lanjutan dari Ketika password default tersebar

Kenapa saya tahu tentang hacker bocah? ya karena saya pernah “memergoki” salah satunya yang masuk ke akun Tokopedia milik istri. Setelah saya cek histori di akun tersebut, ternyata si hacker bocah ceroboh dengan meninggalkan alamat dan nomor hp di halaman checkout yang untungnya hacker bocah tersebut tidak bisa lanjut karena Two-Factor Authentication, di Tokopedia memakai kode OTP.

Setelah mendapatkan alamat dan nomor HP, saya iseng saja search di google dan ketemu akun facebooknya. Langsung saya interogasi. Ternyata dia bocah SMA wkwk yang iseng-iseng aja seperti yang saya bilang sebelumnya. Dia dapet data dump lalu nyoba aja iseng-iseng login di berbagai web.

Data dump adalah data hasil hacker “besar” yang membobol sebuah website, contoh kasus terbesar adalah Yahoo (yang saya curigai awal mula password default saya kesebar karena akun yang pake yahoo yang paling awal kena login attempt). Biasanya setelah membobol Hacker punya pilihan antara meminta tebusan ke pemilik website atau menjualnya ke pihak lain. Kadang juga setelah itu mereka menyebarnya di berbagai situs. Biasanya berubah email, username dan password.

Yang paling mengerikan adalah ada beberapa website yang tidak melakukan hash pada password alias disimpan plain text, alias, jika passwordmu adalah ‘akutampan’ website tersebut menyimpan passwordmu ya ‘akutampan’. Sebagai pemilik website hal itu sangat haram, hhha.

Tidak cuman itu, metode hash yang paling sering dipakai, bahkan hingga sekarang, MD5, sudah tidak aman lagi. Banyak website yang menyediakan jasa de-hash. Misalnya password ‘alekill’ di-hash dengan MD5 menjadi ‘0086d14e831b0eeca5bf215a056ba780’. Secara teori hasil dari hash tidak bisa dibalik seperti metode enkripsi-dekripsi.

Tapi bagaimana kalau logikanya dibalik?

Ada sebuah website yang bocor, ternyata mereka menyimpan passwordnya plaintext, dan di-dump. salah satu data berisi email ‘[email protected]’ dan password ‘alekill’. Data password ini di hash MD5, lalu disimpan di database seperti di web md5this.com. Lalu kebetulan ada website lain yang bocor, untungnya passwordnya di-hash, tapi sayangnya menggunakan metode md5. Jadi ketika mengecek data dump-nya lalu menemukan hash password ‘0086d14e831b0eeca5bf215a056ba780’ siapapun user atau emailnya, password dia sudah bocor di md5this.com.

oleh karena itu, dalam praktiknya, programmer ketika hashing password diwajibkan memakai salt agar lebih kompleks dan menghindari menggunakan MD5 karena salah satu kelemahannya adalah proses hashingnya yang cepat sehingga gampang di-brute force alias pengecekan paksa, misal passwordmu adalah 140458, tinggal bikin aja program otomatis untuk mengecek angka dari 1 sampai 999999.

Kalau pernah melihat film yang ada adegan hackingnya, dan ada percakapan seperti ini,
A : wah mereka menggunakan enkripsi level militer. Teknologi kita tidak cukup kuat.
B : tenang, *hacker B, seolah-olah melakukan koneksi banyak server dari berbagai negara untuk enkripsi*

Dari adegan itu dapat disimpulkan, semakin kompleks metode hashingnya, semakin sulit dan butuh resource banyak untuk brute force.

sementara itu, proses hashing MD5, jutaan data dalam 1 detik hanya dengan 1 GPU. hahaha.

Daftar website yang pernah dibobol dan datanya disebar bisa dicek di sini.

Selanjutnya -> Password Manager