Apakah cukup dengan password?

Apakah cukup dengan password?

Proteksi semua aplikasi, database, dan sistem menggunakan password adalah langkah pertama yang dilakukan untuk mencegah akses pihak yang tidak sah. Tetapi apakah hanya dengan menggunakan password itu cukup?

Password adalah perlindungan pertama  aplikasi, database, dan sistem. Jenis perlindungn ini sangat rentan terhadap serangan. Oleh karena itu dalam melakukan pengamanan diperlukan mekanisme lain agar pengamanan yang dilakukan tidak mudah diserang.

Password digunakan agar hanya pihak yang mengetahui password yang bisa masuk ke dalam sistem, bisa mengakses database, atau bisa menggunakan aplikasi. Sebagian besar password dipilih sendiri agar hanya pihak tersebut yang tahu. Dengan demikian, maka pemilik password adalah pihak yang otentik.

Ketika diberikan kebebasan untuk memilih password, pengguna akan memilih password yang mudah diingat. Sebagian besar orang memilih tanggal lahir, nama, dan kombinasi dari keduanya. Kebiasaan inilah yang membuat password mudah diserang. Pengguna yang malas akan memilih password yang sama atau variasi password lama untuk semua aplikasi yang membutuhkan pengamanan berupa password. Kedua hal ini akan menurunkam kompleksitas untuk melakukan serangan terhadap password sehingga pihak yang tidak sah mudah masuk ke dalam sistem.

Agar tidak mudah diserang, maka solusinya adalah menggunakan password yang kompleks dan berbeda untuk setiap aplikasi. Hal ini akan menimbukan masalah baru karena password yang kompleks akan menimbulkan masalah terutama bagi pengguna. Sangat susah bagi manusia mengingat password yang kompleks dan banyak.

Ada dua jenis pengguna berdasarkan keterkaitannya dengan password, yaitu yang menuliskan password dan yang tidak menuliskan password. Keduanya memiliki kerentanan masing-masing. Bagi pengguna yang menuliskan password, resiko lupa password semakin kecil tetapi resiko kebocoran password semakin besar. Penyerang akan mudah menemukannya karena penyimpanannya biasanya di tempat-tempat yang mudah diingat dan dilihat. Bagi pengguna yang tidak menuliskan password, resiko penyerang menemukan password semakin besar karena biasanya password yang digunakan mudah diingat dan berhubungan dengan identitas pemiliknya. Selain itu, resiko melupakan password menjadi besar karena keterbatasan memori manusia jika password yang digunakan kompleks.

Jika karyawan dalam suatu perusahaan termasuk jenis pengguna yang tidak menuliskan password, untuk menyerangnya hanya membutuhkan data tentang karyawan itu. Jika penyerang adalah karyawan juga dalam perusahaan itu, maka mudah untuk mendapatkan informasi terkait pemilik password. Jika karyawan termasuk pengguna yang menuliskan password, maka hal yang harus dilakukan yaitu mencari tempat penyembunyian password. Salah satu cara yang bisa digunakan adalah menanyakannya pada ceaning service, atau orang yang biasanya membereskan meja.

Beberapa desktop memperbolehkan Windows mengisi password secara otomatis ketika login. Jika password aplikasi disimpan dalam desktop dalam keadaan tidak aman, kemudian spy ware, worms, atau malicious code yang lain dapat dengan mudah mengambil informasi baik informasi detail pada saat login maupun tentang password.

Seiring perkembangan teknologi yang semakin canggih, sudah banyak tools yang diciptakan untuk memecahkan password seseorang. Tools ini semakin mempermudah penyerang melakukan serangan terhadap password. Contoh tools yang sudah ada antara lain John the Ripper, Brutus, dan Russian Password Crackers.

Panjang password yang terbatas juga menimbulkan kerawanan tersendiri terhadap penyerang. Serangan yang bisa dilakukan adalah dengan menggunakan dictionary attack yaitu serangan yang mencoba semua kemungkinan kata yang ada di dalam kamus untuk menyerang password.

Berdasarkan hal tersebut, dapat disimpulkan bahwa password bukanlah pengamanan yang cukup aman bagi aplikasi, database, maupun sistem yang kita gunakan. Butuh tambahan pengamanan lain yang akan membuat sistem, database, atau aplikasi kita aman misalnya menggunakan teknik kriptografi.

-6.412698 106.738129