Password

Password atau kata sandi adalah sebuah cara untuk memastikan bahwa orang yang akan masuk pada sebuah system adalah benar benar orang yang berhak. Sebuah sistem akan meminta tanda pengenal dari pengguna, apabila pengguna ingin masuk ke dalam system tersebut. Salah satu cara sebuah system mengenali pengguna adalah dengan menggunakan password dan user name.

Serangan dengan menggunakan password untuk masuk ke sebuah system secara illegal dapat di kategorikan menjadi tiga kelompok, yaitu:

1. Brute force atau coba coba Seorang hacker menggunakan program komputer atau script untuk mencoba login dengan kemungkinan kombinasi password, biasanya dimulai dengan password yang paling mudah ditebak. Selain itu seorang hacker juga berpikir: jika seorang memiliki daftar perusahaan, ia dapat dengan mudah menebak username dan ada kemungkinan salah satu pengguna system dari daftar tersebut masih menggunakan “password123” atau “p@$$w0rd”.

2. Dictionary Attack Seorang hacker menggunakan program atau skrip untuk mencoba untuk login dengan mencoba coba melalui kombinasi dari kata-kata umum. “Berbeda dengan serangan brute force, di mana sebagian besar password dicari secara sistematis, dictionary attack (serangan kamus) mencoba hanya dengan kemungkinan yang paling mungkin berhasil, biasanya berasal dari daftar kata misalnya kamus. Umumnya, serangan kamus berhasil karena banyak orang memiliki kecenderungan untuk memilih password yang pendek (7 karakter atau kurang), seperti kata-kata tunggal yang ditemukan dalam kamus atau kata sederhana, mudah diprediksi variasi pada kata-kata, seperti menambahkan digit.”

3. Key logger attack Seorang hacker menggunakan program untuk melacak semua keystrokes pengguna. Sebuah serangan logger kunci berbeda dari bruteforce atau serangan kamus dalam banyak cara. Program pencatatan kunci password (key logger) yang banyak digunakan adalah malware (atau virus full-blown). Malware ini harus terinstall pada perangkat pengguna (sering pengguna tertipu untuk men-download dengan mengklik link dalam email). Serangan logger kunci juga berbeda dengan brute force dan dictionary attack karena password yang kuat tidak memberikan banyak perlindungan terhadap peralatan atau system yang sudah terinfeksi key logger.

Oleh karena itu untuk menghindari pencurian password maka dikembangkanlah teknik multifaktor otentikasi (MFA) dan juga hal inilah yang merupakan salah satu alasan bahwa MFA menjadi yang harus dimiliki untuk semua bisnis dan organisasi. Dengan otentikasi multi-faktor (juga disebut otentikasi dua faktor, 2FA), pengguna diwajibkan untuk tidak hanya memberikan password untuk mendapatkan akses ke sistem, tetapi juga keamanan lain, seperti yang unik kode akses-waktu (token) yang dihasilkan dari perangkat atau aplikasi mobile di smartphone. Sebuah jaringan yang dilindungi oleh MFA hampir tak tertembus untuk serangan luar; bahkan jika hacker dapat mencapai password sistem, ia tidak akan mampu menembus faktor keamanan kedua ini.

Selain itu, semua system teknik untuk membuat password yang kuat adalah tidak ada gunanya bila orang yang memegang password tidak di training. Kita dapat belajar dan mengetahui beberapa jenis serangan yang menggunakan keahlian teknis untuk menyusup sistem komputer yang telah dilindungi oleh peralatan canggih. Untuk mempertahankan system network di perusahaan kita dengan peralatan canggih, memerlukan biaya yang tidak sedikit. Tetapi tetap saja, dengan menerapkan teknologi terbaru dan tercanggih bukan menjadi jaminan jaringan kita terbebas dari serangan atau penyusupan. Kita semua pernah mendengar peringatan tentang keamanan password, yaitu :

• Jangan pernah berbagi password Anda.
• Jangan pernah menggunakan password bawaan vendor (seperti Admin).
• Jangan pernah menggunakan password yang mudah ditebak (seperti p@$$w0rd 
• Gantilah password secara periodic.

Contoh serangan lain terhadap password adalah social engineering, yaitu jenis lain dari penyerang yang bisa menggunakan taktik untuk menggunakan kelemahan manusia. Mereka adalah ahli ahli sosial yang mengeksploitasi kelemahan psikologi manusia. Mereka menggunakan berbagai media, termasuk panggilan telepon dan media social. Penyerang langsung menanyakan user name dan password. Ada beberapa jenis serangan dengan menggunakan social engineering ini, yang paling adalah phishing, dalih, umpan, quid pro quo dan Tailgating.