Password merupakan string atau karakter yang membentuk suatu kata dan digunakan sebagai authentikasi. Pada mulanya password digunakan sebagai identitas untuk memasuki suatu tempat. Jika kita mengetahui password untuk masuk ke tempat tersebut, maka penjaga gerbang akan mengijinkan kita masuk. Seiring berkembangnya jaman dan teknologi, beberapa hal mulai dikendalikan melalui sistem. Password dan username digunakan sebagai authentikasi untuk memasuki sistem tersebut. Password dan username akan dibandingkan dengan data yang ada pada database. Seorang user biasanya memiliki password untuk mengakses ATM, email, aplikasi jaringan, dll. Seorang pengguna komputer juga terkadang menggunakan password untuk file-file sensitif mereka. Tanpa adanya password, seorang user akan bebas mengakses hak miliknya ataupun milik orang lain. Hal ini memungkinkan informasi sensitif personal ataupun organisasi dapat dimanfaatkan oleh pihak tidak berkepentingan. Oleh karena password sangat penting, maka password sebaiknya dienkripsi.
Pada artikel sebelumnya telah dibahas symmetric, asymmetric, dan hash dalam kriptografi . Kebanyakan password di enkripsi menggunakan hash, seperti MD4, MD5, SHA-1 dan SHA-2 supaya keamanannya lebih terjaga. Berikut adalah beberapa hal yang mempengaruhi kuatnya password hash:
1.Quality of algorithm: bergantung pada jenis algoritma yang digunakan. Kompleksitas algoritma akan mempengaruhi resource dan kuatnya hash.
2. Key length: panjang dari password hash, semakin panjang length yang disediakan, akan semakin kompleks hash yang dihasilkan.
3. CPU cycles use to calculate the hash: besarnya clock pada CPU untuk menghitung kompleksnya algoritma hash.
4. Character set support: adanya karakter tertentu yang disertakan untuk menambah kompleksitas hash.
5. Password length: panjang dari password asli. Semakin panjang password yang ditentukan, maka pasword akan semakin kuat.
Teknik untuk crack password:
1. Brute-force attack: Percobaan brute-force dilakukan dengan cara menebak-nebak password sesuai panjang password. Penebakan dilakukan dengan cara mengurutkan alphabet dari awal hingga akhir, hingga menemukan password yang tepat.
a. Dictionary attack: Teknik ini mengacu pada kata-kata yang terdaftar dalam kamus (dictionary). Seseorang akan mencoba menebak password sesuai kata dalam kamus. Contoh: password, lovemom, iamgorgeous, dll.
b. Hybrid attack: Merupakan penggabungan dari brute-force dan dictionary attack. Teknik hybrid mengambil alphabet sesuai dictionary dan menambahkan angka pada akhir kata tersebut atau mengganti kata dengan angka. Contoh: password123, lovemom890, I4m90rgEoUs.
c. Mask attack: Merupakan perkembangan dari brute-force attack. Mask digunakan apabila sedikit petunjuk password diketahui. Contohnya password terdiri dari 8 character, character pertama merupakan huruf S besar. Maka perlu didefinisikan dengan S???????. Metode ini dapat mengurangi kerja resources dibandingkan brute-force biasa.
2. Pre-computation (Rainbow Tables): Pre-computation merupakan perhitungan dan penyimpanan enkripsi dari plaintext terpilih dan penyimpanan dari semua kemungkinan yang cocok. RanbowCrack menggunakan metode pre-computation ini. RainbowCrack bertujuan untuk mendapatkan plain text dari password yang sudah dirubah menjadi hash. Pasangan hash dalam file table precomputation disebut juga “rainbow table” yang bisa menggenerate sendiri atau didownload dari situsnya. Pre-computation membutuhkan waktu yang lebih sedikit dibandingkan metode brute-force, tetapi membutuhkan resources yang besar.
Adanya metode untuk mengetahui password dapat menjadi sebuah ancaman pribadi maupun organisasi. Agar terhindar dari ancaman tersebut, terdapat beberapa hal yang dapat mengurangi resiko hilangnya password:
1. Gunakan enkripsi untuk melindungi password.
2. Gunakan strong password / password yang kompleks:
.password sebaiknya:
-> menggunakan 15 karakter
-> merupakan kombinasi dari setidaknya 1 huruf, 1 angka, dan 1 karakter spesial
3. Menggunakan dua kali authentikasi dan akun di block setelah 3 kali gagal login.
4. User tidak dapat menggunakan kembali 5 password sebelumnya atau menggunakan password sekali pakai.
5. mengganti password maksimal setiap 3 bulan.
6. Mencegah terjadinya pre-computation attack.
7. Hindari menggunakan password yang sama pada akun yang berbeda
8. Gunakan Password Manager untuk menyimpan password secara aman dan terenkripsi
Berikut link dari daftar password yang sering digunakan:
1. Most Common Password list
Referensi:
Hashcat Wiki
Password – Wikipedia
