/ / Cara Memecahkan (Meretas) Kata Sandi

Cara Memecahkan (Meretas) Kata Sandi

-

Apa itu Pembobolan Kata Sandi?

Pembobolan kata sandi adalah proses mencoba mendapatkan akses tidak sah ke sistem terbatas menggunakan kata sandi umum atau algoritma yang menebak kata sandi. Dengan kata lain, ini adalah seni mendapatkan kata sandi yang benar yang memberikan akses ke sistem yang dilindungi oleh metode otentikasi.

Pemecahan kata sandi menggunakan sejumlah teknik untuk mencapai tujuannya. Proses cracking dapat melibatkan perbandingan kata sandi yang disimpan dengan daftar kata atau menggunakan algoritma untuk menghasilkan kata sandi yang cocok


Dalam Tutorial ini, kami akan memperkenalkan Anda pada teknik umum peretasan kata sandi dan tindakan pencegahan yang dapat Anda terapkan untuk melindungi sistem dari serangan semacam itu.

What is password strength?

Kekuatan kata sandi adalah ukuran efisiensi kata sandi dalam menahan serangan peretasan kata sandi. Kekuatan sebuah password ditentukan oleh;

  • Panjangnya: jumlah karakter yang terkandung dalam kata sandi.
  • Kompleksitas: apakah menggunakan kombinasi huruf, angka, dan simbol?
  • Ketidakpastian: apakah ini sesuatu yang mudah ditebak oleh penyerang
Sekarang mari kita lihat contoh praktisnya. Kami akan menggunakan tiga kata sandi yaitu :
  1. password
  2. password1
  3. #password1$
Untuk contoh ini, kita akan menggunakan indikator kekuatan kata sandi Cpanel saat membuat kata sandi. Gambar di bawah ini menunjukkan kekuatan kata sandi dari masing-masing kata sandi yang tercantum di atas.


Catatan: password yang digunakan adalah password yang kekuatannya 1 dan sangat lemah.

Catatan: password yang digunakan adalah password1 yang kekuatannya 28, dan masih lemah.

Catatan: Password yang digunakan adalah #password1$ yang kekuatannya 60 dan kuat.

Semakin tinggi angka kekuatannya, semakin baik kata sandinya.

Misalkan kita harus menyimpan kata sandi di atas menggunakan enkripsi md5. Kami akan menggunakan generator hash md5 online untuk mengubah kata sandi kami menjadi hash md5.

Tabel di bawah menunjukkan hash kata sandi


Kami sekarang akan menggunakan http://www.md5this.com/ untuk memecahkan hash di atas. Gambar di bawah ini menunjukkan hasil cracking password untuk password di atas.

Seperti yang Anda lihat dari hasil di atas, kami berhasil memecahkan kata sandi pertama dan kedua yang memiliki angka kekuatan lebih rendah.
Kami tidak berhasil memecahkan kata sandi ketiga yang lebih panjang, rumit, dan tidak dapat diprediksi. Itu memiliki angka kekuatan yang lebih tinggi.

Teknik peretasan kata sandi

Ada sejumlah teknik yang dapat digunakan untuk memecahkan kata sandi. Kami akan menjelaskan yang paling umum digunakan di bawah ini;
  • Dictionary attack – Metode ini melibatkan penggunaan daftar kata untuk dibandingkan dengan kata sandi pengguna.
  • Serangan brute force – Metode ini mirip dengan serangan kamus. Serangan brute force menggunakan algoritma yang menggabungkan karakter alfanumerik dan simbol untuk menghasilkan kata sandi untuk serangan tersebut. Misalnya, kata sandi dengan nilai “kata sandi” juga dapat dicoba sebagai p@$$word menggunakan serangan brute force.
  • Rainbow table attack – Metode ini menggunakan hash yang telah dihitung sebelumnya. Mari kita asumsikan bahwa kita memiliki database yang menyimpan kata sandi sebagai hash md5. Kita dapat membuat database lain yang memiliki hash md5 dari kata sandi yang umum digunakan. Kami kemudian dapat membandingkan hash kata sandi yang kami miliki dengan hash yang disimpan di database. Jika ditemukan kecocokan, maka kami memiliki kata sandinya.
  • Guess – Seperti namanya, metode ini melibatkan menebak. Kata sandi seperti qwerty, kata sandi, admin, dll. biasanya digunakan atau ditetapkan sebagai kata sandi default. Jika kata sandi tersebut tidak diubah atau jika pengguna ceroboh saat memilih kata sandi, maka kata sandi tersebut dapat dengan mudah disusupi.
  • Spidering – Sebagian besar organisasi menggunakan kata sandi yang berisi informasi perusahaan. Informasi ini dapat ditemukan di website perusahaan, media sosial seperti facebook, twitter, dll. Spidering mengumpulkan informasi dari sumber-sumber ini untuk menghasilkan daftar kata. Daftar kata kemudian digunakan untuk melakukan serangan kamus dan brute force.
Spidering sample dictionary attack wordlist

Password cracker Tools

Ini adalah program perangkat lunak yang digunakan untuk memecahkan kata sandi pengguna. Kami telah melihat alat serupa pada contoh di atas tentang kekuatan kata sandi. Situs web http://www.md5this.com/ menggunakan Rainbow table untuk memecahkan kata sandi. Sekarang kita akan melihat beberapa alat yang umum digunakan

John the Ripper

John the Ripper menggunakan command prompt untuk memecahkan kata sandi. Hal ini membuatnya cocok untuk pengguna tingkat lanjut yang merasa nyaman bekerja dengan perintah. Ia menggunakan daftar kata untuk memecahkan kata sandi. Program ini gratis, tetapi daftar kata harus dibeli. Ini memiliki daftar kata alternatif gratis yang dapat Anda gunakan. Kunjungi situs web produk https://www.openwall.com/john/ untuk informasi lebih lanjut dan cara menggunakannya.

Cain & Abel

Cain & Abel berjalan di windows. Ini digunakan untuk memulihkan kata sandi akun pengguna, memulihkan kata sandi Microsoft Access; mengendus jaringan, dll. Berbeda dengan John the Ripper, Cain & Abel menggunakan antarmuka pengguna grafis. Ini sangat umum di kalangan pemula dan script kiddies karena kesederhanaan penggunaannya. Kunjungi situs web produk https://sectools.org/tool/cain/ untuk informasi lebih lanjut dan cara menggunakannya.

Ophcrack

Ophcrack adalah pemecah kata sandi Windows lintas platform yang menggunakan rainbow table untuk memecahkan kata sandi. Ini berjalan pada Windows, Linux dan Mac OS. Ia juga memiliki modul untuk serangan brute force di antara fitur-fitur lainnya. Kunjungi situs web produk https://ophcrack.sourceforge.io/ untuk informasi lebih lanjut dan cara menggunakannya.

mSpy

Dengan mspy, sebuah aplikasi keylogger, Anda dapat secara diam-diam mengamati semua kata yang diketik seseorang tanpa perlu hadir secara fisik. 
Alat ini memungkinkan Anda melacak setiap penekanan tombol dan ketukan pada perangkat, serta memantau aplikasi obrolan populer seperti WhatsApp, Instagram, Tinder, Snapchat, dan Viber. Lihat semua pesan teks dan pesan instan dengan mudah, dan gunakan pelacak GPS bawaan untuk menemukan posisi perangkat.

Tindakan Penanggulangan Pembobolan Kata Sandi
  • Sebuah organisasi dapat menggunakan metode berikut untuk mengurangi kemungkinan kata sandi dibobol
  • Hindari kata sandi yang pendek dan mudah ditebak
  • Hindari penggunaan password dengan pola yang mudah ditebak seperti 11552266.
  • Kata sandi yang disimpan dalam database harus selalu dienkripsi. Untuk enkripsi md5, lebih baik memberi salt pada hash kata sandi sebelum menyimpannya. Salting melibatkan penambahan beberapa kata ke kata sandi yang diberikan sebelum membuat hash.
  • Sebagian besar sistem registrasi memiliki indikator kekuatan kata sandi, sehingga organisasi harus mengadopsi kebijakan yang mendukung angka kekuatan kata sandi yang tinggi.
Hacking Activity: Hack Now!

Dalam skenario praktis ini, kita akan meretas akun Windows dengan kata sandi sederhana. Windows menggunakan hash NTLM untuk mengenkripsi kata sandi. Kami akan menggunakan alat cracker NTLM di Cain dan Abel untuk melakukan itu.

Cracker Cain dan Abel dapat digunakan untuk memecahkan password menggunakan;
  • Dictionary attack
  • Brute force
  • Cryptanalysis
Kami akan menggunakan Dictionary attack dalam contoh ini. Anda perlu mengunduh daftar kata Dictionary attack di sini 

Untuk demonstrasi ini, kami telah membuat akun bernama Akun dengan kata sandi qwerty di Windows 7.


Cara Memecahkan Kata Sandi

Step 1) Open Cain and Abel.

you will get the following main screen


Step 2) Find Add button.

Pastikan tab cracker dipilih seperti gambar di atas dan Klik tombol Add pada toolbar.


Step 3) Check dialog box.

Jendela dialog berikut akan muncul. Impor pengguna lokal dan klik tombol berikutnya.


Step 4) The local user accounts will be displayed as follows.

Perhatikan bahwa hasil yang ditampilkan adalah akun pengguna di mesin lokal Anda.


Step 5) Right click on the account you want to crack.

Untuk tutorial ini, kita akan menggunakan Akun sebagai akun pengguna. 


Step 6) Check below screen.

Klik kanan pada bagian kamus dan pilih menu Tambahkan ke daftar seperti gambar di atas.


Step 7) Browse File.

Telusuri ke 10 ribu file .txt paling umum yang baru saja Anda unduh


Step 8) Check results.

Jika pengguna menggunakan kata sandi sederhana seperti qwerty, maka Anda akan mendapatkan hasil sebagai beriku


Catatan: waktu yang dibutuhkan untuk memecahkan kata sandi tergantung pada kekuatan kata sandi, kompleksitas dan kekuatan pemrosesan mesin Anda.

Jika kata sandi tidak dibobol menggunakan serangan kamus, Anda dapat mencoba serangan brute force atau kriptanalisis.

Ringkasan :
  • Pemecahan kata sandi adalah seni memulihkan kata sandi yang disimpan atau dikirimkan.
  • Kekuatan kata sandi ditentukan oleh panjang, kompleksitas, dan ketidakpastian nilai kata sandi.
  • Teknik kata sandi yang umum mencakup serangan kamus, brute force, tabel pelangi, spidering, dan cracking.
  • Alat peretas kata sandi menyederhanakan proses peretasan kata sandi.

<Prev  -  Next>

Share on Google Plus

About Muhamad Reza Pahlepi

Howdy, I’m Reza. I’m a supervisor IT Infrastructure living in jakarta. I am a fan of entrepreneurship, technology, networking engineer and web development. I’m also interested in coffee and basketball. You can read my articles with a click on the button above.
    Blogger Comment