Tim Pasword Security
-
Upload
berlyos-morenzia -
Category
Documents
-
view
232 -
download
3
Transcript of Tim Pasword Security
TUGAS 3
TEKNOLOGI INFORMASI DAN MULTIMEDIA
PASWORD SECURITY
OLEH :
1. BERLIOS MORENZIA (1210952030)2. IMRAN SILABAN (1210953031)
Dosen : Zaini P.hD
TEKNIK ELEKTRO
FAKULTAS TEKNIK
UNIVERSITAS ANDALAS
PADANG
2015
Password Security
Metode Digunakan Untuk Hacker ( Dalam Membobol User Account Dan Password)
1. Brute-force Attacks
Serangan brute-force adalah sebuah teknik serangan terhadap sebuah
sistem keamanan computer yang menggunakan percobaan terhadap semua
kunci yangmungkin. Pendekatan ini pada awalnya merujuk padasebuah
program komputer yang mengandalkan kekuatan pemrosesan komputer
dibandingkan kecerdasan manusia.Sebagai contoh, untuk menyelesaikan
sebuah persamaan kuadrat seperti x ! +7x-44=0, di mana x adalah sebuah
integer, dengan menggunakan teknik serangan brute- force, penggunanya
hanya dituntut untuk membuat program yang mencoba semua nilai integer
yang mungkinuntuk persamaan tersebut hingga nilai x sebagai jawabannya
muncul. Istilah brute force sendiridipopulerkan oleh Kenneth Thompson,
dengan mottonya:"When in doubt, use brute-force" (jika ragu, gunakan brute-
force).
Secara sederhana, menebak password dengan mencoba semua kombinasi
karakter yang mungkin. Bruteforce attack digunakan untuk menjebol akses ke
suatuhost (server/workstation/network) atau kepada data yangterenkripsi.
Metode ini dipakai para cracker untuk mendapatkan account secara tidak sah,
dan sangat berguna untuk memecahkan enkripsi. Enkripsi macamapapun,
seperti Blowfish, AES, DES, Triple DES dsbsecara teoritis dapat dipecahkan
dengan brute-forceattack. Pemakaian password sembarangan, memakai
password yang cuma sepanjang 3 karakter, menggunakankata kunci yang
mudah ditebak, menggunakan passwordyang sama, menggunakan nama,
memakai nomor telepon,sudah pasti sangat tidak aman. Namun brute force
attack bisa saja memakan waktu bahkan sampai berbulan-bulanatau tahun
bergantung dari bagaimana rumit passwordnya.
Ilutrasi Bagaimana Brute- Force Attack Bekerja
Brute Force attack tidak serumit dan low-tech seperti algoritma hacking yang
berkembang sekarang. Seorang penyerang hanya cukup menebak anama dan
kombinasi password sampai dia menemukan yang cocok. Mungkin terlihat
bahwa brute force attack atau dictionary attack tidak mungkin berhasil.
Namun yang mengejutkan, kemungkinan berhasil brute force attack menjadi
membaik ketika site yang ingin diretasi tidak dikonfigurasikan dengan baik.
Beberapa faktor yang menjadi keuntungan seorang hacker, bisanya disebabkan
oleh kemalasan manusia itu sendiri,
Hal-hal yang perlu diperhatikan dalam menggunakan metode brute force attac
a. Asumsikan bahwa password diketik dalam huruf kecil (lower case).
Pada kasus ini, waktu yang dibutuhkan akan cenderung sama tetapi jika
password mengandung huruf kapital (upper case) cara ini tidak akan berhasil.
b. Coba semua kemungkinan.
Tujuh karakter lower casemembutuhkan sekitar 4 jam untuk berhasil
mendapatkan password tetapi jika dicoba semua kemungkinan kombinasi
antara karakter upper case dan lower case akan membutuhkan waktu sekitar 23
hari.
c. Metode ketiga adalah trade-off.
Hanya kombinasi-kombinasi yang mungkin yang dimasukkan dalam pencarian,
sebagai contoh “password”, “PASSWORD” dan “Password”. Kombinasi rumit
seperti “pAssWOrD” tidak dimasukkan dalam proses. Dalam kasus ini,
lambatnya proses dapat tertangani tetapi ada kemungkinan passwordtidak
ditemukan.
2. Dictionary Attack
Dictionary Based Attack atau Dictionary Attack adalah kaedah
menceroboh/memasuki komputer yang dilindungi kata laluan atau pelayan
dengan sistematik memasukkan setiap perkataan dalam kamus sebagai kata
laluan. Dictionary Attack juga boleh digunakan dalam usaha untuk mencari
kunci yang diperlukan untuk mendekripsi mesej atau dokumen yang
terenkripsi.
Dictionary Attack terjadi/ditemui/dicipta kerana banyak pengguna
komputer dan peniaga menggunakan kata-kata biasa daripada kamus sebagai
kata laluan. Dictionary Attack jarang berjaya terhadap sistem yang
menggunakan beberapa frasa-kata, dan gagal melawan sistem yang
menggunakan kombinasi rawak dari huruf besar dan huruf kecil dicampur pula
dengan nombor. Dalam sistem tersebut, kaedah Brute Force Attack (di mana
setiap kemungkinan kombinasi karakter dan ruang dicuba sehingga panjang
maksimum yang tertentu) kadang-kadang boleh berkesan, walaupun
pendekatan ini memakan masa yang lama untuk berhasil.
Dictionary Attack adalah metode yang digunakan untuk membobol
password dengan menggunakan daftar kata yang ada dalam kamus atau daftar
kata yang ada dalam sebuah file teks. File tersebut berisi kata-kata yang diurut
berdasarkan kemungkinan yang lebih tinggi, misalnya berisi nama, tempat,
tanggal lahir, dll.
Contoh file dictionary.txt:
“budi
budijuanda
juanda
30695
300695
30061995
sungaipenuh
kerinci
jambi
dstnya
Metode ini lebih efisien dibandingkan metode Brute Force Attack yang
membutuhkan waktu cukup lama. Tentang Metode Brute Force Attack, telah
saya posting pada artikel sebelumnya. Untuk membandingkan kata-kata yang
ada di sebuah file teks, dibuatlah program yang berisi kode dengan logika
dasar sebagai berikut:
3. Hybrid Attack
Hybrid attack adalah metode cracking password yang digunakan dengan
cara mengkombinasikan kata yang ada di kamus dan diberi jeda dengan
karakter lain. Misal contoh password tersebut adalah “2easy4hard”. Metode
ini sangat mengejutkan, karena tingkat keberhasilannya tinggi, hal ini
dikarenakan banyak user sudah mengakali passwordny agar tidak dicuri,
namun password cracker dapat membacanya, karena rata-rata password
cracker melakukan hal yang sama dengan user.
Hybrid Attack - menggunakan teknik dictionary attack dan kemampuan
suatu program, kombinasi perkataan atau word list yang ada akan ditambah
dengan perkataan atau nombor lain di ujung atau permulaan dari password.
Program ini akan mengacak semua kombinasi- kombinasi yang ada yang kita
masukkan dan akan mengeluarkan output yang kira- kira mungkin terjadi.
4. Shoulder Surfing
Shoulder Surfing adalah salah satu metode yang digunakan oleh hacker
untuk memperoleh informasi tentang targetnya dengan menggunakan teknik-
teknik pengamatan langsung, seperti memeriksa tingkah laku seseorang,
untuk mendapat informasi. Teknik pengamatan langsung ini umumnya
digunakan dan efektif dilakukan di dalam tempat-tempat yang penuh sesak,
karena hal ini akan relatif mudah untuk mengamati tingkah laku seseorang
yang akan dijadikan sebagai target atau korban, seperti :
1. Saat seseorang mengisi form informasi tentang dia
2. Memasukkan PIN mereka pada satu anjungan tunai mandiri atau suatu
mesin POS (Point of Sale)
3. Menggunakan kartu nama pada suatu telepon prabayar yang publik
4. Memasukkan kata sandi pada suatu cybercafe, pustaka-pustaka publik dan
universitas, atau kios-kios pelabuhan udara.
Dalam teknis Shoulder Surfing, seorang hacker dalam mengamati
tingkah laku korbanyak, bisa menggunakan teropong dua lensa atau alat-alat
penambahan visi lain. Memasang kamera-kamera meni dan diletakkan dalam
plafon atau langit-langit, dinding sebagai peralatan untuk mengamati entri
data.
Untuk mencegah seseorang melakukan teknis Shoulder Surfing, bisa
dilakukan dengan cara sebegai berikut :
Membatasi pandangan seseorang, waktu kita menulis atau menggunakan
keypad untuk memasukkan informasi yang rahasia dengan menggunakan
tubuh kita atau tangan.
Anjungan tunai mandiri yang terbaru, sekarang mempunyai suatu
tampilan yang canggih untuk melindungi kemungkinan seseorang melakukan
Shoulder Surfing. Dengan memperkecil sudut pandang, dan satu-satunya cara
untuk melihat layar adalah dengan tepat berdiri secara langsung di depan
mesin ATM tersebut. Kamera keamanan tidak diizinkan untuk ditempatkan
secara langsung di atas mesin ATM sehingga memungkinkan mengamati
entri data oleh nasabah.
Apabila melakukan transaksi menggunakan Mesin POS (Point of Sales)
yang umum tersedia di dalam toko-toko, supermarket-supermarket ,
hendaknya menghalangi dengan badan atau tangan kita sewaktu memasukkan
PIN atau dengan tidak meletakkan mesin tersebut ditempat yang datar yang
mudah untuk dilihat oleh seseorang waktu mengetik PIN di mesin POS tsb.
Jangan memasukkan PIN atau melakukan transaksi aplikasi tranfer dan
pembayaran online, seperti internet banking menggunakan fasilitas komputer
umum, seperti di warnet pustaka-pustaka publik dan universitas, kios-kios
pelabuhan udara. Apabila terpaksa menggunakan pastikan komputer yang
digunakan bebas dari aplikasi seperti keyloger dan yang sejenisnya, pastikan
site yang ada kunjungi untuk melakukan transaksi tersebut benar.
5. Social Engineering
Social engineering, mungkin istilah ini sangat awam bagi Anda yang tidak
berkutat dengan yang namanya jagat teknologi. Namun bagi mereka yang ahli
dan sering ‘bermain-main’ di jagat teknologi pastinya sangat familiar dengan
istilah social engineering.
Sosial engineering sendiri adalah metode atau cara untuk mendapatkan
informasi/ data yang bersifat rahasia dengan cara memanipulasi pemilik
informasi. Social engineering ini biasanya dilakukan melalui sambungan
telepon dan komunikasi melalui internet. Pihak yang paling sering melakukan
social engineering adalah para hackers. Tugas utama para hackers memang
identik dengan mencuri data-data penting dari narasumber yang penting
sekalipun. Para hackers ini melakukan pembobolan sistem keamanan
informasi melalui akun korban. Dengan cara ini, hackers bisa dengan mudah
mendapatkan informasi/ data penting korban dalam waktu sekejap.
Ada cara lainnya yang dilakukan oleh hackers untuk memperoleh
informasi/ data milik korban selain membobol sistem keamanan informs,
yaitu dengan cara mencuri password si korban. Cara ini dinilai lebih mudah
dan cepat bila dibandingkan dengan cara membobol sistem keamanan
informasi milik si korban. Pasalnya membobol sistem keamanan informasi
milik seseorang bukanlah perkara mudah. Terdapat beberapa tahapan untuk
melakukannya. Tahap pertama yang biasa dilakukan oleh hacker untuk
melancarkan aksi hacking-nya adalah tahap persiapan. Tahap persiapan
melipuiti pengumpulan data-data milik korban.
Tipe social engineering
Pada dasarnya terdapat dua jenis social engineering, yaitu:
Social engineering berbasis interaksi sosial
Social engineering berbasis interaksi via komputer/ dunia maya
Aksi social engineering berbasis interaksi sosial secara langsung biasanya
dilakukan oleh pelaku yang memiliki tujuan yang tidak baik terhadap para
korbannya akan tetapi memiliki kemampuan komunikasi dan interaksi yang
sangat baik, pintar mempengaruhi orang lain, pandai meyakinkan orang lain
sehingga orang lain, khususnya korban, akan mudah terpedaya. Pintarnya lagi
pelaku akan menyasarkan aksinya pada korban yang aktif bekerja di jagat
teknologi informasi suatu perusahaan besar. Modus operandi yang dijalankan
oleh pelaku masih sama, yaitu menggunakan media sosial media, sambungan
telepon, ataupun media kirim pesan online seperti email.
Meski suatu perusahaan atau lembaga-lembaga penting seperti lembaga
pemerintahan didukung oleh sistem keamanan dan prosedur pengaman yang
canggih, ada faktor lain yang bisa menjadi penyeban jebolnya sistem
keamanan, yaitu faktor manusia. Secanggih apapun sistem keamanan yang
dibangun oleh suatu perusahaan/ lembaga, akan tetap mudah ditembus
apabila ditangani oleh admin yang kurang kompeten. Faktor lainnya yaitu
kurangnya kesadaran para users akan pentingnya sistem keamanan. Bahkan
ada pula users yang tak peduli soal sistem keamanan. Berikut contoh kasus
ulah pelaku social engineering pada korbannya.
Sebuah perusahaan besar memperkerjakan seorang admin network yang
ahli di bidang keamanan jaringan dan sistem informasi. Namun terdapat
beberapa users yang tidak terlalu memperdulikan sistem keamanan. Sebagai
contoh keteledoran user yaitu user membuat password yang sangat mudah
untuk ditebak, lupa tidak log out setelah bekerja, atau mudah memberikan
akses pada rekan kerja lainnya. Beberapa keteledoran ini dapat dimanfaatkan
oleh pelaku social engineering untuk mengakses, mencuri, bahkan merusak
informasi/ data-data penting milik perusahaan. Bisa saja pelaku berpura-pura
sebagai pihak yang memiliki kepentingan dengan perusahaan dan meminta
salah satu user untuk dapat mengakses perusahaan via online.
Contoh kasus lainnya yang bisa dijadikan celah aksi para pelaku soclal
engineering adalah membuang slip gaji atau slip ATM. Mungkin sebagian
orang menganggap bahwa slip gaji atau slip ATM adalah sampah alias benda
yang tak penting. Akan tetapi, pada slip ATM ataupun slip gaji terdapat
informasi penting yang dapat dimanfaatkan oleh para pelaku social
engineering. Nah, setelah mengetahui beberapa contoh kasus di atas, kiranya
kita semua lebih waspada terutama ketika akan membuang slip gaji atau slip
ATM, atau ketika ada seseorang yang tidak kita kenal meminta akses
perusahaan di mana tempat kita bekerja.
Metode aksi soclal engineering
Terdapat beberapa cara pelaku social engineering melancarkan aksinya, yaitu:
Pelaku melakukan serangan langsung yaitu dengan cara meminta apa saja
yang dibutuhkan. Sebut saja password, peta jaringan, akses jaringan, kunci
ruangan yang berisi database, dan konfigurasi sistem.
Pelaku membuat skenerio yang berisi situasi palsu. Misalnya si pelaku
berpura-pura sebagai bagian dari suatu perusahaan yang akan ‘diserang’.
Atau bisa juga si pelaku berpura-pura sebagai bagian dari situasi palsu yang
disusunnya. Sebagai contoh, pelaku membuat alasan yang menyangkut
pautkan dengan kepentingan pihak lain. Ketika pelaku sudah berhasil masuk
ke dalam ‘zona’ perusahaan, pelaku kemudian menjalankan aksi lanjutan
seperti mencari informasi-informasi penting tentang target/ korbannya.
Pelaku yang pandai dan sudah ahli biasanya tidak perlu mengumbar
kebohongan pada calon korbannya. Pelaku justru akan menunjukan fakta-
fakta agar calon korbannya benar-benar percaya pada si pelaku. Contoh riil,
pelaku berpura-pura sebagai seorang agen tiket. Pelaku melakukan konfirmasi
bahwa tiket sudah siap untuk dikirim. Pelaku pastinya akan meminta data-
data penting korbannya untuk kepentingan pengiriman tiket. Meskipun calon
korban merasa tidak memesan tiket, pelaku tetap perlu mengetahui nama dan
nomor kepegawaiannya dengan alasan untuk dicocokkan. Informasi seperti
nama lengkap dan nomor kepegawaian adalah dua data penting yang dapat
digunakan oleh pelaku untuk dapat mengakses sistem informasi perusahaan di
mana korban bekerja.
Pelaku menggunakan akun email. Caranya yaitu si pelaku mengirim email
pada target/ korban. Ketika korban membuka attachment. Sebelumnya pelaku
meretaskan virus/ worm seperti Trojan sebagai jalur backdoor pada
sistemnya. Worm/ virus bahkan dapat dimasukan dalam file yang berformat
jpg sekalipun.
Pencegahan social engineering
Lantas, bagaimana cara menghindari aksi pelaku social engineering?
Terdapat beberapa cara pencegahan, yaitu:
Selalu waspada ketika sedang melakukan interaksi baik di dunia nyata
maupun di dunia maya. Apalagi jika berkaitan dengan sistem informasi
perusahaan di mana Anda bekerja.
Bagi Anda yang membawahi suatu perusahaan/ organisasi besar, Anda
sekiranya perlu mempelajari trik-trik bagaimana cara mengamakan sistem
informasi. Setelah Anda kuasai dengan baik, tularkan pada para karyawan
Anda. Tujuannya adalah untuk meminimalisir terjadinya peristiwa-peristiwa
yang tidak diinginkan.
Sering-seringlah membaca buku atau mengikuti acara seminar tentang
pemcegahan social engineering.
Adakan pelatihan dan sosialisasi pada para karyawan Anda terkait pentingnya
pengelolaan sistem keamanan informasi.
Terapkan unsur keamanan informasi sesuai dengan standard prosedur yang
dapat diakses sehari-hari. Misalnya dengan menerapkan monitor policy dan
clear table. Kedua contoh ini perlu dilakukan agar para karyawan Anda
terbiasa melakukannya.
Perusahaan juga perlu melakukan analisa kerawanan sistem keamanan
informasi perusahaan. Misalnya dengan melakukan uji coba kekuatan sistem
keamanan informasi perusahaan melalui cara penetration test.
Bekerja sama dengan pihak ketiga untuk membantu memperkuat sistem
keamanan perusahaan. Misal, kerjasama dengan vendor, institusi yang ahli di
bidang keamanan sistem informasi, dll.
6. Phishing E-mail Scams
Phishing adalah sebuah bentuk kejahatan internet yang menggunakan
Email sebagai media penyebarannya. Phising berasal dari kata "Fishing"
yang berarti "memancing". Jadi yang dimaksud dengan Phising adalah Email
yang mengandung informasi yang menipu ( Scam ) yang memancing
penerima untuk melakukan sesuatu hal yang merugikan bagi si penerima tapi
menguntungkan bagi si pengirim.
Contohnya sebuah email yang mengatasnamakan sebuah bank yang
memberikan link tertentu untuk memferifikasi account atau sejenisnya, akan
tetapi sesungguhnya link tersebut mengarah ke situs atau server milik si
pengirim. Ketika kita meng-klik link tersebut ada kemungkinan kita telah
memberikan informasi tertentu kepada si penjahat cyber dalam hal ini si
pengirim email tersebut. Atau dengan cara tertentu Sang Penjahat membuat
Situs yang sangat mirip dengan Situs Resmi dan memancing kita untuk
Login, sehingga secara tidak langsung kita telah memberikan informasi
tentang Username dan Password yang kita miliki.
Bagaimanakah cara mengenali Email Phising ...?
Banyak Email Phising dirancang sangat sempurna dan meyakinkan,
dari mulai Subjek email, alamat email, Logo bahkan domain yang nyaris sulit
di bedakan dengan aslinya. Meskipun begitu, kita tetap bisa mengenali Email
Pishing asalkan kita cermat meneliti setiap email yang masuk.
Salah Satu Contoh Email Phising
Kenali dari alamat Email Pengirim
Setiap kita menerima Email tentu ada alamat email pengirimnya bukan..!.
Beberapa penjahat Cyber mampu menyamarkan alamat email hingga mirip
aslinya misalkan saja dengan alamat domain yang serupa misalnya :
@Citibank.com , @Google.com dan semacamnya. Namun hal tersebut tidak
mudah dan membutuhkan keahlian sebagai seorang Cracker . Yang biasanya
dilakukan oleh penjahat Cyber adalah dengan menggunakan alamat email
yang cukup menyerupai Email resmi, akan tetapi masih menggunakan
domain gratisan contohnya [email protected], Yahoo-
[email protected] dan semacamnya. , Gmail dan Yahoo adalah penyedia
email gratisan, jadi jelas bahwa si pengirim adalah pengguna individu yang
memanfaatkan fasilitas gratisan dari server penyedia Email dan bukan dari
situs resmi.
Link yang mencurigakan
Jika kita membuka email, bacalah dan perhatikan setiap kata yang
mencurigakan yang mengarahkan kita untuk mengeksekusi link tertentu. Jika
Link berupa alamat URL terlihat dalam arti tidak tersembunyi dalam gambar,
maka perhatikan dengan seksama URL arahan yang di maksud. Memang
sebagian ada yang di buat sangat mirip contohnya :
<http://www.citibank.com/secure> atau
<http://www.Paypal.com/accountlogin> dan sejenisnya. Alamat perbankan
atau alamat URL yang menggunakan security yang tinggi atau menggunakan
SSL (Secure Socket Layer) biasanya menggunakan https:// ( pada Mozilla
firefox ditandai dengan icon bergambar gembok di pojok kanan bawah ) atau
di dalam situs terdapat tanda sertifikasi keamanan.
Tips Aman Mengenali Phising
Perhatikan setiap pesan yang masuk, sebelum membuka Email yang terkesan
penting ( resmi ) sebaiknya pastikan bahwa domain yang digunakan adalah
domain resmi dan bukan domain gratisan seperti yang saya sebutkan diatas.
Jangan sembarangan mengklik link yang disertakan didalam pesan. Sorot
Link yang Tampil dan perhatikan URL arahan yang tercantum pada Status
bar ( bagian bawah Browser anda).
Jika ingin Login ke situs tertentu sebaiknya langsung mengetikkan alamat
URL resmi.
Selalu periksa Address bar ketika anda akan login, biasanya untuk halaman
web dengan security yang tinggi menggunakan awalan https://.
Jangan pernah memberikan informasi penting kepada siapapun. Bank tidak
pernah menanyakan informasi PIN ataupun Password Perbankan anda.
Meskipun macam Cyber Crime semakin banyak dan merajalela akan tetapi
jangan takut untuk tetap menggunakan fasilitas Email. Email adalah bagian
dari kemajuan Teknologi. Semakin tinggi Teknologi maka semakin tinggi
resiko yang bisa ditimbulkan. Luka Orang jatuh naik Sepeda Onthel berbeda
dengan orang yang jatuh dari Sepeda Motor bukan..!. Tetap waspada adalah
kuncinya, Kenali setiap bahaya dengan baik, maka kita akan siap ketika
bahaya itu datang.