yoldash.net

Rainbow table

Dikarenakan algoritma hashing diketahui oleh publik, sangat mungkin untuk membuat daftar besar hash kata sandi yang sudah dikomputasi sebelumnya untuk dibandingkan dengan hash yang dicuri.

Ketimbang membuat hash baru untuk setiap variasi, carilah hash yang dicuri pada sebuah tabel untuk melihat apakah hash tersebut cocok.

Ada banyak metode hash yang berbeda dan variasi kata sandi yang hampir tak terbatas, yang dapat membuat pengelolaan dan penyimpanan tabel seperti ini menjadi sangat sulit.

Lihat Juga : 10 Aplikasi AI Voice Generator, Cek Bahaya dan Manfaatnya

Ada teknik lain yang dikenal sebagai "password salting" yang juga dapat menyulitkan teknik ini. Jika server menambahkan nilai acak pada bagian depan dan akhir hash (nilai yang hanya diketahui oleh server), maka hash yang dihasilkan tidak akan cocok.

Dictionary attack

Untuk mempermudah brute force pada password, peretas bisa menggunakan kamus kata dan frasa umum serta nama perusahaan, tim olahraga, dan lain sebagainya. Hal ini mempersempit daftar pilihan kata sandi yang potensial.

Di masa lalu, pengguna disarankan untuk sering mengganti kata sandi mereka, misalnya, setiap 90 hari, dan menggunakan kata sandi yang rumit.

Namun, hal ini membuat pengguna memilih kata sandi seperti !yoda2023#, yang membuat pekerjaan peretas menjadi lebih mudah.

Pasalnya, setelah kata dasarnya, yoda, ditebak melalui dictionary attack, maka mencoba beberapa simbol dan angka yang berbeda dapat dengan cepat membobol password pengguna.

Credential stuffing

Pengguna biasanya menggunakan password yang sama di beberapa layanan. Jika satu kata password pada sebuah layanan bocor, maka penyerang dapat dengan cepat mencoba password yang sama atau variasi pada layanan lain yang mungkin dimiliki oleh pengguna.

Dikenal sebagai credential stuffing, penyerang akan mencoba password yang telah dibobol pada beberapa layanan lain. Hal ini dapat mengakibatkan semua layanan yang dimiliki pengguna menjadi terganggu.

Password hashing lemah

Tidak semua skema hashing password diciptakan sama dan dengan tingkat keamanan tinggi. Seiring dengan perkembangan teknologi, apa yang dulunya dianggap aman mungkin tidak lagi aman.

Lihat Juga : Bjorka Bocorkan 19,5 Juta Data BPJS Ketenagakerjaan, Pakar Sebut Valid

Hal ini berlaku untuk algoritma hash seperti MD5 atau SHA-1 yang bisa dibobol dengan cepat.

Sebuah sistem yang menyimpan hash password pengguna dengan salah satu dari algoritme ini dapat membuat seluruh basis datanya dibobol dengan cepat.

Sistem modern merekomendasikan algoritme yang lebih aman, seperti bcrypt, yang menggunakan hash password yang menggunakan metode 'salting.'

(lom/arh)

---