Teknik Menjebol Password di Dunia Cyber
Melakukan hacking terhadap password banyak dilakukan oleh penyusup (attacker). Tujuannya, memasuki komputer atau sistem jaringan secara tidak sah.
Idealnya password yang panjang dengan frase yang kuat akan susah dijebol. Namun, password panjang semacam itu akan sulit dipelihara, baik oleh user sendiri maupun network administator-nya. Meskipun demikian, password sendiri sebenarnya merupakan cara yang aman untuk memvalidasi user. Setelah password dikenali sistem, hanya user yang dikenal dan memiliki password-lah yang dapat melakukan akses terhadap sistem.
Sayangnya, hacker dan orang-orang berniat jahat memiliki seribu cara untuk mendapatkan password. Mereka dapat menebak password, misalnya password", "12345678", atau admin". Default password dan database password pun dapat dicari di Internet, bahkan diperjualbelikan secara bebas di pasar gelap/ underground. Kita tinggal mengeluarkan US$1 sampai 100 untuk membelinya, dan ribuan password pun sudah ada di tangan.
Untuk melakukan cracking password di komputer lokal, kita dapat menggunakan software seperti password cracking. Sementara untuk melakukan cracking password di jaringan, kita dapat menggunakan perkakas remote cracking atau network analyzer.
Berikut ini akan penulis sampaikan bagaimana seorang hacker dan orang jahat mendapatkan password. Juga akan dibahas tentang vulnerability (celah) yang biasanya dimanfaatkan penyusup untuk melakukan penerobosan ke dalam sistem, termasuk cara melakukan pencegahan terhadap hal ini.
Perlu diketahui bahwa banyak pengguna PC yang menggunakan kombinasi user ID dan password secara "seadanya". Ini karena tindakan memberi password hanya dianggap sebagai kewajiban umum saja. Karena itu, tidak mengherankan bahwa user biasanya tidak mengganti default password yang diberikan oleh administrator.
Tindakan tidak mengganti password ini sebenarnya sangat berisiko. Pasalnya, mungkin saja ada orang jahat yang mencoba menggunakan default password dari admin dan mencoba masuk ke dalam sistem.
Masalah terbesar dari penyalahgunaan password umumnya muncul karena proteksi password hanya diserahkan kepada satu orang saja. yakni pemegang password/pemilik account. Padahal, password sendiri dapat berpindah tangan atau mungkin diketahui orang lain tanpa sepengetahuan si pemilik password. Dari sini dapat diketahui beberapa kelemahan/ vulnerability penggunaan password seperti:
1. Vulnerability pada user atau organisasi. Dapat dikatakan di sini bahwa celah yang muncul diakibatkan kelemahan password policy organisasi dan bagian dari user security awareness.
2. Technical vulnerability. Hal ini biasanya disebabkan karena tidak dipakainya pengaman tambahan seperti enkripsi dan tidak amannya penyimpanan password pada komputer. Beberapa penyebab technical vulnerability ini antara lain:
a. penggunaan enkripsi seadanya atau menggunakan enkripsi yang lemah. Akibatnya, enkripsi tersebut dapat dipecahkan oleh para penyusup. Password yang telah dipecahkan tersebut bisa dipertukarkan dan diperjualbelikan di pasar underground.
b. penyimpanan password dan user id di media simpan yang umum seperti harddisk atau flasdisk. Hal ini sangat berbahaya karena berpotensi dianalisis dan diambil alih penyusup.
c. pengetikkan password secara ceroboh. Apa yang kita ketik akan muncul di layar komputer, sehingga password tersebut terbaca oleh orang lain.
d. adanya penyadapan menggunakan software tertentu seperti spyware atau keylogger. Dengan demikian, password sesulit apa pun yang kita masukkan akan tetap dapat diketahui oleh penyusup.
Seorang penyusup akan menggunakan beberapa cara untuk menjebol password (yang biasa disebut sebagai cracking the password). Langkah penjebolan password ini dapat dilakukan dengan metode atau cara yang sederhana. Namun ada juga yang menggunakan teknik yang cukup canggih. Berikut ini penulis ungkapkan beberapa di antaranya.
Beberapa teknik pembobolan password secara sederhana dilakukan via cara berikut:
Hal yang paling sederhana untuk menjebol password adalah dengan melakukan teknik social engineering. Misalnya, penjebol password akan mengaku sebagai teknisi vendor komputer yang akan melakukan maintenance. Atau, penyusup akan mengaku dirinya sebagai aparat keamanan yang sedang menangani suatu kasus. Penyusup yang menyamar sebagai teknisi atau aparat kepolisian ini akan meminta akses ke e-mail atau ke sistem yang sangat penting. Dengan cara ini, user ID dan password kita akan bisa diambil alih oleh penyusup.
Proses pencurian password juga dilakukan dengan cara melihat user tersebut mengetik password di keyboard. Penyusup lalu akan mengingat apa yang sudah diketikkan pengguna. Akibatnya, dalam hitungan menit. password sudah diambil alih penyusup.
Ini merupakan pembobolan dengan menggunakan teknik "tebak-tebakan". Caranya, penyusup akan mencoba memasukkan tanggal lahir, nomor telpon, nama anak/pacar/istri/suami/orangtua user, nama binatang kesayangan, nama sekolah, atau hobi sang user. Password yang bisa diambil dengan cara ini biasanya bersifat sederhanadan mudah ditebak.
· weak authentication
Pembobolan ini memanfaatkan kelemahan sistem operasi seperti Windows 9.x atau Windows ME. Ini karena kedua sistem operasi ini tidak membutuhkan password untuk diakses (atau memungkinkan dipakainya teknik bypass saat munculnya permintaan password, misalnya dengan menekan tombol ESC). Penjelasan proses ini dapat dicari di alamat http://www. Elc0ms0ft.c0m/prs.html#pspr dan di situs Cain and Abel http://www.oxid.it/cain.html.
2. High-tech password cracking
Tidak ada komentar:
Posting Komentar