Thursday, November 26, 2015

Tutorial Jebol Password dan Antisipasinya



Dalam bahasa Indonesia, password sering diterjemahkan dengan istilah kata sandi. Password berfungsi untuk perlindungan (proteksi) dan bersifat rahasia. Dengan demikian, hanya orang yang tahu password saja yang bisa membuka data ataupun mengakseslayanan. Orang tidak bisa sembarangan membuka data ataupun menggunakan suatu layanan karena harus tahu passwordnya. Password berisi deretan karakter yang dapat berupa huruf, angka, dan simbol. 

Password telah diterapkan untuk autentikasi berbagai layanan. Dalam transaksi perbankan, kita semua mengenal adanya ATM (Anjungan Tunai Mandiri). ATM mengharuskan pemilik kartu ATM untuk menghafal dan merahasiakan password yang biasanya hanya berupa nomor. Password tersebutsering disebut dengan Personal Identification Number (PIN).
Di internet, banyak website yang mengharuskan pengguna memasukkan user name(nama pengguna) dan password untuk mengakses layanan. Mulai dari email, forum, data, web hosting, situs berita, dan masih banyak lagi. Password yang berhubungan dengan komputer, biasanya dapat menggunakan seluruh karakter standar, yaitu kombinasi huruf, angka, dan simbol.
Berkaitan dengan penggunaan komputer, password dapat digunakan untuk memproteksi data dan sistem. Data yang diproteksi bisa berupa file, sedangkan sistem yang diproteksi bisa berupa program aplikasi, sistem operasi, dan BIOS komputer. 
Kelebihan dan Kelemahan

Password merupakan salah satu cara untuk melakukan autentikasi. Apakah autentikasi itu? Kata ini berasal dari bahasa Yunani yang berarti autentik. Password bertujuan agar klaim pengguna bahwa dia adalah orang yang berhak menggunakan layanan/data, dapat dikonfirmasi oleh sistem. Ada banyak cara yang dapat digunakan untuk melakukan autentikasi. Secara garis besar dapat dibagi menjadi tiga sebagai berikut.

•  Faktor pengetahuan.
Disebut juga dengan istilah: something what you know. Hanya pengguna yang tahu informasi tertentu saja yang dapat mengakses data dan layanan. Informasi ini bersifat rahasia dan dapat berupa password, pass phrase, ataupun PIN (Personal Identification Number).

•  Faktor kepemilikan.
Disebut juga dengan istilah: something what you have. Hanya pengguna yang memiliki barang tertentu saja yang dapat mengakses data dan layanan. Tentu saja barang tersebut bersifat unik dan tidak bisa sembarangan ditiru oleh orang lain. Barang tersebut dapat berupa kartu identitas (ID card), token, HP (Hand
Phone), dan sebagainya.

•  Faktor keturunan.
Disebut juga dengan istilah: something what you are. Hanya pengguna sendiri yang dapat mengakses data dan layanan. Autentikasi dilakukan dengan pengenalan ciri-ciri pengguna secara langsung. Bisa menggunakan banyak metode, mulai dari pengenalan suara, sidik jari, retina mata, pengenalan wajah, dan sebagainya.

Kelebihan Password untuk Autentikasi
Password tentu saja bersifat praktis. Pengguna hanya perlu menghafal kode password (what you know) tanpa harus menggunakan berbagai alat tambahan. Bandingkan dengan teknologi biometrik untuk pengenalan ciri-ciri pengguna (what you are). Tentu saja dibutuhkan teknologi pengenalan semacam sidik jari, retinamata, telapak tangan, dan sebagainya.

Kelemahan Password untuk Autentikasi
Selain kelebihannya yang bersifat praktis, penggunaan password juga mempunyai kelemahan, terutama diakibatkan oleh dua faktor:

•  Kecerobohan Pengguna
Dapat terjadi jika pengguna ceroboh dalam mengatur passwordnya. Mulai dari memilih password yang gampang ditebak, password tidak dijaga dengan baik sehingga bocor, pengguna lupa passwordnya sendiri, ataupassword digunakan secara sembarangan.

Contoh: Setiap kali password diketikkan, maka pada saat itulah bisa terjadi insiden pencurian password. Insiden kecil seperti gerakan tangan Anda diamati orang lain saat mengetik password, dapat menyebabkan password Anda dijebol.

•  Kelemahan Sistem
Dapat terjadi jika sistem tersebut memang cukup lemah dan dapat dibobol. Artinya, yang salah bukan penggunanya tetapi memang sistem itu sendiri lemah. Contoh: Password BIOS komputer. Bagi pengguna yang tahu, password BIOS dapat dihilangkan (reset) dengan cara memindahkan jumperpada motherboard.

Serangan untuk Menjebol Password
Password dapat dijebol dengan berbagai teknik. Faktor yang sering dibidik untuk dieksploitasi adalah kecerobohan pengguna dan kelemahan sistem. Sebelum membahas cara mengamankan password, kita akan membahas teknik serangan terhadap password. Dengan demikian, materi lebih jelas dan Anda tahu mengapa mengamankan password benarbenar penting. Teknik menjebol password hanya dibahas secara umum. Untuk detailnya, akan dibahas di bab-bab berikutnya.

Brute Force Attack
Brute forcemerupakan teknik menjebol password dengan cara mencoba memasukkan banyak password secara berulang-ulang dan otomatis. Keberhasilan cara ini ditentukan oleh lemah kuatnya password. Jika karakter untuk menuliskan password hanya sedikit, misalnya 1-4 huruf, maka dapat dengan mudah dijebol dalam hitungan menit. Semakin panjang password, akan semakin lama prosesnya. Untuk mengetahui berapa lama waktu yang dibutuhkan untuk menjebol password dengan brute force, Anda dapat menghitungnya sendiri dengan aplikasi Brute Force Calculator. Anda dapat menghitungnya secara langsung dengan membuka alamat website http://lastbit.com/pswcalc.asp.
Di bawah ini contoh penghitung waktu yang dibutuhkan untuk menjebol password dengan panjang password 10 karakter, kecepatan brute force 500000 password tiap detik.


Pada prakteknya, lama waktu yang diperlukan untuk menjebol password dengan jumlah karakter yang sama bisa bervariasi. Di tengah jalan, bisa jadi password yang dimasukkan oleh aplikasi brute force sudah benar.
Di bawah ini tabel berisi daftar tipe file yang sering diproteksi dengan password.


Untuk menjebol password file-file dokumen dengan brute force attack, Anda dapat menggunakan berbagai jenis software.

Dictionary Attack
Cara yang sedikit lebih canggih untuk menjebol password adalah menggunakan dictionary(kamus). Teknik ini mirip dengan brute force attack. Jika brute force mencoba menjebol password dengan semua karakter yang mungkin, teknik ini menggunakan kamus (dictionary) sehingga tidak semua karakter akan dimasukkan begitu
saja. Hanya kata-kata tertentu atau kombinasi karakter tertentu saja digunakan. Teknik ini lebih mudah menjebol password jika pengguna menggunakan kata atau karakter standar. Misalnya kombinasi huruf yang
mudah ditebak, kata dalam bahasaInggris/Indonesia, nama daerah.

Keylogger
Keylogger merupakan perangkat untuk merekam kombinasi huruf/karakter yang diketikkan oleh pengguna melalui keyboard. Keylogger dapat berupa software (perangkat lunak) maupun hardware (perangkat keras).
Dengan merekam dan menganalisishuruf yang diketikkan pengguna, Anda dapat memperkirakan password yang digunakan oleh pengguna tersebut. Keylogger dalam bentuk hardware sulit dideteksi. Berbeda dengan
software keylogger yang masih mungkin dikenali dengan aplikasi yang mampu melihat proses (process) pada komputer. Perangkat keras dapat berupa keyboard itu sendiri yang juga berfungsi sebagai keylogger. Tentu saja keyboard jenis ini tidak beredar luas di pasaran.
Ada juga hardware tambahan yang dapat dipasangkan ke dalam komputer dan akan merekam ketikan yang Anda buat. 
Social Engineering
Social engineering merupakan teknik pendekatan untuk memanipulasi orang lain sehingga mau memberikan password. Teknik ini lebih berkaitan dengan hubungan sosial, dan tidak harus menggunakan teknik hacking. Social engineering dapat dilakukan dengan cara menipu melalui email, website, telephone, maupun komunikasi langsung. Sebagai contoh, Anda dapat mengintip password yang sedang diketikkan seseorang dengan berpura-pura menemaninya berinternet. Sedangkan social engineering melalui email, website, dan telephone dapat dilakukan dengan penipuan. Intinya, Anda berpura-pura menjadi seseorang yang punya otoritas, misalnya Administrator, lalu meminta user memberitahukan passwordnya.

Phising
Phising berasal dari kata fishing,yang berarti memancing. Phising dilakukan dengan cara memancing pengguna sehingga pengguna tertipu dan mau mengetikkan passwordnya. Cara yang sering dilakukan adalah phising dengan email dan website. Phising melalui email dilakukan dengan mengirimkan email kepada calon korban. Di dalam isi email sudah dimasukkan link (tautan) yang digunakan untuk menipu korban. Misalnya tersedia link ke mail.yahoo.com. Padahal link tersebut tidak mengarah ke Yahoo; tetapi ke website lain dengan tampilan mirip dengan situs Yahoo Mail. Setelah pengguna tertipu dan mengetikkan password, maka password tersebut telah direkam dan dapat dipakai oleh pihak lain.

Eksploitas Kelemahan Sistem
Masih banyak pengguna yang tidak paham dengan sistem yang mereka pakai. Akibatnya, pengguna tipe ini sangat rawan terhadap serangan keamanan. Contoh: Banyak orang masih belum tahu bahwa Firefox dapat menyimpan password. Jika tidak waspada, password dapat ikut tersimpan sehingga dapat dibuka oleh orang lain.


Sniffing
Sniffing merupakan teknik untuk mengamati aliran data yang lewat melalui jaringan. Dengan kata lain, sniffing juga dapat digunakan untuk menyadap data rahasia termasuk password.

Mengamankan Password
Ada banyak faktor yang harus diperhatikan untuk memastikan password Anda tetap aman. Mulai dari pemilihan password, menggunakan password, dan mengetahui sistem dengan baik agar terhindar dari pencurian password.

Memilih Password
Pengamanan pertama harus dimulai dari memilih password yang akan dipakai. Password yang buruk akan mudah ditebak oleh orang lain. Selain itu, password yang lemah juga mudah dijebol dengan teknik brute force dan dictionary attack. Pertanyaannya adalah: Bagaimana memilih password yang baik? Ada dua hal yang harus dipertimbangkan:

•  Password susah ditebak orang lain maupun oleh aplikasi brute force/dictionary attack. Jika password Anda gampang ditebak, bisa jadi akan dibobol orang dengan mudah. 
•  Password mudah diingat. Bagaimana jika password Anda sangat sulit ditebak tetapi juga sulit dihafal? Tentu saja bisa berbahaya kalau Anda sendiri lupa passwordnya. Karena itu, password harus sulit ditebak tetapi gampang diingat. Untuk membuat password sulit ditebak ada beberapa trik yang dapat Anda terapkan, yaitu:
•  Jangan menggunakan kata umumdalam bahasa Indonesia maupun bahasa Inggris. Juga jangan menggunakan kata umum seperti nama orang, nama daerah, ataupun tanggal lahir. Kata yang terlalu umum akan mudah ditebak oleh orang lain serta lebih rentan dijebol dengan brute force attackyang memanfaatkan kamus (dictionary).
•  Jangan menggunakan jumlah karakter yang sedikit. Karakter yang sedikit sangat rentan dijebol dengan aplikasi brute force attack. Dianjurkan menggunakan password minimal 8 karakter. •  Sebaiknya menggunakan kombinasiangka dan huruf besar/kecil. Jangan hanya menggunakan huruf kecil saja. Untuk membuat password yang mudah diingat tentu susah-susah gampang. Intinya harus seunik mungkin tetapi mudah Anda ingat. Trik yang Penulis lakukan adalah menggunakan gabungan beberapa suku kata dari daftar kata yang penting. Untuk kata, Anda dapat menggunakan nama, alamat, tempat lahir, dan nama lain yang
penting bagi Anda. Untuk angka, dapat menggunakan tanggal lahir, tanggal hari raya, nomor pegawai/mahasiswa, nomor telepon, dan nomor lain yang Anda ingat.

Contoh password: 192madRachKayuloko

Password di atas dapat dijelaskan sebagai berikut.

•  192. Nomor awal IP yang banyak digunakan untuk membangun jaringan (IP private network biasanya 192.168.0.0). Kebetulan Penulis benar-benar ingat dengan nomor ini. •  madRach. Diambil dari nama Rachmad Hakim S.
•  Kayuloko. Nama desa di mana Penulis dibesarkan. Anda dapat berimprovisasi sendiri sehingga menghasilkan password yang sulit ditebak, sulit dijebol, tetapi dapat Anda ingat dengan mudah.

Menggunakan Password
Setiap kali mengetikkan password untuk menggunakan layanan, maka harus dilakukan dengan hati-hati.Itulah saat kritis di mana password dapat dicuri. Tentu Andatidak mau ada kamera pengawas yang mengintip gerakan tangan Anda saat mengetik password. Untuk itu, pastikan Anda menggunakan komputer yang aman. Pengguna rental komputer dan warung internet juga harus berhatihati agar tidak salah pilih.

Memahami Sistem dengan Baik
Dengan memahami cara kerja sistem, Anda akan tahu titik-titik lemah pada sistem tersebut. Dengan demikian, Anda dapat lebih berhati-hati dalam menggunakan layanan. Sebagai contoh, banyak pengguna baru internet yang tidak mengetahui bahwa internet messagingseperti Yahoo Messenger dapat menyimpan password. Bahkan ada yang tidak melakukan log out setelah menggunakan layanan seperti Yahoo email. Setiap kali melakukan login untuk mengakses data dan layanan, maka selalu lakukan log out. Selainitu, jangan pernah menyimpan password ke dalam komputer yang digunakan untuk publik.
Software Password Manager
Password harus dijaga agar tetap rahasia dan aman dari orang lain. Di sisi lain, Anda tidak boleh lupa dengan password. Dua hal yang berlawanan tersebut dapat menjadi kesulitan tersendiri. Untuk itulah hadir program aplikasi yang dapat dipakai untuk mengatur password.

Pada bagian ini, Saya akan membahas dua buah software yang dapat digunakan untuk manajemen password: Password Assistant dan Password Generator.
Password Assistant
Aplikasi Password Assistant dapat Anda unduh (download) pada salah satu alamat website di bawah ini:
•  http://password-assistant.smartcode.com/info.html
•  http://www.moonvalley.com/

Setelah proses download selesai,lakukan instalasi dengan langkahlangkah sebagai berikut:
1.  Jalankan instalasi dengan klik ganda pada file hasil download, yaitu PasswordAssistant.exe.
2.  Klik Nextuntuk melanjutkan instalasi.
3.  Klik Nextuntuk menyetujui perjanjian.


4.  Klik Nextuntuk menggunakan folder default untuk menyimpan file-file instalasi.
5.  Klik Nextuntuk memulai instalasi

6.  Klik tombol Finishuntuk menyelesaikan instalasi.

Setelah program Password Assistant selesai diinstal, Anda dapat mulai menggunakannya dengan cara berikut.
1.  Klik tombol Start Windowslalu pilih menu  All Programs > Password Assistant > Password Assistant.

2.  Anda dapat menggunakan aplikasi untuk membuat password. Caranya, tentukan konfigurasi yang akan digunakan untuk password lalu klik tombol Generate Passwords.

3.  Maka akan muncul daftar password yang dapat Anda gunakan. Klik OKuntuk menutup kotak dialog.


4.  Sedangkan untuk menganalisis kekuatan password, klik tab Password Analyzer.
5.  Ketikkan password yang akan dianalisis. Pada contoh ini, Penulis mengetikkan 192madRachKayuloko. Klik tombol Analyze Now.
6.  Maka akan muncul informasi di bagian bawah.


Password Generator
Password Generator bisa digunakan untuk membuat (generate) dan menyimpan password. Aplikasi ini dapat diunduh dari situs http://www.iobit.com/password-generator.html.
1.  Setelah instalasi selesai, jalankan program Password Generator.
2.  Klik tab Password Manager. Simpan password dengan klik tombol Add Record.
3.  Ketikkan ID dan password yang akandisimpan lalu klik tombol OK. 
4.  Maka daftar password akan disimpan.

No comments:

Post a Comment