputer
yang mengandalkan kekuatan pemrosesan komputer dibandingkan
kecerdasan manusia.
manusia
Sebagai contoh, untuk menyelesaikan sebuah persamaan kuadrat
seperti x+7x-44=0, di mana x adalah sebuah integer, dengan
menggunakan teknik serangan brute-force, penggunanya hanya
dit t t untuk
dituntut
t k membuat
b t program yang mencoba
b semua nilai
il i iinteger
t
yang mungkin untuk persamaan tersebut hingga nilai x sebagai
jawabannya muncul.
Teknik y
yang
gp
paling
g banyak
y digunakan
g
untuk memecahkan p
password,,
kunci, kode atau kombinasi.

Contoh Brute Force

9

Crack password
utk
tk oracle
l

Fakta
10

User membuat p
password dari :
Birth date
Social Security Number
Childrens
Child name
Name of favorite artist
Word from dictionary
Numeric Sequence (like 90125)
Word Spell Backwords

Sistem Password
11

System
y
Password yyang
g umum digunakan
g
adalah

one-way function menggunakan hash function

Securing User and password

12

Password policy
Strong password
Password file security
/etc/passwd, /etc/shadow
Password audit
John
J h the
th ripper
i
Password management software
Centralized password (Centralized Auth System)
Individual password management

Linux Password
13

Menggunakan
gg
sistem shadow.
shadow adalah program yang membuat file /etc/passwd
menjadi dapat dibaca (readable) tetapi tidak lagi berisi
password dan sebagai gantinya disimpan di file
password,
/etc/shadow.
Contoh isi /etc/passwd

Linux Password
14

Contoh isi /etc/shadow

1. User name : It is your login name

2. Password: It your encrypted password. The password should be minimum 6-8
characters long including special characters/digits
3. Last password change (lastchanged): Days since Jan 1, 1970 that password was last
changed
4. Minimum:
Mi i
The
Th minimum
i i
number
b off d
days required
i db
between
t
password
d changes
h
ii.e. th
the
number of days left before the user is allowed to change his/her password
5. Maximum: The maximum number of days the password is valid (after that user is
forced to change his/her password)
6. Warn : The number of days before password is to expire that user is warned that
his/her password must be changed
7. Inactive : The number of days after password expires that account is disabled
8. Expire : days since Jan 1, 1970 that account is disabled i.e. an absolute date specifying
when the login may no longer be used

Windows Sistem
15

Menggunakan
gg
sistem SAM
Security Account Manager adalah database yang

berisi data pemakai dan group.

SAM tidak menyimpan password dalam bentuk
ASCII tetapi dalam bentuk hash.
SAM digunakan oleh Windows NT dan terletak di
HKEY_LOCAL_MACHINE\SAM dan
HKEY_LOCAL_MACHINE\Security\
\
\

Password Strength
16

Password Strong
17

Contoh dari password yang lebih kuat meliputi:

t3wahSetyeT4, tak satu kata kamus pun ,

mempunyai kedua-duanya karakter numerik dan

alpha.
4pRte!ai@3, tak satu kata kamus pun, mempunyai
keduanya karakter alpha, numeric, dan
pembubuhan tanda baca.
baca
Convert_100 to Euros!, Ungkapan atau frase
dapat
p p
panjang,
j g mengesankan
g
dan berisi suatu
l b
lambang
d
diperluas
l
untuk
k meningkatkan
k k
kekuatannya.

Aturan Pembuatan Password

18

Aturan Pembuatan Password

P
Password
d anda
d seharusnya:
h
paling tidak terdiri dari 8 karakter atau lebih panjangnya
Terdiri dari paling tidak 3 dari 4 tipe karakter berikut:
Huruf
H
f besar
b
Huruf kecil
Nomor atau numerik
Simbol seperti ! * () : |
Tidak terdapat pada daftar Kamus kata
Tidak terdiri dari NetID anda
Tidak terdiri dari karakter (AAA) dan berurutan (abc, cbs, 123,
321, dll)

Variasi Pembuatan Password

19

Password random

Password mnemonic
d!n.jng
d!n jng for user druid at system neo.jpl.nasa.gov
neo jpl nasa gov
i@i.n for user intropy at system intropy.net
"My 1st mnemonic password is cool" would be "M1mpic.
b33rb4sh
33 4
for beerbash

Password berpola
Misal : H untuk uppercase hex character
l untuk lowercase letter
HHHllH akan menjadi : A6BegD

Password Management And Password Checking

20

Pekerjaan routine :

Bootup BIOS Password

Connect ISP and provide a dialup password
Check mail using POP
Login yahoo mail
Login facebook Friendster
Telnet into companys server

Bayangkan jika password lemah gampang di tebak dan menggunakan

password yang sama

Perlu :

Limit user to an establish, approved application

For each approved application,
To assess password transmission procedure, try to sniffing
Eliminate any application that employ poor password storage and
transmission procedure
Test system
y
p
password for strength
g once a month.

Automatic Password Generator

21

Sebuah program generator password yang simple

Password Checking Application

22

Blowfish Password Crypt

yp
PAM (Pluggable Authentication Module)
Biometric Access Control
One Time Password

g hanya
y digunakan
g
untuk sekali
Password yyang
transaksi atau single login session (contoh di Bank)

PAM
23

Digunakan untuk pengecekan kekuatan password berdasarkan panjang dan

kompleksitasnya.
Cara kerja PAM:
a. Program X meminta PAM untuk otentikasi password
b. PAM mengecek apakah X diregister sebagai layanan yang berpassword (di
/etc/pam.d) dan mempunyai config file yang berhubungan dengannya.
c. PAM memberikan
b ik module
d l yang di
ditentukan
k dalam
d l
//etc/pam.d/X
/
d/X dari
d i
/lib/security, dan melakukan pengecekan password.

Biometric Access Control

24

Fingerprint Access Control

Anti-piggybacking
Face recognition
Iris Access Control