Ada sedikit keraguan bahwa password adalah ketidaknyamanan. Sayangnya, penggunaan password tetap merupakan cara paling praktis bagi sebagian besar dari kita untuk menjaga identitas on-line kita agar tetap milik kita sendiri. Tanpa password, atau jika anda tidak merahasiakannya, maka akan mudah bagi orang lain untuk menyamar menjadi anda, untuk membaca dan memodifikasi informasi anda dan untuk mengambil tindakan atas nama anda.
Mengingat kekuatan yang diperoleh dengan mengetahui password seseorang, tidak mengherankan jika banyak orang, dari "teman" hingga penjahat serius, mencoba menemukannya. Lembar fakta ini menjelaskan cara paling umum yang dilakukan dan beberapa cara agar sistem dan penggunanya dapat mencegahnya atau, setidaknya, mengurangi kerusakan saat terjadi. Tindakan pencegahan terhadap kehilangan password paling efektif saat sistem dan pengguna bekerja sama - perancang sistem harus berhati-hati dalam membuat kontrol mereka sehingga tidak nyaman sehingga pengguna mencari cara yang lebih mudah di sekitar mereka.
Toleransi pengguna terhadap ketidaknyamanan akan bervariasi, antara lain, pada budaya organisasi dan bagaimana mereka memandang pentingnya layanan dan informasi yang dilindungi. Oleh karena itu, pilihan tindakan harus memperhitungkan faktor-faktor tersebut. Pengguna di universitas dan perguruan tinggi cenderung berada di antara pengguna di bisnis yang diatur dan pengguna jejaring sosial, meskipun ekspektasi mereka dapat ditetapkan oleh yang terakhir dan mereka mungkin perlu mengingatkan bahwa mereka berada di lingkungan yang berbeda.
Ancaman Terhadap Password
Berikut ini adalah cara paling umum untuk mengetahui password orang lain untuk bisa menjadi pemiliknya selain pemiliknya yang sah.
Phishing/keylogger/sniffer
Cara termudah untuk menemukan password seseorang adalah meminta mereka memberi tahu anda. Hal ini dapat dilakukan dengan membujuk mereka untuk mengetikkannya ke situs web yang anda kontrol (umumnya dikenal sebagai phishing), dengan memasang keylogger (perangkat keras atau perangkat lunak) di komputer, atau dengan membaca lalu lintas pada jaringan nirkabel atau kabel tak terenkripsi. Bagi penyusup, metode ini sangat bermanfaat sehingga tidak masalah berapa lama atau kompleksnya kata kunci yang dipilih pengguna: penyusup dapat membacanya dengan mudah.
Crack hashes/brute force
Jika penyusup tidak dapat memperoleh password maka dia dapat menggunakan sebuah program untuk menghasilkan miliaran kemungkinan kata kunci (sering menggunakan teknik yang sama seperti yang disarankan untuk memilih kata kunci) dan mencoba masing-masing terhadap akun tersebut. Cara paling kasar untuk melakukan ini adalah dengan hanya mencoba masuk menggunakan setiap kata kunci yang dihasilkan: banjir pada log yang diakibatkan dari kegagalan password seharusnya mudah dideteksi oleh administrator sistem, namun karena penyerang terus menggunakan pendekatan ini, sepertinya masih cukup berhasil. Upaya dapat dilakukan terhadap layanan otentik yang lebih sulit, seperti SSH dan LDAP, untuk mengurangi kemungkinan deteksi.
Offline cracking
Serangan brute force jauh lebih tidak jelas jika penyusup dapat memperoleh salinan password terenkripsi, misalnya jika file password sistem dapat didownload, jika hash telah disertakan dalam file publik, atau jika mesin yang tidak dikenal dapat bergabung dengan autentikasi kelompok. Setelah penyusup memiliki satu atau lebih password terenkripsi, dia dapat melakukan dugaan kasar pada mesinnya sendiri (menggunakan perangkat keras modern dan algoritma ini mungkin memerlukan beberapa menit untuk mendapatkan password pendek), atau bahkan menggunakan layanan cloud, dan kemudian kembali ke proses masuk ke target setelah password yang benar ditemukan.
Password recovery/reset system
Seorang penyusup mungkin tidak perlu mendapatkan password dari pengguna jika dia dapat meyakinkan sistem autentikasi untuk mengirimkannya atau mengubahnya menjadi sesuatu yang menjadi pilihannya. Sistem untuk memungkinkan pengguna yang sah untuk memulihkan atau mengganti kata kunci yang telah mereka lupakan juga bisa membiarkan orang lain melakukan hal yang sama. Operator Helpdesk harus sangat berhati-hati untuk memeriksa identitas seseorang yang meminta reset kata sandi. Sistem on-line yang mengandalkan "pertanyaan rahasia" seperti "nama sekolah pertama" atau "ulang tahun" yang sangat mudah untuk di jebol jika informasi itu dapat ditemukan di jejaring sosial. Sistem yang mengirim pengingat ke alamat e-mail cadangan atau nomor telepon bisa gagal jika pengguna mengubah alamat atau nomor yang memungkinkan backup yang ditinggalkan untuk didaftarkan ke orang lain.
Educated guesswork
Harus jelas bahwa teknik yang sama yang digunakan untuk menebak jawaban atas pertanyaan rahasia juga bisa digunakan untuk menebak password. Apa pun berdasarkan sesuatu yang teman anda akan tahu, atau yang tersedia dari situs web, adalah pilihan yang sangat buruk sebagai kata kunci.
Penggunaan Password yang Sama
Kebanyakan orang sekarang memiliki banyak akun berbeda pada sistem yang berbeda baik dalam kehidupan pribadi maupun pekerjaan mereka. Meskipun praktik terbaik adalah memiliki password yang berbeda untuk setiap akun, sayangnya lebih umum menggunakan kembali kata kunci yang sama pada layanan yang berbeda. Itu berarti bahwa sebuah organisasi tidak hanya perlu khawatir tentang serangan di atas terhadap sistemnya sendiri, ia harus khawatir tentang serangan yang sama pada semua sistem lain yang menggunakan password yang sama. Ini mungkin berarti bahwa sebuah organisasi tidak lagi dapat sepenuhnya mengontrol apakah password-nya aman: ia juga harus mengembangkan rencana dan sistem untuk mendeteksi dan merespons ketika sebuah password telah disusupi.
Default password
Peralatan dan perangkat lunak sering kali memiliki password yang di pra-konfigurasi standar, tentu saja, sudah diketahui penyusup. Password semacam itu harus selalu diubah, meski masih sulit ditemukan di mana mereka bisa digunakan. Masalah yang terkait adalah dimana password diset untuk pengguna oleh administrator. Kecuali pengguna diharuskan mengganti password dengan yang tidak diketahui administrator, keraguan selalu dapat dibangkitkan dari dua orang yang mengetahui password yang sebenarnya masuk dan bertanggung jawab atas aktivitas akun. Jika ada alasan bahwa pengguna tidak dapat dipaksa untuk mengubah password mereka pada penggunaan pertama maka prosedur harus dirancang dan diikuti dengan hati-hati untuk memastikan bahwa kecurigaan tidak jatuh pada orang yang salah.
Password embed di program
Password terkadang juga diungkapkan dengan disertakan dalam skrip atau program. Meskipun ini mungkin merupakan cara mudah untuk mengotomatisasi akses ke sistem interaktif, hal ini membawa risiko yang tinggi akan pengungkapan dan alternatif harus sedapat mungkin digunakan. Jika tidak ada alternatif lain maka script atau program harus terlindungi dengan hati-hati dari akses yang disengaja atau tidak disengaja. Hasil terburuk adalah skrip yang berisi kata kunci plaintext untuk berakhir di situs web publik.
++++++++++ About Curator ++++++++++
Onno W. Purbo
Pakar IT Jaringan. Mantan Dosen. Penulis. Rakyat Indonesia biasa saja.