Sistem Password
System Password yang umum digunakan adalah “one-way function”
menggunakan hash function.
Fungsi hash: fungsi yang menerima masukan string yang panjangnya sembarang,
lalu mentransformasikannya menjadi string keluaran yang panjangnya tetap
(fixed) (umumnya berukuran jauh lebih kecil daripada ukuran string semula).
Ada beberapa fungsi hash satu-arah yang sudah dibuat orang, antara lain:
MD2, MD4, MD5,
Secure Hash Function (SHA),
Snefru,
N-hash,
RIPE-MD, dan lain-lain
Kelebihan Password
Dengan menggunakan autentikasi menggunkan password kita memiliki 3
Proses Kelebihan yaitu
1. Mudah : Dengan menggunakan password akan mempermudah kita dalam
proses autentikasi dan masuk ke dalam system, Karena kita hanya mengisikan
user name dan password. Jika data yang kita masukkan valid kita akan
langsung masuk ke dalam system. Tanpa harus memalui alat atau proses –
proses yang ribet.
2. Murah : Dengan menggunakan password kita tidak perlu menggunakan alat
– alat lagi seperti finger print, scanner , barcode dan sebagainya. Kita hanya
menyediakan form Login yang kita buat lewat script bahasa pemrograman.
Tanpa Harus membeli alat.
3. Cepat : Dengan menggunakan password kita langsung terkoneksi dengan
system tanpa dihubungkan dengan suatu alat apapun, sehingga akan
mempercepat proses autentikasinya.
Kelemahan Password
System autentikasi seperti ini tidak aman apabila kita terkoneksi pada
jaringan orang lain men-tap jaringan, salah satunya menggunakan program
sniffer untuk menangkap data, dan akhirnya diperoleh data username beserta
passwordnya (passive attack). Akibatnya orang ini dapat mengaku sebagai user
dan memperoleh akses seperti halnya user sebenarnya.
Cara Mengatasinya
Untuk mengatasi kelemahan ini dibuatlah sistem crypto-based
authentication. Di sini pengiriman data dilakukan dengan mengenkrip username
dan password yang akan dikirim dengan kunci tertentu, dan kemudian didekrip di
sisi server. Demikian pula halnya dengan data-data yang dikomunikasikan antara
user dan server. Dengan begitu passive attack dapat diatasi karena yang disadap
adalah garbage (karena penyerang tidak mengetahui kuncinya).
Password Strong
Contoh dari password yang lebih kuat meliputi:
t3wahSetyeT4, tak satu kata kamus pun, mempunyai kedua-duanya karakter
numerik dan alpha.
4pRte!ai@3, tak satu kata kamus pun, mempunyai keduanya karakter alpha,
numeric, dan pembubuhan tanda baca.
Convert_100£ to Euros!, Ungkapan atau frase dapat panjang, mengesankan
dan berisi suatu lambang diperluas untuk meningkatkan kekuatannya.
Teknik Mencuri Password
Password Cracker
Adanya program-program pembobol password (password cracker) sangat
berbahaya karena bisa dipakai untuk merusak, tetapi juga mendidik agar setiap
orang selalu teliti dan perhatian terhadap hal yang dimilikinya. Prinsip program
ini adalah melakukan coba dan mencoba. Program pembobol tersebut sangat
mudah didapat/download dari internet, seperti tools: Hades, Claymore, Cain,
PWLFind, LopthCrack, ScanNT, NTCrack, Password NT, Brutus, Crack,
Crackerjack, Viper, John The Ripper, Hellfire, Guess, dan masih banyak lagi yang
bergentayangan dan terus bertambah canggih. Setelah mendapatkan nama atau
nomor user id, akan dicoba untuk mendapatkan ’pasangannya’ dengan beberapa
metode, di antaranya:
Dictionary Attack
Mengambil perbendaharaan kata dari kamus (dictionary). Pemecahan
password dilakukan melalui uji coba kata atau kalimat yang dikumpulkan dari
berbagai sumber. Karenanya, akan sangat berisiko jika sobat memilih password
dari kata-kata umum, termasuk juga istilah populer, nama, kota, atau lokasi.
Seperti: bandung, jakarta, cihampelas, dsb. Mencocokkan kata sandi dengan isi
kamus dari A-Z bukan hal yang sulit. Jika beruntung! Semakin cepat kemampuan
komputer, akan semakin singkat menemukan kecocokan.
Hybrid Attack
Teknik ini mengandalkan beberapa algoritma heuristic, seperti
menambahkan angka atau perkataan di belakang atau di depannya, membaca dari
belakang (terbalik), dan cara-cara unik lainnya. Sang cracker mengumpulkan
segala informasi tentang calon korbannya. Kemudian dijadikan bahan kombinasi,
sering dijumpai penggunaan password, seperti nama user-nya kemudian hanya
ditambah tahun lahir atau tahun sekarang, contoh: yunus78 atau agus2006