Password cracking adalah proses pemulihan password dari data yang telah disimpan di dalam atau dikirim oleh sistem komputer . A common approach is to repeatedly try guesses for the password. Pendekatan yang umum adalah untuk berulang kali mencoba tebakan untuk memasukkan sandi. The purpose of password cracking might be to help a user recover a forgotten password (though installing an entirely new password is less of a security risk, but involves system administration privileges), to gain unauthorized access to a system, or as a preventive measure by system administrators to check for easily crackable passwords. Tujuan password cracking mungkin untuk membantu pengguna kembali password yang terlupakan (meskipun memasang password yang sama sekali baru kurang dari risiko keamanan, tetapi melibatkan sistem hak administrasi), untuk mendapatkan akses tidak sah ke sistem, atau sebagai langkah preventif dengan administrator sistem untuk memeriksa password crackable mudah. On a file-by-file basis, password cracking is utilized to gain access to digital evidence for which a judge has allowed access but the particular file's access is restricted. Secara file-by-file, password cracking digunakan untuk mendapatkan akses ke bukti digital yang hakim telah memungkinkan akses tapi akses file tertentu adalah dibatasi.
Waktu untuk crack password yang berhubungan dengan kekuatan sedikit (lihat kekuatan password ), yang merupakan fungsi dari Teman informasi entropi password. Sebagian besar metode password cracking memerlukan komputer untuk menghasilkan banyak calon password, yang masing-masing diperiksa. Brute force cracking, dimana komputer mencoba setiap kunci yang mungkin atau password sampai berhasil, adalah common denominator terendah password cracking. metode yang lebih umum dari password cracking, seperti serangan kamus, memeriksa pola, substitusi daftar kata, dll, upaya untuk mengurangi jumlah percobaan yang diperlukan dan biasanya akan dilakukan sebelum kekerasan.
Kemampuan untuk crack password menggunakan program komputer merupakan fungsi dari jumlah password yang mungkin per detik yang dapat diperiksa. CAPTCHA , atau terpaksa lockouts setelah beberapa jumlah usaha yang gagal. Jika hash dari password target tersedia untuk penyerang, jumlah ini bisa sangat besar. Jika tidak, tarif tergantung pada apakah perangkat lunak otentikasi batas seberapa sering sandi bisa dicoba, baik oleh penundaan waktu,
Masing-masing komputer desktop dapat menguji di manapun di antara 1000000-15000000 password per detik terhadap hash password untuk algoritma yang lebih lemah, seperti DES atau LanManager. John the Ripper benchmark A-karakter sandi dipilih delapan pengguna dengan nomor, kasus campuran, dan simbol, mencapai kadar 30-bit perkiraan, menurut NIST. 2 30 hanya satu miliar permutasi dan akan mengambil rata-rata 16 menit untuk crack. [1] Ketika komputer desktop biasa digabungkan dalam usaha retak, seperti yang dapat dilakukan dengan botnet , kemampuan password cracking yang cukup diperpanjang. Pada tahun 2002, distributed.net berhasil menemukan 64-bit RC5 kunci dalam empat tahun, dalam upaya yang mencakup lebih dari 300.000 komputer yang berbeda pada berbagai waktu, dan yang menghasilkan rata-rata lebih dari 12 milyar kunci per detik. [2] Graphics prosesor dapat mempercepat password cracking dengan faktor 50 sampai 100 lebih dari komputer tujuan umum. Pada 2011, produk komersial yang tersedia yang mengklaim kemampuan untuk menguji sampai 2800000000 password yang kedua pada komputer desktop standar menggunakan-end prosesor grafis yang tinggi. [3] seperti perangkat bisa memecahkan satu huruf kasus sandi 10 dalam satu hari. Perhatikan bahwa pekerjaan dapat didistribusikan ke banyak komputer untuk speedup tambahan sebanding dengan jumlah komputer yang tersedia dengan GPU sebanding. Lihat:
Pada akhirnya, artikel ini akan menyediakan daftar periksa guna membantu melindungi anda dari password cracking.
Sebelum menjelaskan metode untuk melakukan hal ini, pertama kali kita menelaah pemikiran para penyerang dan mempelajari mengapa mereka ingin mengakses jaringan dan sistem anda.
Penyerang (Attacker): Bagaimana dan mengapa mereka menyerang
hingga saat ini masih terjadi perdebatan mengenai definisi dari kata “hacker”. Seorang hacker diartikan sebagai seseorang yang memiliki ketertarikan yang mendalam terhadap teknologi komputer; tidak didefinisikan sebagai seseorang ingin melakukan kerusakan. Sedangkan istilah “Penyerang” biasanya digunakan untuk menggambarkan seorang “hacker” perusak. Istilah lain dari Penyerang adalah “black hat”. Para analis keamanan seringkali disebut sebagai “white hat” dan analisa white-hat merupakan hacking dengan tujuan pertahanan.
hingga saat ini masih terjadi perdebatan mengenai definisi dari kata “hacker”. Seorang hacker diartikan sebagai seseorang yang memiliki ketertarikan yang mendalam terhadap teknologi komputer; tidak didefinisikan sebagai seseorang ingin melakukan kerusakan. Sedangkan istilah “Penyerang” biasanya digunakan untuk menggambarkan seorang “hacker” perusak. Istilah lain dari Penyerang adalah “black hat”. Para analis keamanan seringkali disebut sebagai “white hat” dan analisa white-hat merupakan hacking dengan tujuan pertahanan.
Motivasi para Penyerang sangat beragam. Beberapa hacker jahat adalah anak-anak SMA yang sering berada di depan komputer mereka dan mencari berbagai cara untuk mengeksploitasi sistem komputer. Para Penyerang lainnya adalah karyawan yang sakit hati dan berniat melakukan balas dendam pada suatu perusahaan. Dan masih ada serangan lainnya yang didorong oleh tantangan belaka dalam menembus sistem pertahanan komputer.
Metode Serangan
Password cracking tidak selalu berhubungan dengan tool yang rumit. Cara termudah adalah menemukan secarik kertas yang bertuliskan password yang diletakkan pada monitor atau disembunyikan dibawah keyboard. Teknik umum lainnya adalah yang dikenal sebagai “dumpster diving”, yang terkait dengan seorang Penyerang yang mengais keranjang sampah anda untuk menemukan sampah dokumen yang mungkin berisikan password.
Password cracking tidak selalu berhubungan dengan tool yang rumit. Cara termudah adalah menemukan secarik kertas yang bertuliskan password yang diletakkan pada monitor atau disembunyikan dibawah keyboard. Teknik umum lainnya adalah yang dikenal sebagai “dumpster diving”, yang terkait dengan seorang Penyerang yang mengais keranjang sampah anda untuk menemukan sampah dokumen yang mungkin berisikan password.
Tentunya serangan lainnya terkait dengan tingkat yang lebih rumit. Berikut ini beberapa teknik umum yang digunakan dalam password cracking:
- Serangan Dictionary
Sebuah serangan dictionary merupakan cara tercepat dan terbaik dalam melumpuhkan mesin. Sebuah file dictionary (sebuah file teks yang berisi kamus password) diload pada aplikasi cracking (seperti L0phtCrack), yang dijalankan terhadap user account yang ditemukan oleh aplikasi tersebut. Karena sebagai besar password seringkali tergolong sederhana, menjalankan sebuah dictionary attack seringkali cukup membantu.
Sebuah serangan dictionary merupakan cara tercepat dan terbaik dalam melumpuhkan mesin. Sebuah file dictionary (sebuah file teks yang berisi kamus password) diload pada aplikasi cracking (seperti L0phtCrack), yang dijalankan terhadap user account yang ditemukan oleh aplikasi tersebut. Karena sebagai besar password seringkali tergolong sederhana, menjalankan sebuah dictionary attack seringkali cukup membantu.
- Serangan Hybrid
Bentuk serangan lainnya yang terkenal adalah serangan “hybrid”. Sebuah serangan hybrid akan menambahkan angka atau simbol terhadap nama file untuk keberhasilan meng-crack password. Pola yang digunakan biasanya berbentuk: first month password is “cat”; second month password is “cat1”; third month password is “cat2”; dan seterusnya.
Bentuk serangan lainnya yang terkenal adalah serangan “hybrid”. Sebuah serangan hybrid akan menambahkan angka atau simbol terhadap nama file untuk keberhasilan meng-crack password. Pola yang digunakan biasanya berbentuk: first month password is “cat”; second month password is “cat1”; third month password is “cat2”; dan seterusnya.
- Serangan Brute force
Bentuk serangan lainnya yang tergolong rumit adalah brute force, seringkali memakan waktu yang sangat lama, tergantung kompleksitas password tersebut terkadang perlu waktu seminggu guna menebak password. L0phtCrack seringkali digunakan untuk melakukan serangan brute force.
Bentuk serangan lainnya yang tergolong rumit adalah brute force, seringkali memakan waktu yang sangat lama, tergantung kompleksitas password tersebut terkadang perlu waktu seminggu guna menebak password. L0phtCrack seringkali digunakan untuk melakukan serangan brute force.
Berikutnya, kita akan melihat beberapa tool yang digunakan untuk membobol sistem.
Tool yang banyak digunakan
Salah satu tool yang paling populer adalah L0phtCrack (sekarang disebut LC4). L0phtCrack merupakan sebuah tool yang memungkinkan seorang Penyerang merampas password yang dienkripsi Windows NT/2000 dan mengkonversi-nya kedalam plaintext. Password NT/2000 ada dalam hash kriptografi dan tidak dapat dibaca tanpa tool seperti L0phtCrack. Tool ini mencoba berbagai kemungkinan kombinasi alphanumerik untuk meng-crack password.
Salah satu tool yang paling populer adalah L0phtCrack (sekarang disebut LC4). L0phtCrack merupakan sebuah tool yang memungkinkan seorang Penyerang merampas password yang dienkripsi Windows NT/2000 dan mengkonversi-nya kedalam plaintext. Password NT/2000 ada dalam hash kriptografi dan tidak dapat dibaca tanpa tool seperti L0phtCrack. Tool ini mencoba berbagai kemungkinan kombinasi alphanumerik untuk meng-crack password.
Tool lainnya yang sering digunakan adalah protocol analyzer (sering dikenal dengan network sniffer, atau Sniffer Pro atau Etherpeek), yang mampu menangkap setiap potongan data pada segmen jaringan untuk dilampirkan. Saat tool ini dijalankan dalam “promiscuous mode”, dia dapat melakukan “sniff” (mengendus) segala sesuatu disekitar segmen jaringan seperti login dan transfer data. Sebagaimana yang akan anda lihat nanti, hal ini dapat menyebabkan kerusakan serius pada keamanan jaringan yang memungkinkan seorang penyerang mendapatkan password dan data yang sensitif.
Mari kita lihat beberapa skenario dan menguji cara para Penyerang melancarkan serangan mereka dan bagaimana caranya menghentikan atau mencegah serangan tersebut. Pertama-tama saya akan menjelaskan dua skenario yang terkait dengan serangan internal (serangan yang berasal dari orang dalam suatu organisasi), dan kemudian membahas dua skenario yang berhubungan dengan serangan eksternal.
Serangan Internal
Penyerang internal pada serangan yang paling sering terjadi karena para Penyerang memiliki akses langsung terhadap sistem organisasi. Skenario awal adalah melihat sebuah situasi dimana seorang karyawan yang sakit hati adalah seorang Penyerang. Penyerang tersebut, adalah seorang veteran administrator sistem, yang bertanggung-jawab pada sistem administrasi, manajemen dan perlindungan jaringan komputer.
Penyerang internal pada serangan yang paling sering terjadi karena para Penyerang memiliki akses langsung terhadap sistem organisasi. Skenario awal adalah melihat sebuah situasi dimana seorang karyawan yang sakit hati adalah seorang Penyerang. Penyerang tersebut, adalah seorang veteran administrator sistem, yang bertanggung-jawab pada sistem administrasi, manajemen dan perlindungan jaringan komputer.
Contoh: Teknisi Komputer
Tommy dikontrak untuk mengisi posisi teknisi komputer yang bekerja selepas jam kerja pegawai. Setelah jam kerja pegawai lainnya usai. Dia bersama 10 orang teknisi yang menyediakan coverage pada delapan remote site yang perlu dukungan perusahaan tersebut selepas jam kerja. Tommy selalu membawa laptopnya saat bekerja. Saat ditanya oleh manajernya perihal laptop tersebut, Tommy menjelaskan bahwa dia menggunakan laptopnya untuk mengisi waktu luangnya untuk mempersiapkan tes kecakapan-nya. Hal ini tidak terlihat mengganggu dan diperbolehkan, meski terdapat aturan keamanan perusahaan yang ketat perihal membawa mesin dari luar kedalam perusahaan tanpa pengawasan.
Tommy dikontrak untuk mengisi posisi teknisi komputer yang bekerja selepas jam kerja pegawai. Setelah jam kerja pegawai lainnya usai. Dia bersama 10 orang teknisi yang menyediakan coverage pada delapan remote site yang perlu dukungan perusahaan tersebut selepas jam kerja. Tommy selalu membawa laptopnya saat bekerja. Saat ditanya oleh manajernya perihal laptop tersebut, Tommy menjelaskan bahwa dia menggunakan laptopnya untuk mengisi waktu luangnya untuk mempersiapkan tes kecakapan-nya. Hal ini tidak terlihat mengganggu dan diperbolehkan, meski terdapat aturan keamanan perusahaan yang ketat perihal membawa mesin dari luar kedalam perusahaan tanpa pengawasan.
Tommy bahkan tertangkap oleh kamera pengawas yang mendapati kabel kecil yang diselipkan dibawah lengan bajunya. Tapi tidak ada yang melaporkan kehilangan, tak satupun yang membuktikan bahwa Tommy telah melakukan sesuatu yang salah. Dan saat ditanya oleh manajer pegawai mengapa ia ada dalam kloset, Tommy mengatakan bahwa ia telah salah masuk karena mengira bahwa itu adalah ruang istirahat.
Manajer keamanan perusahaan, Erika, membaca berkas laporan oleh penjaga yang bertanggung jawab terhadap keamanan fisik gedung. Dia terkejut melihat apa yang telah Tommy lakukan dalam closet tersebut dan tidak puas dengan jawaban yang diberikan oleh manajer pegawai. Maka dilakukanlah pencarian pada closet, disana ia menemukan seutas kabel yang tidak tersambung dimana salah satu ujungnya tersambung dengan panel dan hub port yang kosong. Saat dia menghubungkan kabel tersebut kembali, cahaya link tidak nampak lagi dan menandakan bahwa ini merupakan port mati. Manajemen Kabel Velcro melilitkan dengan rapi seluruh kabel tersebut bersama-sama. Dengan pengalaman selama bertahun-tahun, Erika tetap waspada terhadap eksploitasi keamanan, dia benar-benar mengetahui apa yang sebenarnya terjadi.
Erika beranggapan bahwa Tommy telah membawa dan menghubungkan laptopnya dengan kabel tersembunyi di closet. Kemungkinan besar dia mencari port mati pada hub dan menghubungkan laptopnya yang didalamnya terinstal sebuah packet sniffer, tool yang mengambil apa saja dari lalu lintas pada segmen jaringan. Saat Tommy kembali mengambil laptopnya, dia tertangkap oleh kamera pengawas, membawanya pulang untuk melakukan analisa terhadap file yang tersimpan.
Dengan menggunakan kebijakan keamanan perusahaan, dia menemui langsung Tommy dan menjelaskan tentang penggunaan milik pribadi semacam laptop dan palm pilot, yang dalam kasus ini termasuk ilegal. Dimulai saat Tommy yang seharusnya tidak boleh menaruh laptop-nya disana, dia mencoba mengelabui Erika. Tapi berkat pengujian yang sangat hati-hati, Erika menemukan jejak decode seperti yang digambarkan dibawah ini:
Gambar 1. Trafik Telnet yang ditangkap dengan sebuah protocol analyzer
Sebuah pengujian tertutup Hex pane dari Sniffer Pro Analyzer (lihat gambar 2) mengungkapkan data ASCII dengan jelas di sebelah kanan. Ketika disambungkan ke sebuah switch dalam closet, Tommy menjalankan konfigurasi tersebut begitu ia terhubung melalui sesi telnet. Protokol telnet dikenal sangat tidak aman dan mengirimkan data dalam bentuk clear text, sangatlah mudah melihat password yang digunakan yaitu: “cisco”
Gambar 2. ASCII decode dari plaintext data
Ini merupakan salah satu prinsip dasar dari keamanan: Jangan pernah menggunakan nama produk sebagai password. Tapi terkadang hal ini masih saja diabaikan.
Berikutnya, kita alihkan perhatian ke beberapa ancaman eksternal.
Serangan Eksternal
Penyerang eksternal adalah mereka yang harus melintasi “tembok pertahanan” guna mencoba dan melumpuhkan sistem anda. Mereka tidak memiliki kemudahan akses sebagaimana penyerang internal. Skenario pertama menyangkut bentuk umum sebenarnya dari serangan eksternal adalah deface website. Serangan ini menggunakan password cracking untuk membobol sistem yang ingin di deface.
Penyerang eksternal adalah mereka yang harus melintasi “tembok pertahanan” guna mencoba dan melumpuhkan sistem anda. Mereka tidak memiliki kemudahan akses sebagaimana penyerang internal. Skenario pertama menyangkut bentuk umum sebenarnya dari serangan eksternal adalah deface website. Serangan ini menggunakan password cracking untuk membobol sistem yang ingin di deface.
Kemungkinan lain dari password cracking adalah saat penyerang mencoba mendapatkan password melalui Social Engineering. Social Engineering merupakan trik mengelabui administrator yang tidak bersalah agar memberikan account ID dan passwordnya kepada penyerang. Mari kita lihat contoh berikut ini:
Contoh: Web site yang terdeface
Gambar 3 ini menunjukkan secara jelas dan sederhana contoh password cracking eksternal: mendeface halaman web. Perlu sedikit usaha dan biasanya disertai dengan mengeksploitasi Internet Information Server (IIS) yang ketentuan permisi-nya tidak benar. Penyerang ini tinggal menggunakan workstation dan mencoba menyerang IIS server dengan sebuah tool editor HTML. Saat berada di Internet hingga ke situs, penyerang menggunakan tool password generator seperti L0phtCrack, yang menjalankan serangan brute force terhadap server tersebut.
Gambar 3 ini menunjukkan secara jelas dan sederhana contoh password cracking eksternal: mendeface halaman web. Perlu sedikit usaha dan biasanya disertai dengan mengeksploitasi Internet Information Server (IIS) yang ketentuan permisi-nya tidak benar. Penyerang ini tinggal menggunakan workstation dan mencoba menyerang IIS server dengan sebuah tool editor HTML. Saat berada di Internet hingga ke situs, penyerang menggunakan tool password generator seperti L0phtCrack, yang menjalankan serangan brute force terhadap server tersebut.
Gambar 3. Halaman web yang diganti oleh penyerang
Reputasi perusahaan anda bisa jatuh. Vendor bisnis dan rekanan mengalami kerugian jika mereka merasa bahwa data anda disimpan pada server yang tidak aman. Pastikan anda melihat ancaman baik dari luar maupun dari dalam.
Contoh: Tipuan Social Engineering
Trik non-tool untuk mengcrack password dikenal dengan serangan social engineering. Baca skenario ini untuk dipelajari lebih jauh.
Jon adalah seorang analis keamanan yang baru pada sebuah perusahaan besar. Tugas pertamanya adalah menguji sisi keamanan perusahaan. Dia tentunya membiarkan manajemen mengetahui apa yang akan dia lakukan (jadi dia tidak dianggap sebagai seorang penyerang). Dia ingin melihat seberapa kuat dia bisa melumpuhkan jaringan tanpa menggunakan satu tool pun. Dia mempersiapkan dua serangan terpisah yang sama-sama mematikan.
Trik non-tool untuk mengcrack password dikenal dengan serangan social engineering. Baca skenario ini untuk dipelajari lebih jauh.
Jon adalah seorang analis keamanan yang baru pada sebuah perusahaan besar. Tugas pertamanya adalah menguji sisi keamanan perusahaan. Dia tentunya membiarkan manajemen mengetahui apa yang akan dia lakukan (jadi dia tidak dianggap sebagai seorang penyerang). Dia ingin melihat seberapa kuat dia bisa melumpuhkan jaringan tanpa menggunakan satu tool pun. Dia mempersiapkan dua serangan terpisah yang sama-sama mematikan.
Sebagai seorang pegawai baru di sebuah organisasi besar, John tidak mengetahui berapa banyak orang, yang dapat ia jadikan sasaran serangan social engineering. Target pertamanya adalah pegawai kantor. John membuat sebuah panggilan rutin kepada pegawai tersebut dan meminta password reset seperti yang disarankan remote user. Jon telah memiliki sebagian informasi yang dibutuhkan saat ia mengetahui bahwa konvensi penamaan perusahaan itu adalah inisial nama depan dan nama belakang user. Nama depan CEO adalah Jeff dan nama belakangnya adalah Ronald, jadi loginID-nya adalah JeffR. Informasi ini telah tersedia dari direktori telepon perusahaan.
Dengan menyamar sebagai CIO, Jon menelepon pengawai teknisi dan menanyakan sebuah password reset karena dia lupa password. Ini adalah hal yang biasa bagi pegawai teknisi yang sering mereset password yang terlupa 100 kali sehari dan menelepon kembali si pemohon untuk mendapatkan password barunya. Kira-kira 5 menit kemudian, pegawai teknisi menelepon Jon, dan memberikan ia password baru, yakni “Friday” karena hal itu terjadi hari Jumat. 5 menit berikutnya, John telah mendapatkan file share pada server dan berikut e-mailnya.
Serangan social engineering Jon yang berikutnya terkait dengan teman baik dari seseorang yang bekerja pada perusahaan telepon lokal. Jon meminjam seragam, sabuk dan badge dari seorang teman. Jon mengambil seragam baru dan menuju bagian lain dari kampus tersebut, di suatu tempat perbaikan router dan server. Hardware yang berisikan salinan pekerjaan dari seluurh data perusahaan dan dianggap rahasia. Jon berjalam menuju kantor keamanan kampus dengan berseragam pegawai Telkom dan menjelaskan bahwa dia telah dipanggil oleh seorang Local Exchange Carrier (LEC) karena ada sebuah sirkuit Telkom yang terpasang kendur. Dia perlu masuk ke Pusat Data agar dia dapat memeriksa apakah disana ada alarm pada Smart Jack.
Seorang administrator kantor mengantarkan Jon ke Pusat Data tanpa memeriksa ID-nya. Saat berada di dalam, administrator segera menunjuk ke suatu tempat, agar Jon dapat memulai tes-nya. Setelah beberapa menit, Jon menginformasikan administrator tersebut bahwa dia harus menelepon kantornya dan meminta mereka untuk menjalankan beberapa tes agar dia dapat memasang smart Jack dan melakukan perbaikan. Jon membiarkan administrator itu mengetahui bawa dia memerlukan waktu sekitar 45 menit, jadi administrator tersebut memberikan Jon nomor pagernya dan memintanya agar menghubunginya bila telah selesai. Jon sekarang berhasil mengenyahkan rintangan antara dirinya dan 30 jaringan server di tempat yang tertutup dalam Pusat Data.
Jon memiliki beberapa kesempatan sekarang. Dia bisa pergi ke setiap server dan mulai mencari konsol yang terbuka atau dia dapat menghubungkan laptopnya melalui port yang terbuka dan melakukan sniffing. Dia benar-benar ingin melihat seberapa jauh dia dapat pergi, dia memutuskan untuk mencari konsol yang terbuka. Kira-kira 5 menit kemudian dia melihat dengan seksama seluruh KVM slot, dia menemukan sebuah server Windows NT yang dijalankan sebagai Backup Domain Controller (BDC) untuk Domain. Jon mengeluarkan CD dalam tasnya dan memasukkan CD tersebut ke server. Dia menginstall L0phtCrak kedalam BDC untuk Domain perusahaan tersebut dan menjalankan serangan dictionary. Hanya dalam waktu 5 menit ia berhasil mendapatkan password: Yankees. Rupanya administrator tersebut seorang fans New York Yankees. Dia sekarang memiliki kases ke informasi vital perusahaan.
Sekarang lihat bagaimana hal ini dapat dilakukan.
Gambar 4. Menggunakan L0phtCrack untuk mendapatkan Administrator password
Daftar periksa perlindungan.
Berikut ini daftar periksa yang bisa anda lakukan untuk mempersulit password cracking:
Berikut ini daftar periksa yang bisa anda lakukan untuk mempersulit password cracking:
Audit organisasi anda! Teliti di sekeliling dan pastikan password tidak direkatkan di monitor atau dibawah keyboard.
1. Tentukan account palsu. Hapus account administrator atau atur account tersebut sebagai jebakan dan jadikan sebagai bagian dari audit.
2. Gunakan strong password untuk mempersulit penebakan password, dan jangan pernah meninggalkan peralatan dalam keadaan tidak terkunci.
3. Backup merupakan hal penting bila terjadi kerusakan. Anda perlu mengatur data, jadi pastikan anda melakukannya. Gunakan juga tape-drive yang “secure”.
4. Cegah pembongkaran tempat sampah. Jangan menaruh informasi sensitif disana; hancurkan atau kunci dengan rapat.
5. Periksa identitas dan bertanya pada orang yang tidak anda kenal. Bila anda kedatangan tamu, lakukan pemeriksaan identitas mereka di luar dan pastikan mereka memiliki tanda pengenal.
6. Didiklah pegawai anda. Pastikan mereka tidak menuruti telepon yang bersifat social engineering dan ajari dan ingatkan mereka akan kebijakan keamanan internal perusahaan.
2. Gunakan strong password untuk mempersulit penebakan password, dan jangan pernah meninggalkan peralatan dalam keadaan tidak terkunci.
3. Backup merupakan hal penting bila terjadi kerusakan. Anda perlu mengatur data, jadi pastikan anda melakukannya. Gunakan juga tape-drive yang “secure”.
4. Cegah pembongkaran tempat sampah. Jangan menaruh informasi sensitif disana; hancurkan atau kunci dengan rapat.
5. Periksa identitas dan bertanya pada orang yang tidak anda kenal. Bila anda kedatangan tamu, lakukan pemeriksaan identitas mereka di luar dan pastikan mereka memiliki tanda pengenal.
6. Didiklah pegawai anda. Pastikan mereka tidak menuruti telepon yang bersifat social engineering dan ajari dan ingatkan mereka akan kebijakan keamanan internal perusahaan.
Kesimpulan
Dalam artikel ini saya telah menjelaskan aspek psikologis dibalik motivasi Penyerang dan beberapa metode tingkat rendah maupun tingkat tinggi dalam mengcrack password. Anda telah melihat beberapa skenario serangan, termasuk serangant erhadap sebagian besar perusahaan yang dilakukan oleh administrator veteran, seorang pegawai teknisi dan pengacau dari luar. Anda juga melihat bagaimana password cracker yang menggunakan teknik internal dan eksternal terhadap infrastruktur anda.
Dalam artikel ini saya telah menjelaskan aspek psikologis dibalik motivasi Penyerang dan beberapa metode tingkat rendah maupun tingkat tinggi dalam mengcrack password. Anda telah melihat beberapa skenario serangan, termasuk serangant erhadap sebagian besar perusahaan yang dilakukan oleh administrator veteran, seorang pegawai teknisi dan pengacau dari luar. Anda juga melihat bagaimana password cracker yang menggunakan teknik internal dan eksternal terhadap infrastruktur anda.
Terakhir, beberapa ide tentang bagaimana mengamankan diri anda dan sistem anda dari kemungkinan serangan password cracking telah diberikan. Melawan serangan ini terutama sangat dibutuhkan usaha yang serius, melatih individu, penggunaan tool dan kebijakan keamanan yang tertulis. Saya mengharapkan, sebagai seorang analis keamanan yang proaktif, anda bisa membuat perbedaan dalam membantu memperlambat/mempersulit aktivitas mencurigakan baik dari dalam maupun dari luar perusahaan anda. Bisa anda akan menemukan Jon pada ruang server sedang tertawa karena data-data anda telah berada dalam genggamannya.
Narasumber
1. Baca artikel developerWorks Protecting Passwords: authenticating users, artikel ini sangat bermanfaat bagi anda dalam melindungi password di tempat pertama
2. Baca juga artikel developerWorks Setting up a security policy
3. Pusat Koordinasi CERT merupakan pusat pakar Keamanan Internet di Institut Software Engineering, sebuah lembaga pusat riset dan pengembangan yang dioperasikan oleh Universitas Carnegie Mellon. Mempelajari kelemahan keamanan internet, cara menangani insiden keamanan komputer dan mempublikasikan peringatan keamanan
4. Baca artikel yang diterbitkan oleh organisasi CERT yang berjudul Protecting Yourself from Password File Attacks
5. Aktivitas Password Cracking yang dijelaskan oleh organisasi CERT dapat disimak di http://www.cert.org/incident_notes/IN-98.03.html
6. Password cracking tool yang tersedia di dunia internet, silakan kunjungi http://www.pwcrack.com demi keamanan dan sumber daya cracking yang tersedia di Internet
7. Sans.org merupakan sumber terdepan perihal Administrasi Keamanan Jaringan dan Internet di seluruh dunia. Anda dapat menyimak berbagai tip dalam pustaka ekstensif informasi mereka
8. Informasi Keamanan Internet umum yang dapat disimak di Security Focus Web site.
9. Kunjungi juga situs Solusi Keamanan IBM
2. Baca juga artikel developerWorks Setting up a security policy
3. Pusat Koordinasi CERT merupakan pusat pakar Keamanan Internet di Institut Software Engineering, sebuah lembaga pusat riset dan pengembangan yang dioperasikan oleh Universitas Carnegie Mellon. Mempelajari kelemahan keamanan internet, cara menangani insiden keamanan komputer dan mempublikasikan peringatan keamanan
4. Baca artikel yang diterbitkan oleh organisasi CERT yang berjudul Protecting Yourself from Password File Attacks
5. Aktivitas Password Cracking yang dijelaskan oleh organisasi CERT dapat disimak di http://www.cert.org/incident_notes/IN-98.03.html
6. Password cracking tool yang tersedia di dunia internet, silakan kunjungi http://www.pwcrack.com demi keamanan dan sumber daya cracking yang tersedia di Internet
7. Sans.org merupakan sumber terdepan perihal Administrasi Keamanan Jaringan dan Internet di seluruh dunia. Anda dapat menyimak berbagai tip dalam pustaka ekstensif informasi mereka
8. Informasi Keamanan Internet umum yang dapat disimak di Security Focus Web site.
9. Kunjungi juga situs Solusi Keamanan IBM
ah dengar crack password ? Password cracking adalah istilah umum yang menggambarkan sekelompok teknik yang digunakan untuk memperoleh password pada sebuah sistem data. Password cracking khusus mengacu pada proses mendapatkan password dari data yang yang dilindungi dengan password; namun harus dicatat bahwa cara-cara menipu seseorang agar memberi password, seperti melalui phishing, tidak dianggap sebagai password cracking. Menebak password berdasarkan pengetahuan yang sudah ada sebelumnya dari pemilik sistem komputer dianggap cracking, karena password tidak dikenal sebelumnya.
Sebagian besar metode mendapatkan password, dilakukan dengan mengetik berulang kali untuk menebak atau mengeksploitasi kelemahan keamanan dalam sistem komputer. Ada beberapa metode yang berbeda menebak password seseorang. Satu diantaranya misalnya menggunakan data seputar pribadi dari orang yang sistem komputernya akan dicrack untuk memprediksi kemungkinan. Mengetahui nama-nama orang yang dicintai atau binatang peliharaan, tanggal lahir, nomor telepon, tempat tinggal, biasanya digunakan untuk menebak password.
Cara lain untuk menebak password berbasis cracking dikenal sebagai dictionary attack. Banyak orang menggunakan password yang dapat ditemukan di kamus atau kata-kata yang diikuti dengan satu nomor. Banyak program-program kategori cracking mencoba memasukkan kamus kata dan kombinasi nomor untuk crack password. Serangan ini umumnya tidak berguna terhadap password yang kompleks, tapi sangat efektif terhadap setiap kata sandi tunggal.
Serangan brute-force merupakan metode password cracking yang secara signifikan lebih kuat daripada serangan metode kamus. Sebuah program brute force attack akan mencoba setiap kombinasi karakter yang mungkin mencapai set pada password yang tepat. Ini sangat memakan waktu karena ada huruf yang mungkin tak terhitung jumlahnya, nomor yang banyak dan kombinasi simbol dari seorang individu yang bisa digunakan untuk password.
Metode cracking lain untuk password cracking bisa juga dengan menggunakan fungsi hash kriptografi sistem komputer. Sebuah fungsi hash kriptografi adalah suatu prosedur yang mengubah password ke bit string berukuran seragam. Jika hash dapat di-crack, dimungkinkan untuk reverse-engineer password. Kebanyakan fungsi hash sangat kompleks dan tidak dapat di-crack tanpa waktu dan usaha yang panjang.
Namun, ahli keamanan komputer yang terampil bisa memecahkan banyak jenis password. Tetapi sebagai pengguna komputer, ada beberapa langkah yang yang bisa dilakukan untuk menghindari upaya password cracking. Password yang kompleks selalu lebih baik dari yang sederhana. Password yang menggunakan huruf besar dan huruf kecil, angka, dan simbol lebih sulit untuk di-crack dari password yang hanya menggunakan satu atau dua kombinasi pilihan.
Dari keyworld dibawah inilah blog ini anda temukan:
- cracking adalah (25)
- password cracking (6)
- teknik menghindari password guessing (3)
- artikel tentang password cracking (3)
APLIKASINYA :
Other Cara Setting Blog Results aplikasi cracker:
aplikasi cracker fassword facebook
Aplikasi cracker fassword facebook free download. Software aplikasi cracker fassword facebook giveaway
http://www.giveawayoftheday.com/aplikasi+cracker+fassword+facebook/
Brutus Mig33 Cracker Software
Brutus is a cracker to crack mig33 or any passwords, it may as well pass cracker box e-mail (POP3), or the password of a FTP or a CGI, for that you test
http://mig33.mrbgo.com/mig33-cracking-tools/brutus-mig33-cracker-software
Free Look Password Aplikasi Downloads: Atomic PDF Password Cracker ...
Top free look password aplikasi downloads. Atomic PDF Password Cracker - The program is used to disable limitations for password-protected PDF files. Outlook Express ...
http://www.fileguru.com/apps/look_password_aplikasi/p4
Aplikasi password cracker mig33 Torrent Downloads - NowTorrents
Download aplikasi password cracker mig33 torrents. Download your favorite aplikasi password cracker mig33 torrents at NowTorrents
http://www.nowtorrents.com/torrents/aplikasi-password-cracker-mig33.html
Free msn cracker 7.0 to download
Msn cracker 7.0 free download. Software msn cracker 7.0 giveaway
http://www.giveawayoftheday.com/msn+cracker+7.0/
Home - mig33 INDONESIA
mig33 password cracker v.4.0 ... Google+ Web Search
http://www.migsoft.webs.com/
Password Cracker | KUMPERU
Contoh password buat ngCrack pke brutus & aplikasi Cracker lainya a aa aaa aaaa aaaaa aaaaaa aaaaaaa aaaaaaaa aaaaaaaaa aaaaaaaaaa b bb bbb bbbb bbbbb bbbbbb bbbbbbb ...
http://www.tarik.co.cc/2009/12/password-cracker.html
Tidak ada komentar:
Posting Komentar