Posted by: Hartoto | 09/27/2008

Mengamankan Password Anda

—[Table Of Content]
[1] Preface
[2]    Mengapa password diperlukan
[3]    Bagaimana mereka mendapatkan password Kita
[4]    Solusi
[5] Penutup

—[Preface]
Password merupakan lambang keamanan anda dalam dunia maya. Tapi siapa sangka, password yang dengan susah kita rangkai itu ternyata sangat mudah di jebol orang-orang yang tidak bertanggung jawab. Mengapa hal itu bisa terjadi?Siapakah yang harus disalahkan?

Dalam artikel ini, kita akan berbagi pengalaman dalam hal memproteksi password.

—[Mengapa password sangat diperlukan]
Password merupakan rangkaian kata sandi sebagai kunci autorisaasi kita sebagai pengguna. Sama halnya ketika kita akan memasuki rumah maka gembok itu dianalogikan sebagai field (isian) username dan password, dan tentunya kuncinya adalah kata-kata sandi yang anda isikan.

Username dan password merupkan identifikasi pengguna. Hal ini jelas sangat diperlukan agar sistem menjaditeratur, yakni dapat membedakan antara pengguna yang satu dengan pengguna yang lain, juga masing masing ak akses mereka.
Melalui password, ID anda terjaga.

—[Bagaimana Mereka Mendapatkan Password Kita]
Pembicaraan ini merupakan sesuatu yang cukup luas. Hal ini karena banyaknya sistem/aplikasi  yang ada yang tentunya memiliki prinsip dan cara kerja yang berbeda pula. Jelaslah berbeda prinsip kerja windows dengan email, begitu juga pada login form web dan aplikasi lainnya. Semua memiliki karakteristik masing-masing. Oleh karena itu penulis akan membatasi pembahasan ini hanya pada windows, walaupun nantinya sedikit akan menyinggung aplikasi lain.

Salah satu prinsip CRACKER adalah AKSES TIADA BATAS. KOMPUTER ADALAH KUMPULAN BAUD DAN ELEKTRON YANG TERHUBUNG ANTARA SATU DENGAN YANG LAIN. JIKA KITA MELIHAT ADA PEMBATASAN-PEMBATASAN, ITU HANYA ‘BUAH KARYA’ MANUSIA YANG PASTI MEMILIKI KELEMAHAN. TIDAK ADA SISTEM YANG SEMPURNA.

Sebagai pengetahuan dasar bagi kita adalah bahwa sistem itu membutuhkan sesuatu yang digunakan sebagai pembanding terhadap username dan password yang kita ketikkan perbandinagn itu tidak lain adalah data-data yang kita masukan pada saat register atau signup prtama kali dimana data-data penting itu? Setiap aplikasi mempunyai pola tersendiri yang jelas user name atau pasword anda tersimpan dalam suatu file.demi keamanan file tersebut dilengkapi.

pernahkah anda berpikir mengapa tahu nama-nama user disuatu komputer? bagai mana dia bisa tau kalou pasword yang kita masukkan salah? pasti ada pembandingnya.

dalam hal ini hecker tidak menggunakan satu cara saja dalam menembus pasword anda berikut ini cara-caranya:
1.menggunakan metode trial atau error
2.menggunakan meode sosial engenering
3.menggunakan alat atau tools yang banyak beredar di internet seperti password recovery, password breaker, brutus, dll
4. menggunakan logical injection
5. membypass (membalik/melewatkan pengecekan)
6. memanfaatkan kelemahan anda

==========
PENJELASAN
==========

1. MENGGUNAKAN METODE TRIAL AND ERROR
Metode ini adalah metode yang paling mudah diantara metode yang ada sehingga bisa dilakukan oleh kebanyakan orang. Sama seperti namanya, metode trial and error adalah metode coba-coba. Seorang memasukkan sembarang password, jika salah mereka mencobanya dengan kata-kata yang lain. Karena banyaknya kemungkinan yang ada, maka metode ini memiliki peluang yang sangat kecil untuk menembus password anda.

2. MENGGUNAKAN METODE SOSIAL ENGINERING
Metode ini hampir sama dengan metode trial dan error di atas.Hanya ruang lingkupnya lebih sempit. Untuk mendapatkan password anda mereka (hacker, dkk) mencari informasi sebanyak-banyaknya mengenai anda, sekolah asal, penggilan anda, dll. Mereka kemudian memasukkan kata-kata tersebut kedalam isian password anda.

Termasuk dalam hal ini jebakan-jebakan yang mereka rancang untuk mendapatkan password anda. Contoh nyata dalam kasus ini adalah kasus klik bca. Mereka mebuat situs yang benar-benar mirip baik dari tamplan maupun isinya dengan situs aslinya (www.klikbca) dan mereka menamakan situs tersebut dengan situs yang mirip pula dengan nama situs aslinya. Misalnya http://www.clicbca.com, http://www.clickbca.com atau nama-nama lain. Jebakannya adalah ketika mereka mengisis nomor kartu kredit mereka dan juga pin-nya. data-data penting tersebut tersimpan dan kemudian dimanfaatkan oleh si pembuat situs palsu itu.

Contoh lain adalah situs tempat pengecakan/validasi kartu. Pembuat situs menginginkan ada seseorang yang memasukkan nomor kartu kredit dan pinnya untuk dilakukan validasi kemudian ditamplkan pesan error. Demikianlah hingga beberapa kali. Tahukan apa maksudnya? Maksudnya tidak lain untuk memastikan imputan. Bisa juga user jengkel sehingga memasukan no dan p
in aslinya sehingga nomor kartu dan pin kita bisa kebobolan.

Pembahasan lebih lanjut akan dipaparkan pada artikel-artikel selanjutnya.

3. MENGGUNAKAN TOOLS
Banyak orang yang meluangkan waktu untuk membantu kita melakukan hal ini. Mereka membuat tool khusus untuk memata-matai, mancari, bahkan mencuri password. Beberapa tool yang banyak digunakan cracker yaitu passwor breaker, password recovery, brutus dll. Penggunaannya juga sangat mudah sehingga memungkinkan digunakan oleh orang awam sekalipun.

4. MENGGUNAKAN LOGICAL INJECTION
Metode ini adalah meotode pertengahan. Prinsip kerjanya adalah membenaran hasil perbandingan antara password dan username asli dengan isiannya. Untuk mengisi dua field (password dan username) maka operator pembanding yang digunakan adalah “DAN”. Operator “dan” bernilai benar jka dua komponennya bernilai benar. Sederhananya seperti ini:

===========
U | P | U&P
———–
B | B | B
B | S | S
S | B | S
S | S | S
===========
KET:
U= Komponen pertama (dianalogikan sebagai password asli)
P= Komponen kedua (dianalogikan sebagi password yang kita masukkan)
U&P= pengujian nilai

Dari contoh diatas maka kita ketahui kondisi benar hanya dapat terjadi jika password asli (U) dan password yang kita isiskan (P) sama-sama benar. dan selainnya pasti salah.

ondisi di atas akan sangat berbeda drastis jika kita merubah operator pembandingnya dengan “ATAU”. lihat tabel berikut:

===========
U | P | U Atau P
———–
B | B | B
B | S | B
S | B | B
S | S | S
===========
KET:
U= Komponen pertama (dianalogikan sebagai password asli)
P= Komponen kedua (dianalogikan sebagi password yang kita masukkan)
U ATAU P= pengujian nilai

Searang jelaskan jika kita penggunakn operator pembanding “atau”, maka apapun yang akan kita masukkan akan menghasilkan nilai benar, selain itu tidak ada nilai (U) yang bernilai salah karena <U> adalah nilai yang sebenarnya/sebagai rujukan jadi harus bernilai benar.

Selain metode di atas, masih banyak logical injection lain yang biasa digunakn oleh hacker.

5. MEM-BYPASS SYSTEM
Car ini sangat sulit karena kita harus mengetahui car kerja system dan bahasa yang digunakan. Berbeda dengan ogical injection yang melakukan manipulasi dari luar. Bypass system ini benar-benar merubah/memodifikasi ulang system sehingga menghasilkan nilai yang dimaksud. Cara ini beresiko tinggi karena jika modifikasi yang dilakukan salah maka sistem akan rusak.

6. MEMANFAAATKAN KELENGAHAN ANDA
Kelengahan anda adalah peluang bagi mereka. Kebodohan anda juga. Perhatkan kasus unik berikut ini:

“Polan adalah admin lab sekolah, ia tidak ingin user Administrator dibuka oleh orang lain. Untuk itu ia membuat kombinasi password yang rumit dan panjang. Berikut ini password buatan Polan:
=========================================
Password= POLAN_;AyXk1_4’9k2Jpx8,=R9:01(x
=========================================
Bagaimana menurut anda, susahkan?
Benar, ini juga yang dialami pak Polan. Beliau kesulitan mengingat password yang telah dibuatnya. Untuk mengakalinya, pak polan menemukan cara yang “cemerlang”. Ia kemudian menulis passwordnya di atas kertas kecil kemuidan ia tempelkan di suduk kanan atas monitornya. Dengan demikian pak Polan berkeyakinan ia tidak akan lupa lagi passwordnya.”

Bagaimana menurut anda ide pak polan, “CEMERLANG” buka. Ya karena briliannya beliau sehingga siswanya dengan mudah menggunakan akses admin karena merek tahu passwordnya. Lho…. bukannya passwordnya susah ditebak karena rumit dan panjang.Apakah mereka menghapal passwornya? Tidak, buat apa mereka susah-susah menghapal passwornya jika jelas-jelas terpampang di monitor pak Polan.

—[SOLUSI]
Untuk mengamankan iD dan Password anda, ikuti tips-tips berikut:
>>Jangan membuat password yang berhubungan dengan data diri anda yang diketahui secara umum seperti nama lengkap, nama panggilan, tanggal lahir dengan berbagai format penulisan, tempat lahir, makanan favorit. artis kesayangan, dll. Anda bisa menggunakan data diri tapi yang benar-benar super rahasia yang anda yakini tidak diketahui oleh siapapun kecuali Anda.
>>Semakin panjang pasword anda maka semakin baik. Usahakan password anda tidak kurang dari 6 digit.
>>Gunakan variasi karakter seperti A-Z, a-z, 1-9, dan simbol-simbol.
>>Gunakan password yang berbeda untuk isian yang berbeda. Misalnya password windows berbeda dengan password email, berbeda juga dengan password friendster.
>>Periksa proses yang berjalan di komputer anda, adakah proses yang mencurigakan dan tidak anda kenal. jika ada matikan saja proses tersebut.
>>Jangan sekali-kali menulis password dan username anda kemudian menyimpannya di file atau di kertas yang bisa di lihat orang lain.
>>Jangan biarkan siapapun melihat anda sedang mengisi password atau ID (ketika login)
>>Jangan percayai siapapun
>>Jangan biarkan komputer anda diakses oleh siapapun dengan level admin.
>> Gunakan proteksi windows seperti
#Password bios
#Password StartUp
#Password Login User
>>Gunakan antivirus, anti malware dengan update terbaru.

Demikianlah artikel ini, yang terpenting adalah kita mengetahui bagaimana mereka memanfaaatkan titik celah kita dalam mencuri password. Maka pengetahuan adalah kunci utama dalam penanganannya. Saya selalu terbuka dalam menerima kritikan dan sharing anda dalam hal ini. Knowledge is free

******************************************
Author    : Hartoto
Subject    : Password dan Keamanannya
Email    : fatamorghana_02@yahoo.com
******************************************


Responses

  1. terimakasi atas tips-nya

  2. sama sama

  3. Sory numpang nanya Ka’…
    Aplikasi apa yg digunakan tuk buat password login windows dengan deteksi wajah ?
    Terma kasih atas jawabannya….

  4. @ Dirwan, cek di https://fatamorghana.wordpress.com/2010/12/01/password-wajah-pada-windows/

  5. @OK Thank You…. Tp kalo bsa sertakan link downloadnya Ka’…
    hehehhhhheee……

    • @ Dirwan, silahkan googling

  6. Iy, sdh sya dapat. Yg jadi masalah kalo login di waktu malam, susah masuknya……
    Terpaksa saya matikan lewat safe mode…..
    Mungkin ada saran supaya gampang login di waktu malam ??

    • @ Dirwa, pake software apa. kan saya sarankan veriface

  7. iy, sy pake veriface Ka’….


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

%d bloggers like this: