Password Cracking
Password untuk mengakses sistem komputer pada umumnya disimpan, secara khas bukan dalam format cleartext, di dalam suatu database sehingga sistem dapat melaksanakan verifikasi password ketika para user mencoba untuk login. Untuk memelihara kerahasiaan sistem password, data verifikasi password secara khas dihasilkan dengan menerapkan “one-way function” untuk password, yang mungkin dalam kombinasi dengan data lain. Karena kesederhanaan di dalam diskusi ini, ketika “one-way function”(yang mana mungkin keduanya baik fungsi enkripsi maupun kryptografi hash) tidak menyertakan suatu kunci rahasia, selain dari password, kita akan mengacu pada one-way function dikerjakan sebagai hash dan keluarannya sebagai hashed password (password yang dihash).
Meskipun fungsi-fungsi yang menciptakan password yang dihash mungkin secara kryptografi menjamin atau mengamankan, pemilikan password yang dihash menyediakan suatu jalan cepat untuk menguji terkaan untuk password dengan menerapkan fungsi untuk setiap terkaan, dan membandingkan hasil ke data verifikasi. Fungsi hash yang paling umum digunakan dapat dilakukan komputasinya dengan cepat dan penyerang dapat menguji terkaan yang berulang-kali dengan terkaan yang berbeda sampai berhasil, artinya password plaintext telah direbut.
Istilah password cracking secara khas terbatas pada perebutan satu atau lebih password plaintext dari hash password. Password cracking mewajibkan bahwa suatu penyerang dapat memperoleh akses ke hash password, yang manapun dengan pembacaan password verifikasi database ( melalui s Trojan Horse, virus, atau social engineering) atau menangkap hash password yang dikirimkan diatas jaringan yang terbuka, atau mempunyai beberapa cara lain untuk dengan cepat dan tanpa batas menguji apakah terkaan password benar.
Tanpa versi hash dari suatu password, penyerang masih bisa mencoba mengakses ke sistem komputer dalam kesangsian dengan password yang diterka atau dikira-kira. Bagaimanapun dengan baik sistem yang dirancang membatasi banyaknya usaha akses yang gagal dan dapat mengingatkan administrator untuk melacak sumber dari penyerangan jika kuotanya terlewati. Dengan hash password, penyerang dapat bekerja tanpa diketahui, dan jika penyerang telah memperoleh beberapa hash password, kesempatan untuk mengcrack sedikitnya satu sungguh besar peluangnya.
Ada juga banyak cara-cara lain perolehan password secara terlarang, seperti social engineering, ,wiretapping, keystroke logging, login spoofing, dumpster diving, phishing, shoulder surfing, timing attack, acoustic cryptanalysis, menyerang sistem manajemen identitas (seperti penyalahgunaan Self-Service password reset). Bagaimanapun juga, cracking pada umumnya di rancang untuk guessing attack.
Cracking dapat dikombinasikan dengan teknik lainnya. Sebagai contoh, penggunaan suatu metoda challenge-response authentication hash-based untuk verifikasi password yang mungkin menyediakan hash password kepada penguping, yang kemudian bisa mengcrack password itu. Sejumlah protokol kryptografi yang lebih kuat bertahan untuk tidak menyingkapkan hashed-password selama verifikasi di atas suatu jaringan, yang dengan melindunginya di dalam transmisi yang menggunakan suatu kunci berkualitas tinggi, atau dengan penggunaan suatu zero-knowledge password proof.
2 komentar:
wulan salut say ma kamu
ajarin mas?
bs gak?
Post a Comment
Comment di sini ya chuy!!!