Menguji kekuatan password login anda (MD5 crack)


MD5 sebagai algoritma enkripsi (penyamaran/acak) password diisukan telah mudah dijebol oleh para hacker melalui metode “decrypt MD5”. Benarkah ??
Jika betul, maka pengguna CMS gratis seperti Joomla, WordPress, Mambo maupun sejenisnya telah wajib “khawatir / waspada penuh”. Berikut ini coba saya ungkap hal sebenarnya dibalik isu tersebut🙂

Awalnya saat isu MD5 berhasil dipecahkan cara reverse / decrypt-nya muncul, membuat saya khawatir, karena beberapa website yang saya kelola sebagian besar menggunakan cara / algoritma MD5 untuk mengenkripsi / acak Password user login-nya.

Namun, setelah selama beberapa hari saya melakukan riset secara mendalam melalui internet, juga meneliti beberapa teknik hacking (penyusupan) yang biasa dilakukan oleh para hacker kesimpulannya adalah :

Isu algoritma MD5 telah bisa direverse / decrypt, tidak benar !!

Yang benar terjadi adalah kita bisa menemukan dengan mudah kumpulan hash (rangkaian text) MD5 yang telah diketahui kata aslinya (bahasa yang dikenal manusia), yang jumlahnya cukup mencengangkan, lebih dari 8.5juta lebih !!!

Wow !!

Ini jadi mirip seperti database kata dalam kamus (Indonesia – Inggris, Inggris – Indonesia), yang jumlahnya bahkan bisa sampai puluhan juta kata🙂

Database hash MD5 itu itu cukup mudah digunakan, kita tinggal memasukkan data hash (rangkaian text) lalu oleh sistemnya akan dicari ke dalam databasenya apakah sudah ada atau belum, kalau sudah ada langsung ditampilkan hasilnya dalam bentuk bahasa / kata yang dikenal manusia.

Singkatnya, tinggal mencari / mencocokan data hash (MD5) dengan data yang telah ada di dalam database MD5 tersebut.

    Jadi bukan benar2x menggunakan teknik reverse / decrypt MD5🙂

Lalu, anda mungkin bertanya darimana asal kumpulan data hash MD5 menjadi database yang sedemikian besar / banyak, bisa mencapai 8.5 juta lebih ??

Banyak kontributor / orang yang terlibat di dalamnya, kebanyakan berasal dari para hacker (komunitas), bisa juga secara individu (hacker itu sendiri), bahkan administrator system / server yang merasa sakit hati karena dipecat dari perusahaan tempat dia bekerja, bisa jadi kontributor database ini🙂

Kumpulan database hash MD5 ini menjadi bermanfaat buat kalangan hacker dalam melancarkan operasi penyusupan mereka terhadap sebuah website bahkan sistem servernya sendiri.

Dengan telah sedemikian banyaknya data hash MD5 yang tersebar di internet dalam bentuk database, kita sebagai pengelola / administrator website patut waspada terhadap password login kita.

Berikut ini terdapat 2 link website yang berguna untuk mencek “kekuatan” password yang kita gunakan di website yang kita kelola.

http://md5crack.com/crackmd5.php

tampilan website md5Crack.com


ket : berguna untuk mendapatkan data hash (MD5) dari kata / password yang kita input

dan

http://www.md5decrypter.co.uk/

tampilan website MD5Decrypter.co.uk


ket : berguna untuk mencek data hash (MD5) password kita, apakah telah ada dalam databasenya atau tidak (telah tersedia database sampai 8.5 juta lebih hash MD5).

Berikut ini cara pengujian kekuatan password milik kita :

1. Gunakan web browser buka link : http://md5crack.com/crackmd5.php

2. Pilih atau masukkan password yang kita gunakan di website yang kita kelola, contoh kali ini saya pakai kata : admin

3. Klik tombol “Generate MD5 hash”, seperti gambar berikut

input password

4. Hasilnya akan muncul seperti gambar berikut :

hasil generate hash md5


Ket : kata “admin” dalam MD5 itu punya kode hash “21232f297a57a5a743894a0e4a801fc3

5. Lalu kita coba masukkan kode hash tersebut, seperti gambar berikut

input hash md5

6. Klik tombol “Crack that hash baby!”

7. Hasilnya seperti gambar berikut :

hasil crack hash md5

Ternyata tidak berhasil dipecahkan kode hash MD5-nya !!!
Senang ?? jangan dulu ..🙂

8. Buka jendela baru (new tab) di web browser kita, lalu buka link ini : http://www.md5decrypter.co.uk

9. Masukkan kode hash tadi : 21232f297a57a5a743894a0e4a801fc3
ke dalam kolom “MD5 hashes”

10. Lalu klik tombol “Decrypt Hashes”, seperti gambar berikut

put hash MD5

11. Hasilnya, seperti gambar berikut :

result hash MD5 search

Wow !! bisa ditemukan datanya, ternyata hasilnya kata : admin
seperti yang pertama kita input di web yang satu sebelumnya.

Ini artinya kode hash-nya memang telah terdaftar / ada dalam database website “www.md5decrypter.co.uk” ini. Berikut ini data password yang biasanya digunakan oleh Administrator, yang ternyata juga telah terdaftar dalam database MD5 :

Password (kata asli) Kode hash MD5 Terdaftar di Database
(www.md5decrypter.co.uk)
admin 21232f297a57a5a743894a0e4a801fc3 Ya
adm1n d9da8170e8bc9f27b2d32a6c9a6c697d Ya
4dm1n 704b037a97fa9b25522b7c014c300f8a Ya
admin123 0192023a7bbd73250516f069df18b500 Ya
admin_123 d6bf4bb9a66419380a7e8b034270d381 Ya
P@ssw0rd 161ebd7d45089b3446ee4e0d86dbcf92 Ya
p455w0rd a4fd8e6fa9fbf9a6f2c99e7b70aa9ef2 Ya

Nah, sekarang giliran anda mencoba password anda, persis seperti langkah-langkah di atas.

Jika hasil akhir dari website “www.md5decrypter.co.uk” tidak ditemukan kata aslinya (password anda), maka anda boleh sedikit tenang dengan password tersebut🙂

Tetapi jika datanya telah ada, silahkan segera anda ganti password login anda. Karena ternyata sudah “terdaftar” datanya ke dalam database hash MD5 ini🙂

Tips dari saya, gunakan password yang tidak mudah ditebak katanya, kombinasikan dengan huruf (alphabet) dengan angka (numerik), beberapa percobaan yang saya lakukan, bahasa “alay” yang sedang trend khususnya mengganti huruf i dengan angka 1, huruf o dengan angka 0, mengganti huruf a dengan angka 4, huruf e dengan angka 3, ternyata cukup ampuh dan tidak mudah ditebak oleh hacker, bahkan beberapa di antaranya tidak ada dalam database hash MD5 yang tersedia di internet (silahkan anda cek).

Terakhir, agar lebih ampuh, silahkan anda download tabel “user” dari database website anda (bisa pakai fitur PHPMYADMIN), lalu uji seluruh data usernya, terutama data hash MD5 di kolom passwordnya, dengan cara seperti langkah-langkah yang saya jelaskan di atas.

Sebagai penutup, jangan lupa untuk selalu mengganti password login anda secara periodik 2 minggu atau 1 bulan sekali, juga sesekali cek password terakhir anda pakai cara di atas. Yang paling penting, jangan mudah memberikan password anda kepada orang lain, kalaupun terpaksa, setelah itu segera diganti passwordnya.

Semoga Bermanfaat
XNY

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s