Dalam filem, menggodam kelihatan sangat mudah dan dilakukan dengan sangat pantas. Namun, hakikatnya tidaklah sebegitu dan memerlukan kemahiran yang sangat tinggi.
Password atau kata laluan diibaratkan seperti sebiji epal di pokok yang terletak di sebuah taman fiksyen. Ia sempurna, cukup masak dan sedia untuk dipetik. Namun, anda perlu tahu cara yang betul untuk memetiknya.
BESARKAN TEKS A- A+
Laman web mempunyai banyak cara yang berbeza untuk menyimpan kata laluan termasuklah "hashing", "salting", "token" dan pengesahan dua faktor.
Namun, ia masih boleh digodam dan aktiviti penggodaman dilihatkan sangat menyeronokkan.
Bagi yang tak tahu, kata laluan anda tidak disimpan dalam bentuk perkataan tetapi sebagai satu set aksara yang di-encrypt dikenali sebagai "hash".
Ia kelihatan seperti ini: ef749ff9a048bad0dd80807fc49e1c0d.
(Algoritma Hashing)
Dan jika penggodam ingin mendapatkan akses ke akaun anda, mereka sebenarnya tidak memerlukan kata laluan anda tetapi hanya perlu mencari perkara yang membolehkan mereka decrypt hash tersebut.
Untuk berbuat demikian, komuniti penggodam mencipta 'jadual carian' dan 'jadual pelangi', fail data kata laluan biasa yang telah di-hashkan terlebih dahulu.
Sebagai contoh, ada di antara kita yang malas untuk mencipta password rumit dan hanya meletakkan "123".
Bagi password "123", ia kelihatan seperti ini dalam bentuk hash: 42f749ade7f9e195bf475f37a44cafcb.
Untuk password abcde12345 pula kelihatan seperti ini: df6f58808ebfd3e609c234cf2283a989.
Jika seorang penggodam melakukan perkara ini terlebih dahulu dan mempunyai berjuta-juta kata laluan, mereka hanya perlu membandingkan kata laluan dan mendapat akses ke akaun anda dengan mudah.
Dan perbandingan seperti ini dilakukan dengan begitu pantas.
Dalam satu ujian untuk Ars Technica, sebuah komputer boleh mencuba 350 bilion kombinasi dalam setiap saat. Ya, 350 bilion tekaan kata laluan dalam masa satu saat!
Sekarang anda mengetahui perkara ini, baru anda terfikir betapa "biasa" atau mudahnya kata laluan anda digodam kan?
Tetapi syarikat-syarikat mempunyai senjata hebat terhadap jadual pelangi yang dikenali sebagai "salt". Tapi, ia bukan garam yang anda gunakan dalam kari anda!
Ia pada asasnya mengambil kod secara rawak dan menukarkannya ke dalam kata laluan hash. Dan ini secara tak langsung "mengubah rasa" pada kata laluan anda.
Dan walaupun hash yang sudah "ditambah garam" ini dijumpai oleh penggodam, jadual pelangi adalah tidak berguna lagi kerana mereka tidak akan menemui padanannya.
Sebenarnya, komputer tidaklah sehebat mana dalam menyelesaikan masalah, jadi jika berlaku perubahan yang sedikit ini sahaja sudah cukup untuk membantutkan program penggodaman automatik.
Tanpa jadual-jadual ini, semua perkara akan mengambil masa yang lebih panjang. Para penggodam harus mencari bagaimana "garam" itu ditambah.
Adakah ia ditambah pada permulaan password, atau di abjad ke-15? Adakah ia berbeza-beza bagi setiap pengguna?
Mereka perlu mencari apa abjad "garam" tersebut dan satu pengekod meletakkan "$2a$" di permulaan setiap hash. Kata laluan yang diubah ini dikenali sebagai "salted password".
Tetapi biasanya, salted password sudah cukup untuk menghentikan kebanyakan penggodam kerana adalah lebih pantas bagi mereka untuk mengubah taktik dan menggunakan serangan kamus atau serangan kekerasan.
Serangan kamus adalah berdasarkan senarai perkataan, yang mana penggodam akan mengambil password yang biasa digunakan seperti "Password123" dan mencubanya.
Mereka cuba melakukan aktiviti "salting" dan "hashing" terhadap kata laluan tersebut dan membandingkannya dengan kata laluan dalam pangkalan data dalam sekelip mata.
Serangan kekerasan adalah lebih dahsyat, sebagai contoh menggunakan "aaaa" dan melakukan aktiviti salting dan hashing dalam pelbagai cara lalu membandingkannya dengan pangkalan data.
Ia kemudiannya menggunakan "aaab", dan kemudian "aaac" dan seterusnya. Ia akan terus cuba menghasilkan setiap kombinasi yang mungkin. Hal ini boleh mengambil masa yang tak dapat dibayangkan.
Dan disebabkan ini, kata laluan yang dijana secara rawak tidak membantu. Dalam satu kajian pada tahun 2014 untuk DARPA oleh syarikat keselamatan, separuh daripada kata laluan "rawak" kita menggunakan 5 corak yang sama untuk membina "rawak" tersebut.
Ini kerana tiada apa yang rawak apabila ia melibatkan kata laluan. Para penggodam mengetahui hal ini dan hanya perlu menyalin kaedah-kaedah ini lalu menambahkan dalam timbunan kata laluan yang telah diketahui.
Dan apabila ia melibatkan teks yang ringkas, komputer dapat mengendalikannya dengan tersangat pantas.
Seorang penggodam melakukan ujian untuk Ars Technica menggodam lebih 10,000 kata laluan dalam masa 16 minit dengan janya mencuba kombinasi secara rawak dalam spesifikasi kata laluan ( iaitu kurang daripada 8 aksara, huruf besar, huruf kecil dan sebagainya).
Para penggodam sentiasa berperang dengan masa bukan disebabkan mereka dikejar oleh pihak berkuasa seperti dalam filem tetapi sebaik sahaja syarikat-syarikat menyedari bahawa mereka digodam, mereka akan mengubah sistem keselamatan dan memberitahu orang awam supaya menukar kata laluan mereka.
Dan ini juga sebab mengapa penggodam hanya menyerang anda sebagai orang awam. Jika anda menggunakan rangkaian WiFi di tempat awam yang tidak mempunyai kata laluan, anda sebenarnya mengundang penggodam menggodam kata laluan anda.
Sesetengah penggodam akan menyediakan "WiFi percuma" untuk mendapatkan kata laluan atau alamat e-mel.
Dan yang lain menggunakan cara "spam".
Jika anda klik pada dokumen perkataan atau pautan dalam e-mel, ia boleh melaksanakan kod pada komputer anda, yang dikenali sebagai perisian hasad (malware) untuk menyalin semua yang anda taip termasuk kata laluan, nombor kad kredit dan sebagainya.
Semua maklumat ini kemudiannya dihantar secara terus kepada penggodam.
Dan ada juga yang menyamar sebagai sistem keselamatan Facebook atau wakil bank manakala ada yang akan membuat panggilan telefon kepada anda.
Jangan sesekali memberikan kata laluan anda kepada sesiapa.
Jika mereka wakil syarikat, mereka pasti sudah mempunyai kata laluan anda. Cara ini lebih mudah berbanding menggodam.
Gunakan kata laluan yang panjang dan rumit, serta jangan gunakannya lebih daripada sekali.
Ini kerana adalah lebih sukar untuk kamus dan serangan berasaskan perkataan untuk menyelesaikan dengan cepat.
Dalam menghasilkan kata laluan, penggunaan gabungan huruf dan nombor adalah kurang penting, sebaliknya cipta kata laluan yang panjang yang mudah diingati seperti lirik lagi: "Dan tak seharusnya aku bertemu dirimu di dunia ini".
Ini akan membuatkan program menggodam terpaksa mengambil masa yang lama untuk menyelesaikannya.
Rujukan:
2. Make Use Of
3. Seeker