Bagaimana Hackers Godam Password Anda?

631

Dalam zaman Internet, hampir semua aktiviti dan perkhidmatan yang dilakukan memerlukan kata laluan. dari e-mel ke akaun bank sehinggalah kepada akaun pertukaran crypto. Dan terbaru ada ciri keselamatan seperti Pengesahan 2 Faktor (Two Factor Authenticaion – 2FA).

Walaubagaimanapunciri seperti 2FA ini jarang dihebahkan penggunaan, apatah lagi dikuatkuasakan, dan sejumlah besar laman web masih tidak menawarkan 2FA sama sekali. Oleh itu, kata laluan keselamatan adalah penting untuk melindungi identiti dan aset peribadi seseorang.

Secara semulajadi, setiap kata laluan mempunyai nilai tersendiri, dan nilai yang disimpan di sebalik kata laluan boleh menjadi satu motivasi kepada banyak serangan untuk dilakukan terhadap mereka.

Terdapat sejumlah besar kertas penyelidikan yang boleh anda baca tentang algoritma untuk memecahkan kata laluan yang kompleks, yang menggunakan kebarangkalian rumit dan dengan menggunakan teknik pembelajaran mesin (Machine Learning), dikatakan boleh memecahkan hampir 90% (atau lebih) kata laluan.

๐๐ž๐ซ๐ข๐ค๐ฎ๐ญ ๐ฌ๐š๐ฒ๐š ๐œ๐ž๐ซ๐ข๐ญ๐š๐ค๐š๐ง (๐ฌ๐ž๐œ๐š๐ซ๐š ๐ฎ๐ฆ๐ฎ๐ฆ) ๐ญ๐ž๐ง๐ญ๐š๐ง๐  ๐›๐š๐ ๐š๐ข๐ฆ๐š๐ง๐š ๐Š๐š๐ญ๐š ๐‹๐š๐ฅ๐ฎ๐š๐ง ๐๐ข๐ฌ๐ข๐ฆ๐ฉ๐š๐ง:

Saya ceritakan saat ketika pengguna masuk ke aplikasi yang dilindungi kata laluan, dan aturan kejadian yang berlaku adalah seperti berikut:

1. Pengguna memasukkan kata laluan (untuk dapatkan kelulusan) 
2. Kata laluan yang dimasukkan akan dibandingkan dengan kata laluan yang disimpan di dalam rekod (rekod ini merujuk kepada masa mula-mula anda mencipta akaun semasa proses pedaftaran)
3. Akses diberikan jika ianya sepadan dengan rekod yang ada.

Namun penghantaran dan penyimpanan kata laluan seperti ini tidaklah berapa selamat.

Untuk peningkatan keselamatan, banyak sistem (walaupun tidak semua) sebenarnya menyimpan ‘hash’ kata laluan pengguna dalam pangkalan data mereka, dan bukan kata laluan itu sendiri.ย 

Anda boleh memikirkan hash sebagai penggera kata laluan yang tidak dapat dipulihkan; jika penyerang mendapati hash kata laluan, mereka tidak boleh membalikkan proses untuk mengetahui kata laluan itu sendiri.

‘Hash’ kata laluan atau ‘password hash’ adalah merujuk kepada sejenis struktur huruf/aksara yang digabung-jalinkan apabila satu set kata laluan dimasukkan.

Dan ‘hash’ pula ada banyak jenis (protokol seperti md5, SHA 256, SHA 512, bcrypt, LM, NTLM dan banyak lagi).
Contoh ‘hash’

– Kata laluan yang dimasukkan: ‘password’ dan hash (DES Crypt) adalah: ‘rEK1ecacw.7.c’
– Kata laluan yang dimasukkan: ‘password’ dan hash (SHA-256) adalah: ‘$6$zWwwXKNj$gLAOoZCjcr8p/.VgV/FkGC3NX7BsXys3KHYePfuIGMNjY83dVxugPYlxVg/evpcVEJLT/rSwZcDMlVVf/bhf.1’
-Kata laluan yang dimasukkan: ‘password’ dan hash (SHA 512) adalah: ‘rEK1ecacw.7.c’

๐’๐š๐ฒ๐š ๐œ๐ž๐ซ๐ข๐ญ๐š๐ค๐š๐ง ๐ฌ๐š๐š๐ญ ๐ค๐ž๐ญ๐ข๐ค๐š ๐ฉ๐ž๐ง๐ ๐ ๐ฎ๐ง๐š ๐ฆ๐š๐ฌ๐ฎ๐ค ๐ค๐ž ๐š๐ฉ๐ฅ๐ข๐ค๐š๐ฌ๐ข ๐ฒ๐š๐ง๐  ๐๐ข๐ฅ๐ข๐ง๐๐ฎ๐ง๐ ๐ข ๐ค๐š๐ญ๐š ๐ฅ๐š๐ฅ๐ฎ๐š๐ง ๐ฒ๐š๐ง๐  ๐ฆ๐ž๐ง๐ ๐š๐ง๐๐ฎ๐ง๐ ๐ข ‘๐ก๐š๐ฌ๐ก’, ๐๐š๐ง ๐š๐ญ๐ฎ๐ซ๐š๐ง ๐ค๐ž๐ฃ๐š๐๐ข๐š๐ง ๐ฒ๐š๐ง๐  ๐›๐ž๐ซ๐ฅ๐š๐ค๐ฎ ๐š๐๐š๐ฅ๐š๐ก ๐ฌ๐ž๐ฉ๐ž๐ซ๐ญ๐ข ๐›๐ž๐ซ๐ข๐ค๐ฎ๐ญ:

1. Pengguna memasukkan kata laluan (untuk dapatkan kelulusan)ย 
2. ‘Hash’ kata laluan yang dimasukkan akan dikira dan ‘hash’ itu seterusnya dihantar ke dalam rekod.
3. ‘Hash’ itu akan dibandingkan dengan ‘hash’ disimpan di dalam rekod (rekod ini merujuk kepada masa mula-mula anda mencipta akaun semasa proses pedaftaran)
4. Akses diberikan jika ianya sepadan dengan rekod yang ada.

Nampak agak selamat?ย 

Tetapi bagi mereka yang mahir, mungkin ada sesetangah daripada anda yang berfikir bahawa ‘hash’ yang ada boleh di nyah-enkripsi (decrypt) untuk mendapatkan kata laluan tersebut.

Sebenarnya ada lagi kaedah untuk mengatasi ‘hash’ yang dilihat seakan boleh melindungi keselamatan anda.ย 

Ia dipanggil ‘Brute Forcing’ (saya tiada kata pengganti dalam bahsa melayu, tetapi nama yang sesuai mungkin kaedah cuba-jaya secara paksaan)

๐๐ž๐ซ๐ข๐ค๐ฎ๐ญ ๐š๐๐š๐ฅ๐š๐ก ๐ฌ๐ž๐๐ข๐ค๐ข๐ญ ๐ฉ๐ž๐ง๐ ๐ž๐ง๐š๐ฅ๐š๐ง ๐ญ๐ž๐ง๐ญ๐š๐ง๐  “๐๐ซ๐ฎ๐ญ๐ž-๐Ÿ๐จ๐ซ๐œ๐ข๐ง๐ ” ๐‡๐š๐ฌ๐ก:

Dalam sistem yang menggunakan hashing, jika penyerang berjaya mendapatkan akses terus pada pangkalan data kata laluan, mereka masih tidak dapat melihat kata laluan pengguna. Serangan terhadap sistem tersebut tidak dapat menterbalikkan ‘hash’ (atau decrypt ‘hash’) untuk mencari kata laluan yang sepadan, dan dengan demikian pergi seperti berikut:

1. Cuba teka kata laluan
2. Kirakan hash yang diteka
3. Bandingkan ini dengan hash sebenar
4. Ulangi langkah 1-3 sehingga padanan ditemui

Ini bunyi seperti perlu memakan masa yang cukup, namun dengan mesin khas yang boleh meneka ribuan kata laluan secara serentak, maka anda boleh membayangkan apabila perkara ini boleh berlaku dan dipercepatkan.

๐—ง๐—˜๐—ž๐—ก๐—œ๐—ž ๐—ฆ๐—˜๐—ฅ๐—”๐—ก๐—š๐—”๐—ก

๐Œ๐ž๐ง๐ ๐ ๐ฎ๐ง๐š๐ค๐š๐ง ๐๐ž๐ซ๐ข๐ฌ๐ข๐š๐ง (๐’๐จ๐Ÿ๐ญ๐ฐ๐š๐ซ๐ž)

Salah satu perisian yang digunakan dipanggil Hashcat, yang merupakan salah satu pemulihan kata laluan, lebih dikenali sebagai “cracker kata laluan terpantas di dunia”.ย 

Hashcat adalah sumber terbuka, boleh akses kepada laman web Hashcat dimana anda boleh muaturun sumber dan binari yang anda. Ada juga ruangan Wiki untuk sebarang rujukan dan panduan penggunaan.

๐Œ๐ž๐ง๐ ๐ ๐ฎ๐ง๐š๐ค๐š๐ง ๐๐ž๐ซ๐ค๐š๐ค๐š๐ฌ๐š๐ง (๐‡๐š๐ซ๐๐ฐ๐š๐ซ๐ž):

Selain perisian yang agakย hebat/kuat, para hackers ada padankan perisian tersebut pada pemasangan konfigurasi NVidia Tesla K80 – GPU.

Kenapa kena perlukan setup Hardware yang ada GPU yang berkuasa tinggi? (Ini bukannya setup untuk buat mesin mining cryptocurrency kan?)

Rahsianya terletak pada kuasa pengkomputeran.

Tesla K80 mempunyai kuasa output 16 kali lebihย hebatย daripada kad grafik standard Intel.

Tesla K80 boleh mengira 800 juta ‘hash’ SHA 256 per saat!
Itu hampir 3 trillion dalam masa sejam.

Rahsianya terletak pada kuasa pengkomputeran.

Tesla K80 mempunyai kuasa output 16 kali lebihย hebatย daripada kad grafik standard Intel.

Tesla K80 boleh mengira 800 juta ‘hash’ SHA 256 per saat!

Itu hampir 3 trillion dalam masa sejam.

๐Š๐š๐ญ๐š ๐ฅ๐š๐ฅ๐ฎ๐š๐ง:

Seperti yang dinyatakan di bahagian atas, kata laluan yang hackers gunakan adalah kata laluan yang telah dibocorkan oleh penggodam dalam talian. Saya rujuk kepada sumber yang ada dalam Dark web.

Terdapat lebih daripada 14 juta kata laluan bocor dalam serangan itu, yang semuanya dicipta oleh pengguna dunia sebenar.ย 

Maaf sumber kata laluan tak boleh dikongsi.

๐‹๐จ๐ ๐ข๐ค ๐ฌ๐ž๐ซ๐š๐ง๐ ๐š๐ง ๐ฒ๐š๐ง๐  ๐๐ข๐ ๐ฎ๐ง๐š๐ค๐š๐ง:

Hashcat membolehkan anda melakukan serangan yang mudah (di mana anda boleh mencuba kata laluan yang mungkin agak panjang). Hashcat juga berupaya menerima set arahan untuk jenis serangan yang lebih kompleks.ย 

Dab berikut adalah beberapa jenis / pattern kata laluan yang boleh kita gunakan:

Hanya satu perkataan (berpotensi dengan kapitalisasi yang berbeza) – Password

Satu perkataan yang diikuti oleh beberapa nombor / simbol – monkey! or Coffee12

Satu perkataan dengan ‘leet speak’ diterapkan – p4ssw0rd atau f4c3b00k
Kata-kata berbilang melekat bersama – isthissecure

Jika anda boleh mempunyai senarai kata laluan dalam fail, Hashcat mempunyai mod yang berbeza yang terbina di dalam, yang dapat meneka:

i. Setiap perkataan
ii. Setiap perkataan dengan setiap nombor / simbol yang mungkin ditambah
iii. Setiap perkataan dengan peraturan yang ditetapkan digunakan (iaitu menggantikan setiap o dengan 0)
iv. Setiap gabungan kata-kata tersekat bersama

Oleh itu, para hakcers akan memuat turun fail kamus yang mengandungi berjuta-juta kata Inggeris untuk digunakan dalam serangan.

Dari sana anda boleh mendapatkan set kata laluan lebih generik, menyatakan ‘mask’ yang harus dicuba oleh Hashcat.

Ini bermakna daripada memberitahu Hashcat untuk mencuba ‘semua kata laluan yang ada 8 aksara’ (โ€˜all passwords of length 8โ€™)- iaitu 7 quadrillion kombinasi yang berbeza – anda boleh mencuba setiap kata laluan yang ada ‘6 huruf kecil diikuti dengan 2 nombor’ (โ€˜6 lowercase letters followed by 2 numbersโ€™.)

๐‰๐š๐๐ข, ๐›๐š๐ ๐š๐ข๐ฆ๐š๐ง๐š ๐๐ž๐ง๐ ๐š๐ง ๐ก๐š๐ฌ๐ข๐ฅ ๐๐š๐ซ๐ข๐ฉ๐š๐๐š ๐ฌ๐ž๐ซ๐š๐ง๐ ๐š๐ง ๐ข๐ญ๐ฎ?

2 jam: 48% kata laluan telah dipecahkan
8 jam: hampir 70% telah dipecahkan
20 jam: lebih 80% telah dipecahkan

Anda sebagai pengguna peranti IT perlu membuat kata laluan dengan lebih selamat.ย 

Menggantikan ‘o’ dengan ‘0’ dan ‘e’ dengan ‘3’ tidak menjadikan kata laluan anda selamat.ย 

Menambah nombor dan simbol pada akhir perkataan tidak sama ada. Ia terlalu diramal.

Perisian seperti 1Password dan LastPass agak dan sangat membantu

Komen yang ditutup, tetapi jejak balik dan ping balik terbuka.