Ketahuilah akan Kelemahan Password anda, Mulai ATM, YM…… ( bag III )

<!– @page { size: 21cm 29.7cm; margin: 2cm } P { margin-bottom: 0.21cm } –>

Membicarakan mengenai keamanan informasi dan teknologi, tentu kita tidak akan terlepas dari salah satu alat pengamanan teknologi yang paling klasik, efisien, sekaligus paling bermanfaat hingga saat ini, sesuatu yang kita kenal dari jaman Romawi, yaitu Password. Melakukan penjebolan password kerapkali menjadi salah satu jalan seorang hacker untuk melakukan berbagai kejahatan, baik di dunia maya (internet) maupun pada dunia nyata (Physical Attack).

Walaupun demikian, entah mengapa kesadaran akan pentingnya password belum juga meningkat pada kebanyakan pengguna teknologi, khususnya Indonesia. Sesuai dengan judulnya, tulisan kali ini akan membahas berbagai hal penting mengenai pengamanan password, sebuah hal klasik yang kerapkali dibahas dalam setiap pembahasan keamanan, namun selalu gagal dalam aplikasi di dunia nyatanya. Tulisan ini merupakan kisah pengalaman seorang hacker Indonesia yang dikenal di dunia maya dengan nama Th0r. Berikut ulasannya.

Apa itu password?

Password adalah sebuah kode rahasia yang biasanya digunakan untuk menjalankan proses “autentikasi”, yakni sebuah proses untuk melakukan konfirmasi apakah seseorang memiliki izin untuk mengakses informasi atau data yang dirahasiakan. Password sendiri selalu dijadikan sebuah rahasia yang hanya diketahui oleh individu/kelompok yang memiliki hak untuk mengakses data/informasi yang dilindungi tersebut. Orang yang tidak mendapatkan akses namun membutuhkan informasi tersebut, kerapkali mencoba untuk mendapatkannya.

Penggunaan password pada jaman dahulu adalah sebagai suatu sandi untuk dapat melewati penjagaan sebuah kota (tentunya ini sering terjadi pada saat perang). Namun pada jaman modern sekarang ini, orang menggunakannya untuk melindungi ATM, Kartu Debit, Online Banking, sistem operasi seperti windows, bahkan komputer itu sendiri.

Password itu sendiri tidak harus berbentuk suatu kalimat atau kata yang baku. Password modern saat ini mementingkan tingkat kompleksitasnya, semakin sulit maka akan semakin bagus. Password bisa menggunakan angka, huruf besar, huruf kecil, maupun karakter khusus dalam keyboard seperti tanda baca, atau simbol “Extended ASCII” seperti e dan w.

Berikut adalah tabel yang memberikan gambaran lebih mengenai Extended ASCII. Kata-kata yang terdapat pada nama kolom juga berarti:

– Dec (Desimal). Kumpulan angka sebanyak tiga digit yang bisa digunakan sebagai nama lain daripada karakter tersebut.

– Hex (Hexa Desimal). Hanya bentuk lain sebuah bilangan. Apabila bilangan yang kita kenal adalah bilangan per 10-an yang terdiri dari 0123456789, maka bilangan Hexa merupakan bilangan per 16-an yang terdiri dari 0123456789ABCDEF.

– Char (Karakter) atau bentuk yang akan dihasilkan.

Untuk membuatnya juga cukup mudah. Apabila Anda menggunakan keyboard pada PC Anda, ketikkan Alt+128 pada Numblock Pad (angka-angka yang ada di sebelah kanan keyboard) membentuk sebuah kotak kecil, maka Anda akan menghasilkan huruf C besar dengan buntut.

Pembentukan password yang kuat, aman dan memiliki arti bagi pemiliknya (sehingga mudah diingat) memang sangat penting.

Mengapa membahas password?

Ya kita membahas password karena hal ini merupakan hal yang cukup penting untuk diketahui! Bagaimana tidak, segala sesuatu di internet saat ini, baik yang mempertaruhkan nama baik dan data pribadi Anda (Personal blog, Friendster, Public Action – http://www.ebay.com, Social Networking Sites), informasi penting (Email), uang (eBanking, Debit Card, Online Tickets, ATM, Online Shop), waktu dan tenaga (Personal eCommerce, Site with Advertisements), serta nyawa Anda (PLTN dengan SCADA-nya), semua memerlukan password untuk proses autentikasinya. Apabila password tersebut sampai ke tangan pihak yang tidak bertanggung jawab, bisa saja semua yang Anda pertaruhkan tersebut raib entah ke mana.

Walaupun demikian, entah kenapa masih banyak orang-orang yang belum sadar akan pentingnya password itu sendiri, sebagai kunci daripada penggunaan teknologi yang benar, efisien dan aman. Hal ini terbukti dengan masih banyaknya password di luar sana yang tergolong tidak aman. Hal ini akan kita bahas lebih lanjut dengan segala bukti nyata langsung dari hasil riset lapangan, pada bagian selanjutnya dari tulisan ini.

Siapa yang melakukan pencurian password?

Jangan tanya siapa atau berapa orang yang mencoba melakukan pencurian password. Saya rasa setiap orang di internet ingin memiliki password orang lain dengan 1001 macam alasan. Beberapa yang paling sering ditemui adalah:

– Ingin password email pasangan, supaya bisa mengetahui apakah ada PIL atau WIL lain (motivasi cemburu dan paranoid).

– Ingin password email boss/atasan – dari sini saya bisa membuktikan bahwa saya lebih hebat.

– Ingin password Windowsku – lupa password sendiri.

– Ingin password teman – ingin tahu apa sih yang ia lakukan dengan teman/pacar saya.

– Ingin password anak – ingin tahu apa yang mereka lakukan dengan internet.

– Ingin password Admin kantor – supaya bisa instal game dan online IRC.

– Ingin password musuh – biar nama baik dan uangnya bisa kita kuasai.

– Ingin password orang yang itu – karena dia punya blablabla…

Selalu saja ada alasan untuk mendapatkan password orang lain. Dengan ini, maka kita harus lebih berhati-hati, sebab mungkin saja teman, pacar, saudara, orang tua, atau bahkan orang yang tidak pernah Anda kenal bisa saja menginginkan password Anda.

Ingin petuah cepat untuk mengamankan password Anda? Jangan percaya siapa atau apapun! Sebab beginilah dunia keamanan informasi dan teknologi terbentuk, dengan tidak mempercayakan data apapun kepada siapapun.

<!– @page { size: 21cm 29.7cm; margin: 2cm } P { margin-bottom: 0.21cm } –>

Membicarakan mengenai keamanan informasi dan teknologi, tentu kita tidak akan terlepas dari salah satu alat pengamanan teknologi yang paling klasik, efisien, sekaligus paling bermanfaat hingga saat ini, sesuatu yang kita kenal dari jaman Romawi, yaitu Password. Melakukan penjebolan password kerapkali menjadi salah satu jalan seorang hacker untuk melakukan berbagai kejahatan, baik di dunia maya (internet) maupun pada dunia nyata (Physical Attack).

Walaupun demikian, entah mengapa kesadaran akan pentingnya password belum juga meningkat pada kebanyakan pengguna teknologi, khususnya Indonesia. Sesuai dengan judulnya, tulisan kali ini akan membahas berbagai hal penting mengenai pengamanan password, sebuah hal klasik yang kerapkali dibahas dalam setiap pembahasan keamanan, namun selalu gagal dalam aplikasi di dunia nyatanya. Tulisan ini merupakan kisah pengalaman seorang hacker Indonesia yang dikenal di dunia maya dengan nama Th0r. Berikut ulasannya.

Apa itu password?

Password adalah sebuah kode rahasia yang biasanya digunakan untuk menjalankan proses “autentikasi”, yakni sebuah proses untuk melakukan konfirmasi apakah seseorang memiliki izin untuk mengakses informasi atau data yang dirahasiakan. Password sendiri selalu dijadikan sebuah rahasia yang hanya diketahui oleh individu/kelompok yang memiliki hak untuk mengakses data/informasi yang dilindungi tersebut. Orang yang tidak mendapatkan akses namun membutuhkan informasi tersebut, kerapkali mencoba untuk mendapatkannya.

Penggunaan password pada jaman dahulu adalah sebagai suatu sandi untuk dapat melewati penjagaan sebuah kota (tentunya ini sering terjadi pada saat perang). Namun pada jaman modern sekarang ini, orang menggunakannya untuk melindungi ATM, Kartu Debit, Online Banking, sistem operasi seperti windows, bahkan komputer itu sendiri.

Password itu sendiri tidak harus berbentuk suatu kalimat atau kata yang baku. Password modern saat ini mementingkan tingkat kompleksitasnya, semakin sulit maka akan semakin bagus. Password bisa menggunakan angka, huruf besar, huruf kecil, maupun karakter khusus dalam keyboard seperti tanda baca, atau simbol “Extended ASCII” seperti e dan w.

Berikut adalah tabel yang memberikan gambaran lebih mengenai Extended ASCII. Kata-kata yang terdapat pada nama kolom juga berarti:

– Dec (Desimal). Kumpulan angka sebanyak tiga digit yang bisa digunakan sebagai nama lain daripada karakter tersebut.

– Hex (Hexa Desimal). Hanya bentuk lain sebuah bilangan. Apabila bilangan yang kita kenal adalah bilangan per 10-an yang terdiri dari 0123456789, maka bilangan Hexa merupakan bilangan per 16-an yang terdiri dari 0123456789ABCDEF.

– Char (Karakter) atau bentuk yang akan dihasilkan.

Untuk membuatnya juga cukup mudah. Apabila Anda menggunakan keyboard pada PC Anda, ketikkan Alt+128 pada Numblock Pad (angka-angka yang ada di sebelah kanan keyboard) membentuk sebuah kotak kecil, maka Anda akan menghasilkan huruf C besar dengan buntut.

Pembentukan password yang kuat, aman dan memiliki arti bagi pemiliknya (sehingga mudah diingat) memang sangat penting.

Mengapa membahas password?

Ya kita membahas password karena hal ini merupakan hal yang cukup penting untuk diketahui! Bagaimana tidak, segala sesuatu di internet saat ini, baik yang mempertaruhkan nama baik dan data pribadi Anda (Personal blog, Friendster, Public Action – http://www.ebay.com, Social Networking Sites), informasi penting (Email), uang (eBanking, Debit Card, Online Tickets, ATM, Online Shop), waktu dan tenaga (Personal eCommerce, Site with Advertisements), serta nyawa Anda (PLTN dengan SCADA-nya), semua memerlukan password untuk proses autentikasinya. Apabila password tersebut sampai ke tangan pihak yang tidak bertanggung jawab, bisa saja semua yang Anda pertaruhkan tersebut raib entah ke mana.

Walaupun demikian, entah kenapa masih banyak orang-orang yang belum sadar akan pentingnya password itu sendiri, sebagai kunci daripada penggunaan teknologi yang benar, efisien dan aman. Hal ini terbukti dengan masih banyaknya password di luar sana yang tergolong tidak aman. Hal ini akan kita bahas lebih lanjut dengan segala bukti nyata langsung dari hasil riset lapangan, pada bagian selanjutnya dari tulisan ini.

Siapa yang melakukan pencurian password?

Jangan tanya siapa atau berapa orang yang mencoba melakukan pencurian password. Saya rasa setiap orang di internet ingin memiliki password orang lain dengan 1001 macam alasan. Beberapa yang paling sering ditemui adalah:

– Ingin password email pasangan, supaya bisa mengetahui apakah ada PIL atau WIL lain (motivasi cemburu dan paranoid).

– Ingin password email boss/atasan – dari sini saya bisa membuktikan bahwa saya lebih hebat.

– Ingin password Windowsku – lupa password sendiri.

– Ingin password teman – ingin tahu apa sih yang ia lakukan dengan teman/pacar saya.

– Ingin password anak – ingin tahu apa yang mereka lakukan dengan internet.

– Ingin password Admin kantor – supaya bisa instal game dan online IRC.

– Ingin password musuh – biar nama baik dan uangnya bisa kita kuasai.

– Ingin password orang yang itu – karena dia punya blablabla…

Selalu saja ada alasan untuk mendapatkan password orang lain. Dengan ini, maka kita harus lebih berhati-hati, sebab mungkin saja teman, pacar, saudara, orang tua, atau bahkan orang yang tidak pernah Anda kenal bisa saja menginginkan password Anda.

Ingin petuah cepat untuk mengamankan password Anda? Jangan percaya siapa atau apapun! Sebab beginilah dunia keamanan informasi dan teknologi terbentuk, dengan tidak mempercayakan data apapun kepada siapapun.

<!– @page { size: 21cm 29.7cm; margin: 2cm } P { margin-bottom: 0.21cm } –>

Penggunaan password(s) yang dinilai kuat

Selain dinilai dari panjang dan jumlah karakter yang ada, kuat atau lemahnya sebuah password juga dinilai dari kompleks atau tidaknya kata di dalamnya. Walaupun Anda menggunakan 20 karakter di dalamnya, namun password Anda adalah “JunaediPratama” alias nama Anda sendiri, tentu orang akan dengan mudah menebaknya.

Bukan berarti saya mengatakan bahwa password menggunakan nama adalah yang terburuk, tentunya penggunaan nama sebagai password adalah salah satu penanggulangan lupa password yang terbaik, sebab tidak mungkin Anda melupakan nama Anda sendiri. Namun harus sedikit dibuat rumit, sehingga tidak mudah ditebak. Misalnya dengan menambahkan angka untuk menggantikan huruf hidup di dalam password tersebut, sehingga menjadi “Jun43d1Pr4t4m4″.

Selain menggunakan angka dan membuat password Anda melebihi jumlah minimum password yang tergolong kuat (atau melebihi jumlah minimum 12 karakter), cara lain yang perlu Anda gunakan untuk menghindarkan diri Anda dari serangan pencuri password adalah dengan menambahkan tanda baca maupun simbol Extended ASCII seperti c dan lambda dalam password Anda.

Penggunaan simbol Extended ASCII memang tidak fleksibel dan hanya beberapa sistem canggih seperti e-mail milik Yahoo, MSN, maupun Google, serta situs seperti Myspace.com yang menerimanya. Namun bagaimana dengan penggunaan tanda baca seperti (!) dan (*)? Terdengar suatu pemecahan masalah yang menarik bukan? Hahaha.

Oke, apabila sebelumnya Anda telah mengubah “Jun43d1Pr4t4m4″ sekarang adalah bagian melakukan penambahan tanda baca sehingga password Anda akan menjadi “Jun43d1@Pr4t4m4.com!”, sebuah password yang akan sangat sulit untuk dipecahkan.

Hubungan dari penambahan karakter “unik” ke dalam password Anda adalah langsung kepada kenyataan bahwa kebanyakan alat bantu untuk menebak password yang dimiliki hacker (Bruteforcing tools) tidak bisa melakukan penebakan simbol Extended ASCII, dan sangat jarang melakukan penebakan tanda baca seperti ! dan @. Selain itu mereka juga harus menambah waktu menunggu karena kemungkinan kombinasinya menjadi lebih besar, dan membuat alat tersebut tidak efektif lagi.

Pengubahan Password(s) secara berkala

Tahukah Anda bahwa pengubahan password Anda secara rutin atau berkala selama setidak-tidaknya 6 bulan sekali adalah salah satu cara pengamanan yang terbaik? Walaupun sebagian besar orang takut atau malas melakukan hal ini dengan alasan takut lupa password mereka sendiri, namun pada kenyataannya hal ini sangat diperlukan.

Apabila Anda pergi ke situs hacker underground ataupun ke berbagai tempat lainnya, tentu Anda akan mendengar sesuatu berkenaan dengan “Password Dictionary” atau “Dictionary Attack”. Sebenarnya apa yang terjadi dengan itu dan apa pentingnya? Mudah saja, serangan menggunakan kamus (Dictionary) adalah sebuah serangan penebakan password yang lebih sedikit maju dan efektif.

Di saat penebakan password melakukan kombinasi dari a (satu karakter) hingga 9999 (empat karakter) dengan melewati kombinasi rumus 36×36×36×36, maka penyerangan menggunakan dictionary ini melakukan serangannya dengan frase-frase kata yang mungkin merupakan sebuah password, seperti default, admin, qwerty, maupun password.

Kebanyakan dictionary dibuat berdasarkan riset para hacker, terutama dictionary yang terbilang elit. Para hacker yang pernah melakukan pencurian password sebelumnya, melakukan pembukuan password yang pernah mereka temukan, sebab tidak menutup kemungkinan beberapa orang menggunakan password yang sama.

Kenyataan bahwa serangan ini dinilai sangat efektif di kalangan para penyerang, kita harus bisa menarik kesimpulan bahwa melakukan pengubahan password secara berkala akan membuat sang penyerang lebih kerepotan dalam melakukan pencocokan kata sandi password kita. Apabila Anda pribadi pernah kehilangan password Anda, merupakan sebuah kebijaksanaan besar apabila Anda tidak akan menggunakan password ter-hack dari Anda tersebut sama sekali, sebab besar kemungkinan password tersebut sudah masuk dalam salah satu dictionary para hacker.

Bagian ini juga mencakup adanya peraturan (entah yang Anda buat untuk diri Anda sendiri, maupun yang dibuat oleh Anda untuk para pengguna komputer yang lain di tempat Anda bekerja) yang menentukan bahwa sebuah password sudah expired dan harus diganti dalam jangka waktu tertentu. Pada universitas dan perusahaan tertentu di Australia, mereka memberikan batas maksimal 30×24 jam sebelum sebuah password dinyatakan expired. Apabila password sudah expired dan Anda belum mengubahnya sesuai permintaan (dan walau sudah diperingati berkali-kali oleh pihak terkait), maka account Anda akan ditutup secara paksa. Anda perlu melakukan konfirmasi untuk membuka kembali account tersebut.

Jangan pernah memberitahukan password(s) Anda pada siapapun!

Subtitle di atas memang mungkin akan membuat Anda tertawa “Bagaimana mungkin seseorang memberitahukan password mereka kepada orang lain begitu saja?” Anda boleh tertawa sekarang, tapi kita lihat siapa yang akan tertawa pada akhirnya apabila Anda meremehkan kalimat kecil tersebut. Hahahaha.

Saya tidak pernah bermaksud mengatakan bahwa seorang hacker akan datang ke rumah Anda, mengajak Anda berkencan (apabila hacker berlawanan jenis kelamin dengan Anda), atau mengajak jamuan makan malam, kemudian menanyakan apa password Anda secara baik-baik. Kalaupun memang ada yang seperti itu, tentu hanya di film-film Hollywood, ataupun dalam badan pemerintahan maju (sebab adalah sebuah kenyataan bahwa negara China membobol Jepang dengan cara seperti itu).

Seorang hacker akan membuat sebuah situs palsu, yang bersifat sangat mirip dengan situs aslinya, tentunya situs tersebut adalah situs yang mempertanyakan password dan username Anda seperti misalkan http://mail.yahoo.com ataupun http://www.gmail.com. Situs palsu milik mereka akan melakukan pencurian password secara diam-diam dan sedemikian rupa yang membuat Anda tidak sadar apabila Anda pernah terkena proses pencurian tersebut. Suatu yang merupakan keahlian para hacker bawah tanah.

Selain dengan menggunakan tehnik penipuan di atas, atau yang bisa kita namai Phising Attack (teknik memancing – kata Phising diambil dari kata Fishing), hacker juga memiliki banyak cara lain untuk meminta password Anda secara paksa, diam-diam, dan efisien. Salah satunya adalah menggunakan keylogger, sebuah program atau hardware yang berfungsi menyimpan semua hal yang Anda ketikkan di keyboard, kemudian keylogger juga disusul dengan Trojan dan Backdoor. Hal ini akan kita bahas lebih lanjut pada bagian berikutnya.

Memang selain teknik tersebut ada lagi yang bernama Social Engineering (seni penipuan) maupun Mind Hacking (penipuan menggunakan seni seperti ilmu sihir). Namun sekiranya itu akan dibahas secara bersamaan dengan pembahasan kemungkinan penyerangan secara fisik untuk melakukan pencurian password.

Hindari kebiasaan penggunaan password(s) yang sama pada setiap account(s)

Tidak ada seorang pun yang sangat yakin mengenai angka terjadinya Friendster Hacking (sebuah layanan jaringan sosial yang sangat populer), dan walaupun pihak pengelola Friendster mengetahui hal ini, mereka tidak akan memberitahukannya secara umum. Namun dilihat dari banyaknya kritik dan komplain dari pihak pengguna, yang kebanyakan juga lari ke berbagai forum setelah mengaku bahwa email mereka tidak dibalas oleh pihak Friendster, dapat dikatakan angka ini sangatlah besar.

Kebiasaan buruk yang paling banyak kita jumpai dalam pembahasan seputar keamanan password tentu adalah penggunaan password yang sama pada setiap account yang orang tersebut miliki. Alasan utamanya adalah ketakutan bila mereka lupa terhadap password mereka sendiri.

Hal ini banyak dialami dan dilakukan, baik oleh para pengguna internet yang tergolong pemula, sampai mereka yang menyatakan bahwa mereka sadar akan keamanan.

Seaman-amannya sebuah password, pasti ada saja celah keamanannya. Banyak jalan belakang untuk bisa mendapatkan password orang lain secara diam-diam maupun terang-terangan, dan apabila kita bisa mendapatkan password tersebut (dan ternyata orang itu menggunakan password yang sama pada setiap account-nya), maka kita bisa mengambil alih data dan informasi apapun daripada orang ini. Hahahaha.

Katakanlah Anda menggunakan password yang cukup kompleks untuk semua account yang Anda miliki, termasuk diantaranya adalah account Friendster milik Anda. Suatu hari seseorang berhasil melakukan teknik Phising Attack terhadap diri Anda dan mendapatkan password tersebut. Setelah itu, ia kemudian mencobanya untuk membuka email Anda, yang kemudian ia akan dapat melihat account apa saja yang pernah Anda miliki dari keterangan-keterangan di email Anda. Suatu hal yang tidak akan pernah Anda inginkan.

Pada bagian berikutnya, kita akan sedikit membahas mengenai hasil riset pribadi yang saya lakukan sendiri selama menulis artikel ini. Riset ini membuktikan bahwa penggunaan password yang sama untuk setiap account, dan kemudian ketidaksadaran akan pentingnya keamanan password bisa menyebabkan seseorang (yang bahkan disinyalir mengerti mengenai keamanan informasi) kehilangan segala informasi dan data penting mengenai dirinya. Riset ini dituliskan kembali di dalam artikel ini langsung dari lapangan.

Kenali secret question(s) Anda!

Pernahkan Anda mendengar pepatah kuno yang mengatakan “Banyak jalan menuju Roma”, sebenarnya pepatah ini juga berkaitan erat dengan perihal keamanan password. Bagi seorang hacker, untuk dapat melakukan penyerangan ke dalam account milik mangsanya, password bukanlah jalan satu-satunya, terkadang seorang hacker dituntut untuk dapat berpikir secara kritis untuk menemukan cara lainnya.

Salah satu cara yang paling diminati oleh hacker, selain tentunya melakukan bypass security (sesuatu yang tidak akan kita bahas di sini), adalah dengan cara menebak pertanyaan rahasia milik orang itu, tentu setelah mereka melakukan information gathering (pengumpulan informasi) mengenai mangsanya tersebut, suatu hal yang mudah untuk dilakukan mengingat kita memiliki sahabat setia yang selalu membantu, Mr. Google – http://www.google.com.

Kebanyakan situs di dunia saat ini memberikan alternatif bagi para penggunanya untuk dapat me-request password mereka kembali apabila mereka lupa akan password yang telah mereka pergunakan. Pada email seperti Gmail dan Hotmail, untuk mengembalikan password yang terlupakan, mereka menawarkan dua buah cara, yakni mengirimkan email untuk mengubah password ke dalam email alternatif yang Anda daftarkan pada saat mendaftarkan diri ke Hotmail ataupun Gmail, dan menjawab pertanyaan rahasia yang sudah Anda tentukan sendiri sebelumnya.

Walaupun memang terlihat sangat membantu para penggunanya yang mungkin saja secara tidak sengaja melupakan password yang telah mereka tentukan untuk account tersebut, namun pada kenyataannya ini juga merupakan salah satu teknik yang dipakai oleh para hacker untuk dapat masuk ke dalam account email seseorang dan membaca segala isinya (tidak hanya berlaku pada email).

Pada buku ini, kita juga akan membahas banyak kejadian menarik yang langsung berkaitan dengan hal ini dan langsung datang dari hasil riset pribadi milik penulis, sebuah kisah nyata yang memang terjadi pada saat proses penelitian sebelum artikel ini dibuat. Nanti akan saya perlihatkan, bagaimana seseorang yang secara tidak langsung dapat disebutkan sebagai seorang yang sadar akan keamanan, ternyata juga masih bisa terkena serangan dengan cara menebak pertanyaan rahasia miliknya.

Bagi sebagian orang, mungkin kehilangan password adalah hal yang biasa, dan kerapkali dianggap remeh. Jangan salah, walaupun Anda memang bukan pemilik data penting keuangan maupun berbagai hal lainnya di internet, kehilangan password dan account yang Anda sayangi dan selalu Anda update (seperti forum, situs pribadi, account Facebook, maupun Friendster) akan berdampak cukup besar. Paling tidak ada rasa kesal. Hahahaha.

Bahkan kadang hal yang menurut Anda tidak berguna pun bisa dijadikan uang oleh mereka yang melakukan penyerangan. Misalnya dengan menjual kumpulan email dan password, serta daftar email address yang valid (account email tersebut benar-benar ada), seseorang dapat saja mendapatkan ratusan Euro apabila menjualnya kepada para Spammer (orang yang melakukan pengiriman iklan secara acak ke email-email sembarang dalam jumlah sangat besar). Para spammer itu sendiri mendapatkan uang yang banyak untuk melakukan pengiklanan gelap ke alamat email tersebut, bisa mencapai 100 Euro per sekali spam, yang memakan waktu hanya 1-2 jam.

Selain dijual kepada spammer maupun berbagai klub aktivitas underground lainnya, seseorang juga bisa menjatuhkan nama baik anda apabila mereka mendapatkan account pribadi Anda seperti email, Friendster maupun Messenger. Mereka bisa berpura-pura menjadi diri Anda dan membuat Anda seolah-olah melakukan sesuatu yang tidak akan pernah Anda lakukan. Beberapa kasus pencorengan nama baik ini sering terjadi di http://www.friendster.com.

Hindari penggunaan default password(s)

Salah satu kelemahan password yang juga sering ditemukan pada kebanyakan orang, baik mereka yang masih awam terhadap industri teknologi informasi, maupun mereka yang dapat digolongkan sebagai ahli adalah penggunaan default password(s).

Ratusan atau bahkan ribuan produk serta layanan dalam dunia industri informasi dan teknologi dewasa ini datang dengan memiliki password default – yakni sebuah password yang diberikan dari pihak vendor (atau pabrikan pembuat produk) yang dimaksudkan untuk diubah oleh para pemilik atau pembeli produk itu nantinya.

Namun kebanyakan orang, kembali dengan menggunakan alasan klasik masing-masing seperti “Takut melupakan password”, “Lupa mengganti”, dan berbagai pengakuan lainnya, kerapkali tidak mengganti informasi tersebut. Tidak jarang sebagian dari mereka secara langsung maupun tidak langsung memberikan informasi mengenai default password itu secara public (vendor pun kadang melakukan ini). Tentunya hal semacam ini secara langsung maupun tak langsung merugikan para pelanggan mereka, namun tetap bukan suatu hal yang bisa disalahkan.

Pada bagian berikutnya, yang akan membahas lebih dalam mengenai default password(s) vulnerabilities, penulis akan menyediakan informasi dan berbagai cerita mengenai kelemahan yang berhubungan dengan kelemahan semacam ini.

Telkom dan Indosat (pemimpin di bidang Internet Support Provider di Indonesia) serta Tranax (salah satu vendor mesin ATM paling ternama di dunia) menjadi korban kelemahan yang kerap kali dianggap remeh dan dijadikan bahan tertawaan ini.

Lebih dari itu! Apabila kita membaca dan menyelami lebih dalam mengenai kelemahan yang ada dan pernah digunakan oleh orang tertentu untuk masuk ke dalam sistem organisasi raksasa dunia seperti NASA dan/atau FBI, lalu kemudian mencuri informasi dari pihak dalam mereka, kebanyakan adalah dikarenakan jenis kelemahan seperti ini – suatu hal yang cukup mengerikan, sekaligus memprihatinkan.

Penulis sendiri pernah mengalami hal tersebut beberapa tahun silam, pada saat pertama kali mengenal komputer dan internet, sehingga memutuskan untuk belajar lebih dan memahami lebih baik apa arti penting dari keamanan informasi itu sendiri. Oleh karena itu, kenapa tidak Anda sekalian mencoba mempelajari arti dari keamanan itu mulai dari sekarang? Tidak pernah ada kata terlambat! Ingat itu!

Iklan