PASSWORD CRACKING
Pernah dengar istilah password cracking..???apa sih password cracking itu…???
Nah pada kesempatan kali ini saya akan coba untuk mengupas tentang apa sih yang di maksud password cracking itu……
Password cracking adalah proses pemulihan password dari data yang telah disimpan di dalam atau dikirim oleh sistem komputer . A common approach is to repeatedly try guesses for the password. Pendekatan yang umum adalah untuk berulang kali mencoba tebakan untuk memasukkan sandi. Tujuan password cracking mungkin untuk membantu pengguna kembali password yang terlupakan (meskipun memasang password yang sama sekali baru kurang dari risiko keamanan, tetapi melibatkan sistem hak administrasi), untuk mendapatkan akses tidak sah ke sistem, atau sebagai langkah preventif dengan administrator sistem untuk memeriksa password crackable mudah. On a file-by-file basis, password cracking is utilized to gain access to digital evidence for which a judge has allowed access but the particular file's access is restricted. Secara file-by-file, password cracking digunakan untuk mendapatkan akses ke bukti digital yang hakim telah memungkinkan akses tapi akses file tertentu adalah dibatasi.
Waktu untuk crack password yang berhubungan dengan kekuatan sedikit (lihat kekuatan password ), yang merupakan fungsi dari Teman informasi entropi password. Sebagian besar metode password cracking memerlukan komputer untuk menghasilkan banyak calon password, yang masing-masing diperiksa. Brute force cracking, dimana komputer mencoba setiap kunci yang mungkin atau password sampai berhasil, adalah common denominator terendah password cracking. metode yang lebih umum dari password cracking, seperti serangan kamus, memeriksa pola, substitusi daftar kata, dll, upaya untuk mengurangi jumlah percobaan yang diperlukan dan biasanya akan dilakukan sebelum kekerasan.
Kemampuan untuk crack password menggunakan program komputer merupakan fungsi dari jumlah password yang mungkin per detik yang dapat diperiksa. CAPTCHA , atau terpaksa lockouts setelah beberapa jumlah usaha yang gagal. Jika hash dari password target tersedia untuk penyerang, jumlah ini bisa sangat besar. Jika tidak, tarif tergantung pada apakah perangkat lunak otentikasi batas seberapa sering sandi bisa dicoba, baik oleh penundaan waktu,
Masing-masing komputer desktop dapat menguji di manapun di antara 1000000-15000000 password per detik terhadap hash password untuk algoritma yang lebih lemah, seperti DES atau LanManager. John the Ripper benchmark A-karakter sandi dipilih delapan pengguna dengan nomor, kasus campuran, dan simbol, mencapai kadar 30-bit perkiraan, menurut NIST. 2 30 hanya satu miliar permutasi dan akan mengambil rata-rata 16 menit untuk crack. [1] Ketika komputer desktop biasa digabungkan dalam usaha retak, seperti yang dapat dilakukan dengan botnet , kemampuan password cracking yang cukup diperpanjang. Pada tahun 2002, distributed.net berhasil menemukan 64-bit RC5 kunci dalam empat tahun, dalam upaya yang mencakup lebih dari 300.000 komputer yang berbeda pada berbagai waktu, dan yang menghasilkan rata-rata lebih dari 12 milyar kunci per detik. [2] Graphics prosesor dapat mempercepat password cracking dengan faktor 50 sampai 100 lebih dari komputer tujuan umum. Pada 2011, produk komersial yang tersedia yang mengklaim kemampuan untuk menguji sampai 2800000000 password yang kedua pada komputer desktop standar menggunakan-end prosesor grafis yang tinggi. [3] seperti perangkat bisa memecahkan satu huruf kasus sandi 10 dalam satu hari. Perhatikan bahwa pekerjaan dapat didistribusikan ke banyak komputer untuk speedup tambahan sebanding dengan jumlah komputer yang tersedia dengan GPU sebanding. Lihat:
Jika garam kriptografi tidak digunakan dalam sistem password, penyerang dapat pre-menghitung nilai hash untuk umum dan varian password untuk semua password yang lebih pendek dari panjang tertentu, yang memungkinkan pemulihan yang sangat cepat. daftar panjang dihitung password hash-pra dapat secara efisien disimpan tabel pelangi . tabel tersebut tersedia di Internet untuk beberapa sistem otentikasi password umum.
Lain situasi di mana cepat menebak adalah mungkin adalah ketika password digunakan untuk membentuk sebuah kunci kriptografi . Dalam kasus seperti ini, penyerang dapat dengan cepat memeriksa untuk melihat apakah password menebak berhasil decode data dienkripsi. Misalnya, salah satu produk komersial klaim untuk menguji 103.000 WPA PSK password per detik. [4]
Meskipun kemampuan mereka, CPU desktop lebih lambat pada cracking password selain mesin sandi yang dibuat untuk tujuan melanggar. Electronic Frontier Foundation (EFF) membangun sebuah password cracker yang berdedikasi menggunakan FPGA , sebagai lawan CPU tujuan umum. mesin mereka, Deep Crack , memecahkan 56-bit kunci DES dalam 56 jam, pengujian lebih dari 90 milyar kunci per detik. [5] Pada tahun 2010, Georgia Tech Research Institute mengembangkan metode yang menggunakan GPGPU untuk crack password, datang dengan panjang minimum password yang aman dari 12 karakter. [6] [7] [8] Pada tahun 1998,
Mungkin cara tercepat untuk crack password adalah melalui penggunaan pra-dihitung tabel pelangi . Ini menyandikan hash dari password yang umum yang didasarkan pada fungsi hash yang paling banyak digunakan dan dapat crack password dalam hitungan detik. Namun, mereka hanya efektif pada sistem yang tidak menggunakan garam , seperti Windows LAN Manager dan beberapa program aplikasi.
Pencegahan
Artikel utama: Shadow password
Metode terbaik untuk mencegah password cracking adalah untuk memastikan bahwa penyerang tidak bisa mendapatkan akses bahkan sampai ke password terenkripsi. Sebagai contoh, pada Unix sistem operasi , password terenkripsi awalnya disimpan dalam file diakses publik / etc / passwd. Pada Unix modern (dan sejenisnya) sistem, di sisi lain, mereka disimpan di file / / shadow dll, yang dapat diakses hanya untuk menjalankan program dengan hak istimewa ditingkatkan (yaitu, 'sistem' hak). [9] [10] Hal ini membuat lebih sulit untuk pengguna jahat untuk mendapatkan password terenkripsi pada tingkat pertama. Sayangnya, banyak protokol jaringan yang umum mengirimkan password dalam teks-jelas atau menggunakan tantangan yang lemah / skema respon.
Sistem Unix modern telah mengganti sandi DES tradisional berbasis hashing dengan metode yang lebih kuat berdasarkan MD5 dan Blowfish. [11] Sistem lain juga mulai mengadopsi metode ini. Sebagai contoh, Cisco IOS awalnya menggunakan reversibel cipher Vigenere untuk mengenkripsi password, tapi sekarang menggunakan md5-crypt-bit dengan garam 24 ketika "mengaktifkan rahasia" Perintah ini digunakan. [12] Metode-metode yang lebih baru menggunakan nilai garam besar yang mencegah penyerang dari efisien mount serangan offline terhadap akun pengguna secara bersamaan. Algoritma juga jauh lebih lambat untuk mengeksekusi yang secara drastis meningkatkan waktu yang diperlukan untuk me-mount serangan offline yang sukses. [13]
Banyak hash digunakan untuk menyimpan password, seperti MD5 dan SHA keluarga, dirancang untuk perhitungan cepat dan implementasi yang efisien di hardware. Menggunakan peregangan kunci algoritma, seperti PBKDF2 , untuk membentuk hash password dapat secara signifikan mengurangi tingkat di mana password dapat diuji.
Solusi seperti keamanan token memberikan bukti formal jawaban dengan password yang selalu berubah. Mereka tiba-tiba solusi mengurangi waktu untuk kasar memaksa (penyerang kebutuhan untuk istirahat dan menggunakan password tersebut dalam pergeseran tunggal) dan mereka mengurangi nilai dari password dicuri karena validitas waktu pendek.
Software
Kategori Utama: Password software cracking .
Ada banyak password cracking software, tapi yang paling populer [14] adalah Kain dan Habel , John the Ripper , Hydra , Elcomsoft dan Lastbit . Banyak dukungan litigasi software paket juga termasuk crack fungsi password. Kebanyakan dari paket ini menggunakan campuran strategi crack, dengan kekuatan kasar dan serangan kamus membuktikan menjadi yang paling produktif.