Little boy questioned his mother, he asked what he can be in the future..with a sad smile, she tells him he can be anything he wants to be.... Boy said he’d become (an) astronaut and fly out into space crews around the universe he wanted to see the stars and also see other planets in outer space------------- "Why don’t we just keep dreaming, let’s keep our mind with dream and faith, as long as we wish we can make it come true, how old you are never forget your dream and keep dreaming "

Sunday, 13 May 2018

Password Attack (100 Password Terburuk Selama Tahun 2017)


Serangan terhadap password/kata sandi telah menjadi masalah berkelanjutan bagi para Network Security engineers. Setiap tahun SplashData menerbitkan laporan tentang kata sandi yang paling umum digunakan yang bocor secara online. Pada tahun 2017, mereka menganalisis 5 juta kata sandi bocor terutama dari pengguna Amerika Utara dan Eropa Barat, yang terungkap dari kata sandi yang berhasil diretas sepanjang tahun 2017, dan melaporkan 25 teratas. Kata sandi "password" adalah nomor 2 pada daftar. Lima dari 10 teratas adalah urutan numerik yang dimulai dengan 1 dan bervariasi hanya dalam panjang urutan (misalnya, 123456). Lima lagi dari 25 teratas adalah urutan alfa-numerik sederhana (seperti abc123). Ada beberapa kata sandi yang cukup baik, namun masih buruk secara keamanan, seperti trustno1 dan letmein. 11 sisanya adalah kata kamus sederhana, semuanya dalam huruf kecil. 25 kata sandi teratas ini mewakili 2,2% dari 5 juta kata sandi bocor.

25 kata sandi terburuk selama tahun 2017 adalah :
1 - 123456 (ranking tidak berubah sejak 2016) 
2 - password (ranking tidak berubah) 
3 - 12345678 
4 - qwerty 
5 - 12345 
6 - 123456789 
7 - letmein 
8 - 1234567 
9 - football 
10 - iloveyou 
11 - admin
12 - welcome
13 - monkey
14 - login 
15 - abc123 
16 - starwars 
17 - 123123 
18 - dragon 
19 - passw0rd 
20 - master
21 - hello 
22 - freedom 
23 - whatever 
24 - qazwsx 
25 - trustno1 
Untuk daftar lengkap 100 kata sandi terburuk selama 2017 bisa lihat disini.
Analis keamanan harus menyadari metode serangan kata sandi yang berbeda dan menerapkan penanggulangan terhadap serangan kata sandi. Berikut ini adalah beberapa metode yang digunakan penyerang untuk mendapatkan kata sandi pengguna:

Password guessing : Untuk melakukan Password guessing/menebak kata sandi, penyerang dapat memasukkan kata sandi secara manual atau menggunakan software untuk mengotomatisasi proses ini. Sandi yang benar-benar lemah sangat rentan terhadap serangan ini.

Serangan brute-force : serangan password brute-force dilakukan oleh program komputer yang disebut "password crackers." password cracker melakukan serangan brute-force dengan mencoba secara sistematis setiap kata sandi sampai berhasil. Sebagai contoh, mungkin memulai dengan mencoba semua kata sandi satu karakter, kemudian pindah ke kata sandi dua karakter, dan seterusnya, mencoba semua kombinasi yang mungkin sampai mereka memecahkan kata sandi. Dengan metode ini, kecepatan penyerang dapat memperoleh kata sandi mungkin bergantung pada kecepatan komputer penyerang (berapa banyak perhitungan yang dapat dilakukan per detik), kecepatan koneksi Internet si penyerang, dan panjangnya dan kerumitan kata sandi. . Banyak password cracker tersedia, dan banyak tanpa biaya.

Meskipun serangan brute-force sama sekali bukan taktik baru untuk cybercriminals, penggunaannya meningkat tiga kali lipat dalam beberapa tahun terakhir. Target utama untuk upaya login brute-force baru-baru ini termasuk platform CMS web yang banyak digunakan seperti WordPress. Upaya tsb berhasil untuk mendapatkan akses tidak sah ke server web WordPress memberi penyerang kemampuan untuk mengunggah skrip backdoor dan skrip berbahaya lainnya ke situs web yang disusupi. Mempertimbangkan bahwa ada lebih dari 74 juta situs web WordPress di seluruh dunia, dan bahwa penerbit menggunakan platform untuk membuat blog, situs berita, situs perusahaan, majalah, jejaring sosial, situs olahraga, dan banyak lagi, tidak mengherankan jika banyak penyerang mencoba mendapatkan akses  melalui WordPress CMS. CMS web lainnya, seperti Joomla dan Drupal, telah ditargetkan juga. Tetapi bukan hanya popularitas dari CMS yang membuat mereka menjadi target yang diinginkan. Banyak situs web ini, meskipun aktif, sebagian besar telah ditinggalkan oleh pemiliknya. Ada kemungkinan jutaan blog yang ditinggalkan dan domain yang dibeli tidak aktif, dan banyak yang mungkin sekarang dimiliki oleh cyber criminal.

Dictionary attack : Serangan ini menggunakan daftar kata untuk mendapatkan kata sandi. Daftar kata dapat berisi jutaan kata, termasuk kata-kata dari kamus bahasa alami dan nama tim olahraga, kata-kata tidak senonoh, dan bahasa gaul. Serangan ini tidak selalu berhasil dan sering dicoba sebelum serangan brute force. Namun, dalam beberapa hal, serangan ini mirip dengan serangan brute force. Ini adalah proses otomatis yang dilakukan oleh program password cracker; kecepatan penyerang dapat memperoleh kata sandi mungkin tergantung pada kecepatan komputer penyerang (berapa banyak perhitungan yang dapat dilakukan per detik), kecepatan koneksi Internet si penyerang, dan panjang dan kompleksitas kata sandi. Banyak alat untuk melakukan dictionary attack tersedia secara gratis di Internet. Sebagai contoh, peneliti keamanan Cisco telah menemukan pusat data kamus yang mencakup 8,9 juta kemungkinan kombinasi nama pengguna dan kata sandi, termasuk kata sandi yang kuat - bukan hanya "password123" yang mudah dibobol. Kredensial pengguna yang dicuri juga membantu penyerang menjaga daftar kamus mereka terisi dengan baik.

Phishing attack (memancing) : Cara lain bagi penyerang untuk menemukan kata sandi adalah dengan secara tidak langsung bertanya kepada pengguna. Misalnya, email phishing dapat mengarahkan korban untuk mengunjungi situs web palsu yang berbahaya di mana mereka diminta untuk memasukkan informasi pribadi mereka, seperti kata sandi atau kartu kredit, jaminan sosial, dan nomor rekening bank mereka. Seorang penyerang dapat membuat situs web yang menarik bagi korban, dan ketika korban dipancing untuk membuat akun di situs penyerang, penyerang mengetahui kata sandi banyak orang menggunakan kembali kata sandi yang sama, atau sebagian besar dari itu, menggunakan satu kata sandi untuk semua akun web mereka.

Serangan kata sandi bisa secara online atau offline. Dalam serangan kata sandi online, penyerang melakukan upaya berulang untuk masuk. Aktivitas ini terlihat oleh sistem autentikasi, sehingga sistem dapat mengunci akun secara otomatis setelah terlalu banyak melakukan kesalahan memasukan kata sandi. Penguncian akun menonaktifkan akun dan membuatnya tidak tersedia untuk serangan lebih lanjut selama periode penguncian. Periode penguncian dan jumlah upaya logon yang diizinkan dapat dikonfigurasi oleh administrator sistem. Perlu juga disebutkan bahwa serangan kata sandi online dapat digunakan sebagai bentuk serangan DoS (Denial of Service). Jika lockout mempengaruhi akun yang cukup banyak atau penting, maka pengaruhnya akan cukup besar.
Serangan kata sandi offline jauh lebih berbahaya. Dalam serangan online, kata sandi memiliki perlindungan sistem di mana ia disimpan, tetapi tidak ada perlindungan dalam serangan offline. Dalam serangan offline, penyerang menangkap kata sandi atau kata sandi terenkripsi. Penyerang kemudian dapat melakukan banyak upaya untuk memecahkan kata sandi tanpa diketahui. Semakin panjang dan rumitnya kata sandi, semakin sulit dan memakan waktu bagi penyerang untuk memecahkannya.
Banyak sistem otentikasi menentukan tingkat kerumitan kata sandi pada sistem mereka. Menentukan panjang minimum kata sandi dan memaksa satu set karakter yang diperbesar (huruf besar, huruf kecil, angka, dan karakter khusus) dapat memiliki pengaruh besar pada kekuatan dan ketahanan kata sandi terhadap serangan.

Beberapa software untuk melakukan cracking pada kata sandi umumnya yang tersedia secara gratis termasuk Cain and Abel, John the Ripper, OphCrack, dan L0phtCrack.

Bagaimana membuat katasandi yang aman ?

Pendekatan umum untuk mengurangi risiko serangan brute force adalah dengan mengunci akun atau meningkatkan delay antara upaya login gagal yang berulang. Ini bisa efektif dalam memperlambat serangan brute force.
  • Otentikasi dua faktor (two factor authentication) atau sering disebut 2FA. Autentikasi dua faktor mengharuskan penyerang memiliki sesuatu yang lebih dari kata sandi untuk mengotentikasi ke sistem. Misalnya, tidak hanya membutuhkan kata sandi dan nama pengguna, tetapi juga sesuatu yang hanya dimiliki oleh pengguna. Misalnya, ketika Anda menggunakan kartu debit bank Anda untuk menarik uang tunai dari mesin ATM, Anda juga memerlukan PIN yang hanya Anda yang tahu, 2FA biasanya menggunakan kombinasi nama pengguna, kata sandi dengan otentikasi SMS, Google Authenticator atau Authy. Facebook, Google dan kebanyakan website, social media sudah menerapkan otentikasi dua faktor.
2FA facebook

2FA google (gmail)
  • Gunakan passphrase sebagai kata sandi, dari pada menggunakan kata sandi biasa yang pada umumnya kita menggunakan tanggal lahir, tanggal pernikahan atau menggunakan kombinasi angka dan huruf yang kita sendiri sudah mengingatnya lebih baik menggunakan passphrase. Passphrase bisa diambil dari lirik lagu favorit anda, quote favorite anda dimana anda dapat membuat kata sandi yang panjang dan mudah anda ingat. Misalnya "SiapkahKauTukJatuhCintaLagi" (bapeerrr)
  • Gunakan password manager atau password generator, untuk opsi ini saya menyarankan software LastPass.  LastPass adalah layanan password manager yang bisa anda gunakan untuk menyimpan semua password akun online anda. Seluruh password yang tersimpan di LastPass akan tersinkronsasi di cloud dan bisa anda akses dari semua browser. Dengan LastPass anda bisa membuat password yang berbeda untuk setiap akun yang anda miliki tanpa harus bersusah payah mengingatnya satu per satu. Ketika akan login ke suatu akun, LastPass akan otomatis mengisikan password tersebut sehingga anda bisa login dengan jauh lebih cepat.
LastPass

Terima Kasih, semoga bermanfaat ^^


Diposkan oleh pada
Label: ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)