Selasa, 12 April 2011

PASSWORD CRACKING

PASSWORD CRACKING
Pernah dengar istilah password cracking..???apa sih password cracking itu…???
Nah pada kesempatan kali ini saya akan coba untuk mengupas tentang apa sih yang di maksud password cracking itu……
Password cracking adalah proses pemulihan password dari data yang telah disimpan di dalam atau dikirim oleh sistem komputer . A common approach is to repeatedly try guesses for the password. Pendekatan yang umum adalah untuk berulang kali mencoba tebakan untuk memasukkan sandi. Tujuan password cracking mungkin untuk membantu pengguna kembali password yang terlupakan (meskipun memasang password yang sama sekali baru kurang dari risiko keamanan, tetapi melibatkan sistem hak administrasi), untuk mendapatkan akses tidak sah ke sistem, atau sebagai langkah preventif dengan administrator sistem untuk memeriksa password crackable mudah. On a file-by-file basis, password cracking is utilized to gain access to digital evidence for which a judge has allowed access but the particular file's access is restricted. Secara file-by-file, password cracking digunakan untuk mendapatkan akses ke bukti digital yang hakim telah memungkinkan akses tapi akses file tertentu adalah dibatasi.
Waktu untuk crack password yang berhubungan dengan kekuatan sedikit (lihat kekuatan password ), yang merupakan fungsi dari Teman informasi entropi password. Most methods of password cracking require the computer to produce many candidate passwords, each of which is checked. Sebagian besar metode password cracking memerlukan komputer untuk menghasilkan banyak calon password, yang masing-masing diperiksa. Brute force cracking, in which a computer tries every possible key or password until it succeeds, is the lowest common denominator of password cracking. Brute force cracking, dimana komputer mencoba setiap kunci yang mungkin atau password sampai berhasil, adalah common denominator terendah password cracking. More common methods of password cracking, such as dictionary attacks, pattern checking, word list substitution, etc., attempt to reduce the number of trials required and will usually be attempted before brute force. metode yang lebih umum dari password cracking, seperti serangan kamus, memeriksa pola, substitusi daftar kata, dll, upaya untuk mengurangi jumlah percobaan yang diperlukan dan biasanya akan dilakukan sebelum kekerasan.
The ability to crack passwords using computer programs is a function of the number of possible passwords per second which can be checked. Kemampuan untuk crack password menggunakan program komputer merupakan fungsi dari jumlah password yang mungkin per detik yang dapat diperiksa. If a hash of the target password is available to the attacker, this number can be quite large. Jika hash dari password target tersedia untuk penyerang, jumlah ini bisa sangat besar. If not, the rate depends on whether the authentication software limits how often a password can be tried, either by time delays, CAPTCHAs , or forced lockouts after some number of failed attempts. Jika tidak, tarif tergantung pada apakah perangkat lunak otentikasi batas seberapa sering sandi bisa dicoba, baik oleh penundaan waktu, CAPTCHA , atau terpaksa lockouts setelah beberapa jumlah usaha yang gagal.
Individual desktop computers can test anywhere between one million to fifteen million passwords per second against a password hash for weaker algorithms, such as DES or LanManager. Masing-masing komputer desktop dapat menguji di manapun di antara 1000000-15000000 password per detik terhadap hash password untuk algoritma yang lebih lemah, seperti DES atau LanManager. See: John the Ripper benchmarks A user-selected eight-character password with numbers, mixed case, and symbols, reaches an estimated 30-bit strength, according to NIST. Lihat: John the Ripper benchmark A-karakter sandi dipilih delapan pengguna dengan nomor, kasus campuran, dan simbol, mencapai kadar 30-bit perkiraan, menurut NIST. 2 30 is only one billion permutations and would take an average of 16 minutes to crack. [ 1 ] When ordinary desktop computers are combined in a cracking effort, as can be done with botnets , the capabilities of password cracking are considerably extended. 2 30 hanya satu miliar permutasi dan akan mengambil rata-rata 16 menit untuk crack. [1] Ketika komputer desktop biasa digabungkan dalam usaha retak, seperti yang dapat dilakukan dengan botnet , kemampuan password cracking yang cukup diperpanjang. In 2002, distributed.net successfully found a 64-bit RC5 key in four years, in an effort which included over 300,000 different computers at various times, and which generated an average of over 12 billion keys per second. [ 2 ] Graphics processors can speed up password cracking by a factor of 50 to 100 over general purpose computers. Pada tahun 2002, distributed.net berhasil menemukan 64-bit RC5 kunci dalam empat tahun, dalam upaya yang mencakup lebih dari 300.000 komputer yang berbeda pada berbagai waktu, dan yang menghasilkan rata-rata lebih dari 12 milyar kunci per detik. [2] Graphics prosesor dapat mempercepat password cracking dengan faktor 50 sampai 100 lebih dari komputer tujuan umum. As of 2011, commercial products are available that claim the ability to test up to 2,800,000,000 passwords a second on a standard desktop computer using a high-end graphics processor. [ 3 ] Such a device can crack a 10 letter single-case password in one day. Pada 2011, produk komersial yang tersedia yang mengklaim kemampuan untuk menguji sampai 2800000000 password yang kedua pada komputer desktop standar menggunakan-end prosesor grafis yang tinggi. [3] seperti perangkat bisa memecahkan satu huruf kasus sandi 10 dalam satu hari. Note that the work can be distributed over many computers for an additional speedup proportional to the number of available computers with comparable GPUs. Perhatikan bahwa pekerjaan dapat didistribusikan ke banyak komputer untuk speedup tambahan sebanding dengan jumlah komputer yang tersedia dengan GPU sebanding.
If a cryptographic salt is not used in the password system, the attacker can pre-compute hash values for common passwords variants and for all passwords shorter than a certain length, allowing very rapid recovery. Jika garam kriptografi tidak digunakan dalam sistem password, penyerang dapat pre-menghitung nilai hash untuk umum dan varian password untuk semua password yang lebih pendek dari panjang tertentu, yang memungkinkan pemulihan yang sangat cepat. Long lists of pre-computed password hashes can be efficiently stored rainbow tables . daftar panjang dihitung password hash-pra dapat secara efisien disimpan tabel pelangi . Such tables are available on the Internet for several common password authentication systems. tabel tersebut tersedia di Internet untuk beberapa sistem otentikasi password umum.
Another situation where quick guessing is possible is when the password is used to form a cryptographic key . Lain situasi di mana cepat menebak adalah mungkin adalah ketika password digunakan untuk membentuk sebuah kunci kriptografi . In such cases, an attacker can quickly check to see if a guessed password successfully decodes encrypted data. Dalam kasus seperti ini, penyerang dapat dengan cepat memeriksa untuk melihat apakah password menebak berhasil decode data dienkripsi. For example, one commercial product claims to test 103,000 WPA PSK passwords per second. [ 4 ] Misalnya, salah satu produk komersial klaim untuk menguji 103.000 WPA PSK password per detik. [4]
Despite their capabilities, desktop CPUs are slower at cracking passwords than purpose-built password breaking machines. Meskipun kemampuan mereka, CPU desktop lebih lambat pada cracking password selain mesin sandi yang dibuat untuk tujuan melanggar. In 1998, the Electronic Frontier Foundation (EFF) built a dedicated password cracker using FPGAs , as opposed to general purpose CPUs. Pada tahun 1998, Electronic Frontier Foundation (EFF) membangun sebuah password cracker yang berdedikasi menggunakan FPGA , sebagai lawan CPU tujuan umum. Their machine, Deep Crack , broke a DES 56-bit key in 56 hours, testing over 90 billion keys per second. [ 5 ] In 2010, the Georgia Tech Research Institute developed a method of using GPGPU to crack passwords, coming up with a minimum secure password length of 12 characters. [ 6 ] [ 7 ] [ 8 ] mesin mereka, Deep Crack , memecahkan 56-bit kunci DES dalam 56 jam, pengujian lebih dari 90 milyar kunci per detik. [5] Pada tahun 2010, Georgia Tech Research Institute mengembangkan metode yang menggunakan GPGPU untuk crack password, datang dengan panjang minimum password yang aman dari 12 karakter. [6] [7] [8]
Perhaps the fastest way to crack passwords is through the use of pre-computed rainbow tables . Mungkin cara tercepat untuk crack password adalah melalui penggunaan pra-dihitung tabel pelangi . These encode the hashes of common passwords based on the most widely used hash functions and can crack passwords in a matter of seconds. Ini menyandikan hash dari password yang umum yang didasarkan pada fungsi hash yang paling banyak digunakan dan dapat crack password dalam hitungan detik. However, they are only effective on systems that do not use a salt , such as Windows LAN Manager and some application programs. Namun, mereka hanya efektif pada sistem yang tidak menggunakan garam , seperti Windows LAN Manager dan beberapa program aplikasi.
[ edit ] PreventionPencegahan
Main article: Shadow password Artikel utama: Shadow password
The best method of preventing password cracking is to ensure that attackers cannot get access even to the encrypted password. Metode terbaik untuk mencegah password cracking adalah untuk memastikan bahwa penyerang tidak bisa mendapatkan akses bahkan sampai ke password terenkripsi. For example, on the Unix operating system , encrypted passwords were originally stored in a publicly accessible file /etc/passwd . Sebagai contoh, pada Unix sistem operasi , password terenkripsi awalnya disimpan dalam file diakses publik / etc / passwd. On modern Unix (and similar) systems, on the other hand, they are stored in the file /etc/shadow , which is accessible only to programs running with enhanced privileges (ie, 'system' privileges). Pada Unix modern (dan sejenisnya) sistem, di sisi lain, mereka disimpan di file / / shadow dll, yang dapat diakses hanya untuk menjalankan program dengan hak istimewa ditingkatkan (yaitu, 'sistem' hak). This makes it harder for a malicious user to obtain the encrypted passwords in the first instance. Hal ini membuat lebih sulit untuk pengguna jahat untuk mendapatkan password terenkripsi pada tingkat pertama. Unfortunately, many common network protocols transmit passwords in cleartext or use weak challenge/response schemes. [ 9 ] [ 10 ] Sayangnya, banyak protokol jaringan yang umum mengirimkan password dalam teks-jelas atau menggunakan tantangan yang lemah / skema respon. [9] [10]
Modern Unix systems have replaced traditional DES-based password hashing with stronger methods based on MD5 and Blowfish. [ 11 ] Other systems have also begun to adopt these methods. Sistem Unix modern telah mengganti sandi DES tradisional berbasis hashing dengan metode yang lebih kuat berdasarkan MD5 dan Blowfish. [11] Sistem lain juga mulai mengadopsi metode ini. For instance, the Cisco IOS originally used a reversible Vigenère cipher to encrypt passwords, but now uses md5-crypt with a 24-bit salt when the "enable secret" command is used. [ 12 ] These newer methods use large salt values which prevent attackers from efficiently mounting offline attacks against multiple user accounts simultaneously. Sebagai contoh, Cisco IOS awalnya menggunakan reversibel cipher Vigenere untuk mengenkripsi password, tapi sekarang menggunakan md5-crypt-bit dengan garam 24 ketika "mengaktifkan rahasia" Perintah ini digunakan. [12] Metode-metode yang lebih baru menggunakan nilai garam besar yang mencegah penyerang dari efisien mount serangan offline terhadap akun pengguna secara bersamaan. The algorithms are also much slower to execute which drastically increases the time required to mount a successful offline attack. [ 13 ] Algoritma juga jauh lebih lambat untuk mengeksekusi yang secara drastis meningkatkan waktu yang diperlukan untuk me-mount serangan offline yang sukses. [13]
Many hashes used for storing passwords, such as MD5 and the SHA family, are designed for fast computation and efficient implementation in hardware. Banyak hash digunakan untuk menyimpan password, seperti MD5 dan SHA keluarga, dirancang untuk perhitungan cepat dan implementasi yang efisien di hardware. Using key stretching algorithms, such as PBKDF2 , to form password hashes can significantly reduce the rate at which passwords can be tested. Menggunakan peregangan kunci algoritma, seperti PBKDF2 , untuk membentuk hash password dapat secara signifikan mengurangi tingkat di mana password dapat diuji.
Solutions like a security token give a formal proof answer by constantly shifting password. Solusi seperti keamanan token memberikan bukti formal jawaban dengan password yang selalu berubah. Those solutions abruptly reduce the timeframe for brute forcing (attacker needs to break and use the password within a single shift) and they reduce the value of the stolen passwords because of its short time validity. Mereka tiba-tiba solusi mengurangi waktu untuk kasar memaksa (penyerang kebutuhan untuk istirahat dan menggunakan password tersebut dalam pergeseran tunggal) dan mereka mengurangi nilai dari password dicuri karena validitas waktu pendek.
[ edit ] SoftwareSoftware
Main category: Password cracking software . Kategori Utama: Password software cracking .
There are many password cracking software tools, but the most popular [ 14 ] are Cain and Abel , John the Ripper , Hydra , ElcomSoft and Lastbit . Ada banyak password cracking software, tapi yang paling populer [14] adalah Kain dan Habel , John the Ripper , Hydra , Elcomsoft dan Lastbit . Many litigation support software packages also include password cracking functionality. Banyak dukungan litigasi software paket juga termasuk crack fungsi password. Most of these packages employ a mixture of cracking strategies, with brute force and dictionary attacks proving to be the most productive. Kebanyakan dari paket ini menggunakan campuran strategi crack, dengan kekuatan kasar dan serangan kamus membuktikan menjadi yang paling produktif.
Diposting oleh di Tidak ada komentar:

Minggu, 27 Maret 2011

KRIPTOGRAFI


KRIPTOGRAFI



Apa sih kriptografi itu?
Kriptografi itu berasal dari kata Yunani Kryptos dan gráphō,yang artinya “Tulisan Tersembunyi”.
Kriptografi adalah ilmu dan seni untuk menjaga kerahasiaan berita[Bruce Schneier-Applied Crytography].Selain itu kriptografi juga bias di artikan sebagai ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan aspek keamanam informasi seperti karahasiaan data,keabsahan data,integritas data,serta autentikasi data [ A.Menezes,P.Van Oorschot and S. Vanston – Handbook of Applied Cryptography ]. Tetapi tidak semua aspek keamanan dapat ditangani oleh kriptografi.
Kriptografi terbagi menjadi 3 macam,yaitu:
-          Kriptografi Simetris
-          Kriptografi Asimetris
-          Kriptografi Hibrid
Diposting oleh di Tidak ada komentar:

Kriptografi Simetris


Kriptografi simetris

Algoritma simetris, sering juga disebut dengan algoritma kunci rahasia atau sandi kunci rahasia. Adalah algoritma kriptografi yang menggunakan kunci enkripsi yang sama dengan kunci dekripsinya. Algoritma ini mengharuskan pengirim dan penerima menyetujui suatu kunci tertentu sebelum mereka saling berkomunikasi. Keamanan algoritma simetris tergantung pada kunci, membocorkan kunci berarti bahwa orang lain dapat mengenkripsi dan mendekripsi pesan. Agar komunikasi tetap aman, kunci harus tetap dirahasiakan.
Sifat kunci yang seperti ini membuat pengirim harus selalu memastikan bahwa jalur yang digunakan dalam pendistribusian kunci adalah jalur yang aman atau memastikan bahwa seseorang yang ditunjuk membawa kunci untuk dipertukarkan adalah orang yang dapat dipercaya. Masalahnya akan menjadi rumit apabila komunikasi dilakukan secara bersama-sama oleh sebanyak n pengguna dan setiap dua pihak yang melakukan pertukaran kunci, maka akan terdapat sebanyak (n-1)/2 kunci rahasia yang harus dipertukarkan secara aman.

Contoh dari algoritma kriptografi simetris adalah Cipher Permutasi, Cipher Substitusi, Cipher Hill, OTP, RC6, Twofish, Magenta, FEAL, SAFER, LOKI, CAST, Rijndael (AES), Blowfish, GOST, A5, Kasumi, DES dan IDEA.
Diposting oleh di Tidak ada komentar:

Kriptografi Asimetris


Kriptografi Asimetris

Algoritma Asimetris, sering juga disebut dengan algoritma kunci publik atau sandi kunci publik, menggunakan dua jenis kunci, yaitu kunci publik (public key) dan kunci rahasia (secret key). Kunci publik merupakan kunci yang digunakan untuk mengenkripsi pesan. Sedangkan kunci rahasia digunakan untuk mendekripsi pesan.
Kunci publik bersifat umum, artinya kunci ini tidak dirahasiakan sehingga dapat dilihat oleh siapa saja. Sedangkan kunci rahasia adalah kunci yang dirahasiakan dan hanya orang-orang tertentu saja yang boleh mengetahuinya. Keuntungan utama dari algoritma ini adalah memberikan jaminan keamanan kepada siapa saja yang melakukan pertukaran informasi meskipun di antara mereka tidak ada kesepakatan mengenai keamanan pesan terlebih dahulu maupun saling tidak mengenal satu sama lainnya.




Algoritma asimetris pertama kali dipublikasikan oleh Diffie dan Hellman pada tahun 1976 dalam papernya yang berjudul “New Directions in Cryptography”. Contoh dari algoritma asimetris adalah RSA, ElGamal, McEliece, LUC dan DSA (Digital Signature Algorithm).

Fungsi Enkripsi dan Dekripsi Algoritma Sandi Kunci-Asimetris:

Apabila Ahmad dan Bejo hendak bertukar berkomunikasi, maka:
  1. Ahmad dan Bejo masing-masing membuat 2 buah kunci
    1. Ahmad membuat dua buah kunci, kunci-publik \!K_{publik[Ahmad]}dan kunci-privat \!K_{privat[Ahmad]}
    2. Bejo membuat dua buah kunci, kunci-publik \!K_{publik[Bejo]}dan kunci-privat \!K_{privat[Bejo]}
  2. Mereka berkomunikasi dengan cara:
    1. Ahmad dan Bejo saling bertukar kunci-publik. Bejo mendapatkan \!K_{publik[Ahmad]}dari Ahmad, dan Ahmad mendapatkan \!K_{publik[Bejo]}dari Bejo.
    2. Ahmad mengenkripsi teks-terang \!Pke Bejo dengan fungsi \!C = E(P,K_{publik[Bejo]})
    3. Ahmad mengirim teks-sandi \!Cke Bejo
    4. Bejo menerima \!Cdari Ahmad dan membuka teks-terang dengan fungsi \!P = D(C,K_{privat[Bejo]})
Hal yang sama terjadi apabila Bejo hendak mengirimkan pesan ke Ahmad
  1. Bejo mengenkripsi teks-terang \!Pke Ahmad dengan fungsi \!C = E(P,K_{publik[Ahmad]})
  2. Ahmad menerima \!Cdari Bejo dan membuka teks-terang dengan fungsi \!P = D(C,K_{privat[Ahmad]})
Diposting oleh di Tidak ada komentar:

Kriptografi Hibrid


Kriptografi Hibrid

Kriptografi Hibrid (Hybrid cryptography)
Sistem ini mengggabungkan chiper simetrik dan asimetrik. Proses ini dimulai dengan negosiasi menggunakan chiper asimetrik dimana kedua belah pihak setuju dengan private key/session key yang akan dipakai. Kemudian session key digunakan dengan teknik chiper simetrik untuk mengenkripsi conversation ataupun tukar-menukar data selanjutnya. Suatu session key hanya dipakai sekali sesi. Untuk sesi selanjutnya session key harus dibuat kembali.

Pendistribusian Key
Dalam pendistribusian suatu key dapat dilakukan dengan bermacam cara misalnya download, diberikan secara langsung dsb. Untuk mencegah pemalsuan key oleh pihak ketiga maka diperlukan adanya certificate.

Protokol pernyetujuan key
Atau disebut juga protokol pertukaran key adalah suatu sistem dimana dua pihak bernegosiasi untuk menentukan secret value. Contohnya adalah SSL (secure socket layer).
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)