Password merupakan informasi penting bagi setiap orang yang memiliki akun pada suatu media sosial online. Ini merupkan pertahanan utama yang mutlak di bawah kendali pengguna untuk melidungi informasi penting di dalamnya. banyak media sosial yang menjadikan password sebagai pelindung utama kerahasiaan informasi pengguna di dalamnya, seperti email, jejaring sosial, forum, blog, sistem informasi komunitas, media perbankan, dan layanan online website lainnya.
Password adalah baris pertahanan terdepan dalam menghadapi penjahat dunia maya. Sangatlah penting memilih sandi yang rumit dan berbeda-beda untuk tiap akun penting Anda dan memperbarui sandi secara teratur merupakan kebiasaan yang baik.Baca juga Kumpulan Script Backdoor .PHP
Secara normal kita akan cepat menyadari (dan panik) bila ada milik kita yang tercuri apalagi kalau kehilangan dompet atau hp. Ini wajar karena kita bisa dengan mudah mengetahui jika ada milik kita yang tercuri setelah kita tidak bisa menemukan lagi barang tersebut.
Namun bagaimana dengan pencurian password, apakah kita juga akan panik dan cepat menyadari ketika password kita dicuri orang ? Coba sekarang anda pikir, apakah anda yakin password anda belum dicuri siapapun ? Bagaimana cara mengetahui password kita sudah dicuri atau belum?
Karena password adalah informasi, sesuatu yang tidak berwujud fisik, tentu kasus pencurian password berbeda dengan kasus pencurian laptop. Kita bisa merasa yakin password kita belum dicuri selama bertahun-tahun tanpa menyadari bahwa sebenarnya password kita sudah dicuri sejak bertahun-tahun yang lalu juga.
Disini kita sebagai pemakai password harus sepenuhnya menyadari bahwa setiap saat password kita selalu berada dalam ancaman pencurian. Oleh karena itu harus menyiapkan strategi khusus untuk mengamankannya.
Teknik Pencurian Password
1. Smart guesses
Cara yang paling efektif untuk password cracking adalah dengan menggunakan logika atau mencoba password yang umum digunakan. Bagi banyak pengguna mereka menggunakan password yang dapat dengan mudah diingat, dan dengan demikian mudah ditebak, seperti:
- Kata "password"
- Angka "1234,123456,dst"
- Sama dengan nama pengguna
- Nama pengguna diikuti kombinasi angka 123 dst
- Nama sendiri
- Ulang tahun atau tempat kelahiran
- Keluarga
- Nama Pasangan
- Nama Hewan Peliharaan
- Warna favorit
- Nama favorit klub olahraga
- Hobi
- Pekerjaan
- Nama sekolah atau kampus
Metode ini dapat lebih efisien daripada menggunakan program cracking, satu hal lain yang perlu diingat adalah bahwa rata-rata pengguna menggunakan beberapa password yang sama dalam beberapa akun, jadi jika anda dapat mengetahui satu password untuk satu akun, kalian bisa mengakses ke sebagian besar akun dengan menggunakan password yang sama.
2. Dictionary Attacks
Dictionary Attacks adalah metode untuk menebak password menggunakan kata kamus sebagai penebaknya untuk memperoleh akses ke suatu sistem dengan menggunakan program.
Sudah banyak kasus kebocoran password jutaan pengguna dari situs-situs besar seperti dari Sony, LinkedIn, Rockyou, Adobe, nah dari situ salah satu sumber peretas mengoleksi, mengurutkan mulai dari yang paling sering dipakai untuk menjadi kamus password.
Beberapa bahkan dapat diberikan satu set informasi pribadi atau profil pengguna dan memilih kata-kata penting untuk menebak, bahkan jika mereka bukan kata-kata yang tepat, seperti kata ganti seperti nama terakhir dan nama keluarga.
Ada juga kamus yang dibangun khusus untuk target tertentu dengan mengumpulkan informasi dari situs perusahaan tempat target bekerja. Sebagai contoh untuk perusahaan PT.ABCD kita bisa membuat kamus khusus unutk PT.ABCD Kamus seperti ini akan memuat kosakata yang relevan (nama, alamat, produk favorit perusahaan dsb) dengan target yang kemungkinan akan dipakai sebagai password oleh karyawan IT di sana.
Kelemahan dari dictionary attacks adalah bahwa hal itu jelas bergantung pada kata-kata yang disediakan oleh pengguna, biasanya kata-kata nyata, untuk fungsi. Jika password salah eja, dalam bahasa lain, atau sangat sederhana menggunakan kata yang tidak ada dalam kamus atau profil, tidak dapat berhasil. Sebagian besar waktu bahkan menggunakan dua kata dalam satu password dapat menggagalkan dictionary attacks.
Contoh program yang menggunakan dictionary attacks adalah John the Ripper, L0phtCrack, dan Cain And Abel.
3. Brute Force
Brute force password attacks adalah jalan terakhir untuk password cracking karena mereka adalah yang paling efisien. Dalam istilah yang paling sederhana, brute force berarti secara sistematik mencoba semua kombinasi password yang ada.
Metode ini cukup efisien untuk password pendek, tapi akan mulai menjadi tidak layak untuk mencoba, bahkan pada hardware modern, dengan password 7 karakter atau lebih besar. Dengan asumsi hanya karakter abjad dan huruf kecil, itu akan mengambil 267 (8031810176) tebakan.
Ini juga mengasumsikan bahwa cracker tahu panjang password. Faktor-faktor lain termasuk jumlah, kasus-sensitivitas, dan simbol lainnya pada keyboard. Kompleksitas password tergantung pada kreativitas pengguna dan kompleksitas dari program yang menggunakan password.
4. Rainbow Tables
Rainbow Tables adalah jenis serangan sandi precomputed. Dua serangan sebelumnya, dictionary dan Brute-Force, masukkan password ke dalam program terkunci, program kemudian membagi entri dan membandingkan hash ke hash password yang benar.
Menghitung hash untuk setiap kata dalam kamus, menyimpan semua hash ke dalam tabel hash, mengambil hash dari password yang di crack dan melakukan perbandingan antara setiap hash password dan hash password yang sebenarnya.
Metode ini mengasumsikan bahwa Anda dapat mengambil hash dari password untuk ditebak dan bahwa algoritma hashing adalah sama antara rainbow tables dan password. Sebagai mayoritas umum, hash-keamanan rendah dihitung dengan menggunakan MD5, kadang-kadang SHA-1, masalah ini sangat tidak mengkhawatirkan Untuk memberikan gambaran tentang seberapa besar rainbow tables :
| Set Karakter | Panjang | Ukuran Table |
| ABCDEFGHIJKLMNOPQRSTUVWXYZ | 14 | 0.6 GB |
| ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789 | 14 | 3 GB |
| ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()-_+= | 14 | 24 GB |
| ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()-_+=~`[]{}|\:;"'<>,.?/ | 14 | 64 GB |
Contoh program yang menggunakan rainbow tables adalah OphCrack, Oracle, and RainbowCrack.
Benchmarking
Untuk memberikan gambaran tentang kecepatan password cracker modern, menurut Red Data Security , pada sistem dengan 4 prosesor 3GHz Pentium, Oracle dalam mode brute-force, mengambil:
10 detik untuk menghitung semua kombinasi karakter 5 ascii (26 5)
5 menit untuk menghitung semua kombinasi karakter 6 ascii (26 6)
2 jam untuk menghitung semua kombinasi karakter 7 ascii (26 7)
2,1 hari untuk menghitung semua kombinasi karakter 8 ascii (26 8)
57 hari untuk menghitung semua kombinasi karakter 9 ascii (26 9)
4 tahun untuk menghitung semua kombinasi karakter ascii 10 (26 1)