Manajemen Password

Terlepas dari beraneka-ragamnya keberadaan sistem dan model keamanan

informasi berbasis teknologi yang canggih yang ada di pasaran, pada tataran
penggunaannya – terutama untuk user awam dan kebanyakan – kata kunci atau
yang dikenal sebagai “password” merupakan pendekatan keamanan yang paling
lumrah dipakai. Mulai dari cara mengoperasikan ATM, internet banking, email
account, dan sistem operasi sampai dengan mengendalikan mobil, mengakses
kamera keamanan, menjalankan robot, dan mengkonfigurasi sistem, password
merupakan hal yang sangat krusial dalam menjaga keamanan hak aksesnya.
Namun statistik memperlihatkan bahwa kasus kejahatan yang terjadi
dengan cara “membobol password” jumlahnya makin lama semakin banyak
belakangan ini. Dan uniknya, modus operasi kejahatan keamanan informasi yang
terkenal sangat klasik dan konvensional ini belakangan menjadi sebuah trend yang
menggejala kembali. Apakah yang sebenarnya terjadi? Hasil riset dan pengamatan
sejumlah lembaga independen memperlihatkan bahwa penyebab utama kasus
kejahatan meningkat karena buruknya manajemen password dari pengguna atau
user komputer.

Seluk Beluk Manajemen Password

Manajemen password merupakan suatu tata cara mengelola kata kunci
oleh pengguna agar fungsinya sebagai gerbang keamanan informasi dapat secara
efektif berperan. Dalam mengelola password ini ada sejumlah hal yang perlu
untuk diperhatikan sungguh-sungguh. Berikut adalah beberapa hal penting yang
patut untuk dimengerti dan dipertimbangkan sungguh-sungguh oleh semua
pengguna password.

Proses password atau Autentikasi Password

Password adalah bagian dari proses authentikasi. Sebuah istilah yang
merupakan ‘benteng’ terakhir dari sebuah sistem keamanan pada sebuah data atau
informasi. Konkretnya, salah satu cara yang umum digunakan untuk
mengamankan sebuah sistem adalah dengan mengatur akses pemakai (user) ke
dalamnya melalui mekanisme pencocokan kebenaran (authentication) dan
pemberian hak akses (access control).
Implementasi dari mekanisme ini antara lain dengan menggunakan
password. Contoh mudahnya adalah ketika akan menggunakan sebuah komputer,
pemakai diharuskan melalui proses authentication dengan menuliskan user id dan
password-nya. Informasi yang diberikan ini akan dicocokkan dengan data dalam
sistem. Apabila keduanya cocok (valid), calon pemakai diperbolehkan ‘masuk’
tapi jika tidak, pesan kegagalan akan muncul.

Setelah proses authentication, pemakai diberikan hak akses sesuai dengan

tingkatan hak yang diberikan kepadanya. Access control ini biasanya
dikelompokkan dalam kategori group. Ada group user biasa, ada tamu (guest),
dan ada juga sebagai penguasa/pengatur atau admin yang memiliki hak istimewa.
Pengelompokan ini disesuaikan dengan kebutuhan dan tugas masing-masing
pengguna. Di lingkungan kampus, biasanya ada kelompok mahasiswa,
staf,karyawan, dosen, rektor dan administrator. Sementara itu, di lingkungan
bisnis ada kelompok finance, engineer, auditor, marketing, director, dan
seterusnya.

Sistem Password
System Password yang umum digunakan adalah “one-way function”
menggunakan hash function.

Fungsi hash: fungsi yang menerima masukan string yang panjangnya sembarang,
lalu mentransformasikannya menjadi string keluaran yang panjangnya tetap
(fixed) (umumnya berukuran jauh lebih kecil daripada ukuran string semula).

Ada beberapa fungsi hash satu-arah yang sudah dibuat orang, antara lain:
 MD2, MD4, MD5,
 Secure Hash Function (SHA),
 Snefru,
 N-hash,
 RIPE-MD, dan lain-lain

Kelebihan Password
Dengan menggunakan autentikasi menggunkan password kita memiliki 3
Proses Kelebihan yaitu
1. Mudah : Dengan menggunakan password akan mempermudah kita dalam
proses autentikasi dan masuk ke dalam system, Karena kita hanya mengisikan
user name dan password. Jika data yang kita masukkan valid kita akan
 langsung masuk ke dalam system. Tanpa harus memalui alat atau proses –
proses yang ribet.
2. Murah : Dengan menggunakan password kita tidak perlu menggunakan alat
– alat lagi seperti finger print, scanner , barcode dan sebagainya. Kita hanya
menyediakan form Login yang kita buat lewat script bahasa pemrograman.
Tanpa Harus membeli alat.
3. Cepat : Dengan menggunakan password kita langsung terkoneksi dengan
system tanpa dihubungkan dengan suatu alat apapun, sehingga akan
mempercepat proses autentikasinya.

Kelemahan Password
System autentikasi seperti ini tidak aman apabila kita terkoneksi pada
jaringan orang lain men-tap jaringan, salah satunya menggunakan program
sniffer untuk menangkap data, dan akhirnya diperoleh data username beserta
passwordnya (passive attack). Akibatnya orang ini dapat mengaku sebagai user
dan memperoleh akses seperti halnya user sebenarnya.

Cara Mengatasinya
Untuk mengatasi kelemahan ini dibuatlah sistem crypto-based
authentication. Di sini pengiriman data dilakukan dengan mengenkrip username
dan password yang akan dikirim dengan kunci tertentu, dan kemudian didekrip di
sisi server. Demikian pula halnya dengan data-data yang dikomunikasikan antara
user dan server. Dengan begitu passive attack dapat diatasi karena yang disadap
adalah garbage (karena penyerang tidak mengetahui kuncinya).

Memilih Password yang Baik

Kriteria password yang baik sebenarnya cukup sederhana, hanya dibatasi
oleh dua syarat, yaitu: mudah diingat oleh pemiliknya, dan pada saat yang sama
sulit ditebak oleh orang lain atau mereka yang tidak berhak mengetahuinya.
Dalam prakteknya, persyaratan tersebut merupakan sesuatu yang susah-susah
mudah untuk diterapkan. Kebanyakan password yang mudah diingat oleh
pemiliknya cenderung mudah ditebak oleh orang lain. Sementara sebuah
password yang dinilai aman karena sulit diterka oleh mereka yang tidak berhak,
cenderung sulit diingat oleh yang memilikinya. Oleh karena itulah maka
diperlukan suatu teknik khusus untuk memilih password agar di satu pihak aman
karena terdiri dari susunan karakter yang sulit ditebak, namun di sisi lain mudah
bagi sang pemilik untuk mengingatnya.
Kebiasaan User Membuat password dari :
 Birth date
 Social Security Number
 Children’s name
 Name of favorite artist
 Word from dictionary
 Word Spell Backwords

Kriteria Password Ideal

Password yang baik disarankan memiliki sejumlah karakteristik sebagai
berikut:
 Terdiri dari minimum 8 karakter – dimana pada prinsipnya adalah makin
banyak karakternya semakin baik, direkomendasikan password yang relatif
aman jika terdiri dari 15 karakter;
 Pergunakan campuran secara random dari berbagai jenis karakter, yaitu:
huruf besar, huruf kecil, angka, dan simbol;
 Hindari password yang terdiri dari kata yang dapat ditemukan dalam kamus
bahasa;
 Pilih password yang dengan cara tertentu dapat mudah mengingatnya; dan
 Jangan pergunakan password yang sama untuk sistem berbeda.

Dalam menentukan password tersebut, ada sejumlah hal yang sebaiknya

dihindari karena karakteristik password berikut ini telah banyak
“diketahui” variasinya oleh para kriminal, yaitu:
 Jangan menambahkan angka atau simbol setelah atau sebelum kata-kata yang
biasa dikenal, seperti: pancasila45, nusantara21, 17agustus45, dan lain-lain;
 Jangan menggunakan pengulangan dari kata-kata, seperti: rahasiarahasia,
racunracun, ayoayoayo, dan lain-lain;
 Jangan hanya membalikkan karakter dari sebuah kata yang lazim, seperti:
gnudih, adamra, kumayn, dan lain-lain;
 Jangan merupakan sebuah kata yang dihilangkan huruf vokalnya, seperti:
ndns (dari kata ‘indonesia’), pncsl (dari kata ‘pancasila’), pnsrn (dari kata
‘penasaran’), dan lainlain
 Jangan menggunakan susunan karakter yang merupakan urutan penekanan
pada tombol-tombok keyboard, seperti: qwerty, asdfghjk, mnbvcxz, dan lain-
lain; dan
 Jangan hanya sekedar menggantikan karakter huruf dengan angka seperti
halnya nomor cantik pelat mobil tanpa melakukan sejumlah improvisasi,
seperti: s3l4m4t, g3dungt1ngg1, 5ul4we5i, dan lain-lain.

Teknik Membuat Password

Berdasarkan prinsip-prinsip yang telah dipaprkan sebelumnya, berikut
adalah sejumlah trik dalam mendesain atau menentukan password yang baik. Ada
sejumlah pendekatan yang dipergunakan, yang pada intinya bertumpu pada
bagaimana cara mengingat sebuah password yang aman.
Trik #1: Berbasis Kata
Katakanlah Donny seorang pemain basket ingin menentukan sebuah password
yang aman dan sekaligus mudah diingat. Hal-hal yang dilakukannya mengikuti
langkah-langkah sebagai berikut:
1. Memilih sebuah kata yang sangat kerap didengar olehnya dalam
kapasistasnya sebagai pemain basket, misalnya adalah: JORDAN.
2. Merubah huruf “O” dengan angka “0” dan merubah huruf “A” dengan angka
“4” sehingga menjadi: J0RD4N.
3. Merubah setiap huruf konsonan kedua, keempat, keenam, dan seterusnya
menjadi huruf kecil, sehingga menjadi: J0rD4n.
4. Memberikan sebuah variabel simbol tambahan di antaranya; karena Donny
terdiri dari 5 huruf, maka yang bersangkutan menyelipkan suatu variabel
simbol pada urutan huruf yang kelima, menjadi: J0rD %4n.
Trik #2: Berbasis Kalimat
Ani adalah seorang karyawan perusahaan yang memiliki hobby bernyanyi,
untuk itulah maka yang bersangkutan akan menggunakan kegemarannya tersebut
sebagai dasar pembuatan password aman yang mudah diingat. Berikut adalah
urutan pelaksanaannya:
1. Mencari kalimat pertama sebuah lagu yang disenangi, misalnya adalah:
“Terpujilah Wahai Engkau Ibu Bapak Guru, Namamu Akan Selalu Hidup
Dalam Sanubariku”, dimana kumpulan huruf pertama setiap kata akan
menjadi basis password menjadi: TWEIBGNASHDS.
2. Ubahlah setiap huruf kedua, keempat, keenam, dan seterusnya menjadi huruf
kecil, sehingga menjadi: TwEiBgNaShDs.
3. Untuk sisa huruf konsonan, ubahlah menjadi angka, seperti: Tw3i8gNa5hDs.
4. Kemudian untuk huruf kecil, ubahlan dengan simbol yang mirip dengannya:
Tw3!8gN@5hDs.
Kedua trik di atas hanyalah sejumlah contoh pendekatan yang dapat
dipergunakan oleh siapa saja yang ingin menentukan atau menyusun password
yang mudah diingat dan relatif aman seperti yang disyaratkan dalam paparan
terdahulu.

Password Strong
 Contoh dari password yang lebih kuat meliputi:
 t3wahSetyeT4, tak satu kata kamus pun, mempunyai kedua-duanya karakter
numerik dan alpha.
 4pRte!ai@3, tak satu kata kamus pun, mempunyai keduanya karakter alpha,
numeric, dan pembubuhan tanda baca.
 Convert_100£ to Euros!, Ungkapan atau frase dapat panjang, mengesankan
dan berisi suatu lambang diperluas untuk meningkatkan kekuatannya.
Teknik Mencuri Password
Password Cracker
Adanya program-program pembobol password (password cracker) sangat
berbahaya karena bisa dipakai untuk merusak, tetapi juga mendidik agar setiap
orang selalu teliti dan perhatian terhadap hal yang dimilikinya. Prinsip program
ini adalah melakukan coba dan mencoba. Program pembobol tersebut sangat
mudah didapat/download dari internet, seperti tools: Hades, Claymore, Cain,
PWLFind, LopthCrack, ScanNT, NTCrack, Password NT, Brutus, Crack,
Crackerjack, Viper, John The Ripper, Hellfire, Guess, dan masih banyak lagi yang
bergentayangan dan terus bertambah canggih. Setelah mendapatkan nama atau
nomor user id, akan dicoba untuk mendapatkan ’pasangannya’ dengan beberapa
metode, di antaranya:

Dictionary Attack
Mengambil perbendaharaan kata dari kamus (dictionary). Pemecahan
password dilakukan melalui uji coba kata atau kalimat yang dikumpulkan dari
berbagai sumber. Karenanya, akan sangat berisiko jika sobat memilih password
dari kata-kata umum, termasuk juga istilah populer, nama, kota, atau lokasi.
Seperti: bandung, jakarta, cihampelas, dsb. Mencocokkan kata sandi dengan isi
kamus dari A-Z bukan hal yang sulit. Jika beruntung! Semakin cepat kemampuan
komputer, akan semakin singkat menemukan kecocokan.

Hybrid Attack
Teknik ini mengandalkan beberapa algoritma heuristic, seperti
menambahkan angka atau perkataan di belakang atau di depannya, membaca dari
belakang (terbalik), dan cara-cara unik lainnya. Sang cracker mengumpulkan
segala informasi tentang calon korbannya. Kemudian dijadikan bahan kombinasi,
sering dijumpai penggunaan password, seperti nama user-nya kemudian hanya
ditambah tahun lahir atau tahun sekarang, contoh: yunus78 atau agus2006

Brute Force Attack

Cara terakhir ini cukup jitu, hanya kelemahannya adalah terlalu banyak
waktu yang dihabiskan. Apalagi, jika pin password yang ditebak cukup panjang
dan merupakan perpaduan dari banyak karakter. Dengan memakai teknik ini,
setiap karakter dalam keyboard, seperti: huruf dari a-z, A-Z, dan 0-9, serta ASCII
character akan dikombinasikan satu per satu sampai mendapatkan jawabannya.
Ilustrasi praktis dalam mencari kombinasi password adalah dengan rumus berikut
ini.
A=b^c
Keterangan :
a = Jumlah kombinasi password
b = Jumlah karakter yang dipersyaratkan
c = Jumlah karakter password yang harus ditebak
^ = Pangkat
Contoh:
Password yang ditebak terdiri atas angka, berarti karakternya hanya 10
(1,2,3,4,5,6,7,8,9,0). Jumlah atau panjang karakter passwordnya = 6, misalnya
(050679) Maka dipastikan password tersebut bagian dari: 10 ^ 6 = 1.000.000
kombinasi Bisa dibayangkan, berapa waktu yang dihabiskan jika karakter
kombinasi password-nya terdiri atas alpha-numerik dan karakter spesial lainnya,
ditambah lagi dengan panjang karakternya. Hal itu akan membutuhkan banyak
sekali kemungkinan kombinasi. Dan pasti membutuhkan komputer untuk men-
generate kombinasi serta mencocokkanya satu per satu dalam waktu berjam-jam,
berhari-hari, bahkan berbulan-bulan.

Kiat Memelihara Password

Walaupun terlihat aman, adalah sangat bijaksana untuk mengganti
password secara berkala, misalnya sebulan sekali atau seminggu sekali tergantung
kebutuhan dan konteksnya. Password yang kerap diganti akan menyulitkan
seorang kriminal untuk membobolnya. Dalam prakteknya, ada pula individu yang
kerap mengganti passwordnya setiap kali kembali dari perjalanan dinas ke luar
kota dan/atau ke luar negeri, hanya untuk memastikan bahwa tidak terdapat hal-
hal mengandung resiko yang dibawanya atau diperolehnya selama yang
bersangkutan bepergian. Hal yang perlu diperhatikan pula adalah hindari
menggunakan password yang sama untuk sistem yang berbeda, karena disamping
akan meningkatkan resiko, juga akan mempermudah kriminal dalam menjalankan
aksinya. Intinya adalah bahwa setiap kali seseorang merasa bahwa password yang
dimilikinya sudah terlampau lama dipergunakan, dan/atau yang bersangkutan
merasa sudah banyak orang di sekelilingnya yang terlibat dengannya dengan
kemungkinan ada satu atau dua di antara mereka yang tertarik untuk mengetahui
password terkait, tidak perlu ragu-ragu untuk segera mengganti password tersebut.
Aspek – Aspek Manajemen Password
Manajemen password meliputi aspek-aspek berikut :
 autentifikasi user & password (user authentication & password),
mendeskripsikan tujuan autentifikasi user dan teknologi alternatif untuk
autentifikasi;
 ancaman sekuritas (security threat), daftar ancaman sekuritas terhadap sistem
jaringan yang diproteksi dengan password;
 faktor manusia (human factor), mendeskripsikan bagaimana perilaku manusia
mempengaruhi manajemen password;
 komposisi aturan (composition rule), mendeskripsikan aturan-aturan yang
direkomendasikan untuk mengkomposisi password;
 mengubah & menggunakan kembali password (changing & reusing
password), mendeskripsikan rekomendasi untuk secara periodik mengubah
password dantidak menggunakan password lama;
 kerahasiaan (secrecy), mendeskripsikan keperluan untuk menyimpan
password tanpa pengetahuan orang lain;
 deteksi penyusup (intruder detection), mendeteksi dan merespons terhadap
serangan sekuritas;
 enkripsi (encryption), menggunakan teknik enkripsi untuk melindungi
password di tempat penyimpanan ataupun pada waktu pemakaian;
 sinkronisasi (synchronization), mendeskripsikan alasan-alasan dan risiko
menyimpan password pada sistem yang berbeda dengan password yang sama;
 dukungan terhadap user (user support), mendeskripsikan permasalahan
password yang dihadapi user, dan bagaimana menyelesaikannya dengan
aman;
 password windows (windows password), mendeskripsikan password yang
digunakan pada sistem operasi Windows 95, 98, dan ME;