Daftar Isi:
- The Situation
- Dr. Oechslin juga menyatakan bahwa metode ini berguna bagi hacker etis yang hanya memiliki waktu terbatas untuk melakukan pengujiannya. Sayangnya, hacker jahat memiliki manfaat yang sama dan dapat melakukan serangan mereka sebelum ada yang mendeteksi mereka!
Video: Privacy, Security, Society - Computer Science for Business Leaders 2016 2024
Dalam studi kasus ini, Dr. Philippe Oechslin, seorang konsultan keamanan informasi independen, berbagi temuan penelitian terkini mengenai bagaimana hacker dapat gunakan kerentanan kata sandi Windows Ini adalah informasi yang bagus untuk diperhitungkan agar tidak di-hack saat membuat kata sandi Anda sendiri.
The Situation
Pada tahun 2003, Dr. Oechslin menemukan metode baru untuk memecahkan password Windows - yang sekarang biasa disebut sebagai pelangi . Saat menguji alat cracking dengan brute force, Dr. Oechslin berpikir bahwa setiap orang yang menggunakan alat yang sama untuk menghasilkan hash yang sama berulang kali merupakan pemborosan waktu.
Selama penelitiannya, Dr. Oechslin menemukan sebuah teknik yang disebuttime-memory trade-offs, di mana hash dihitung sebelumnya, namun hanya sebagian kecil yang disimpan (sekitar satu dari seribu). Dr. Oechslin menemukan bahwa bagaimana hash LM diatur memungkinkan Anda menemukan kata kunci jika Anda meluangkan waktu untuk menghitung ulang beberapa hash. Teknik ini menghemat memori tapi membutuhkan banyak waktu. Penelitian ini didasarkan pada tidak adanya elemen acak saat password Windows di hash. Hal ini berlaku untuk hash LM dan hash NTLM yang ada di Windows. Kata sandi yang sama menghasilkan hash yang sama pada mesin Windows manapun. Meskipun diketahui bahwa hash Windows tidak memiliki elemen acak, tidak ada yang menggunakan teknik seperti yang Dr. Oechslin temukan untuk memecahkan kata kunci Windows.
Dr. Oechslin dan timnya awalnya menempatkan alat interaktif di situs web mereka yang memungkinkan pengunjung mengirimkan hash dan memilikinya telah retak. Selama periode enam hari, alat ini memecahkan 1, 845 password rata-rata 7,7 detik! Anda bisa mencoba demo untuk diri sendiri.
HasilJadi, apa masalahnya? Metode cracking password ini bisa memecahkan hampir semua kata sandi alfanumerik dalam beberapa detik, sedangkan alat kekerasan saat ini bisa memakan waktu beberapa jam. Dr. Oechslin dan tim risetnya telah menghasilkan sebuah meja yang bisa mereka gunakan untuk memecahkan kata sandi yang terbuat dari huruf, angka, dan 16 karakter lainnya dalam waktu kurang dari satu menit, menunjukkan bahwa kata sandi yang terdiri dari huruf dan angka tidak cukup baik.
Dr. Oechslin juga menyatakan bahwa metode ini berguna bagi hacker etis yang hanya memiliki waktu terbatas untuk melakukan pengujiannya. Sayangnya, hacker jahat memiliki manfaat yang sama dan dapat melakukan serangan mereka sebelum ada yang mendeteksi mereka!
Philippe Oechslin, PhD, CISSP, adalah seorang dosen dan asisten peneliti senior di Institut Teknologi Federal Swiss di Lausanne dan merupakan pendiri dan CEO Objectif Sécurité.
