John hanya perlu waktu 2 detik untuk menjebol password 1234 atau 123456. Metode enkripsi model apapun tidak akan bisa melindungi password yang lemah seperti ini.
Pada umumnya password akan dienkripsi alias disandikan lebih dulu dengan beberapa metode. Tujuan enkripsi agar password tidak kasat mata alias telanjang. Metode enkripsi yang populer seperti: DES, MD5,Crypt(3) dan SHA
Semisal password saya :1234. Saat dienkripsi (misal pakai MD5) akan menjadi :81dc9bdb52d04dc20036dbd8313ed055. (Sebagai manusia, biasanya tidak akan tahu kalau 81dc9bdb…dst adalah hasil sandi dari password 1234).Data terakhir ini yang akan disimpan di sistem komputer / server.
Bagaimana cara melakukan enkripsi manual? Bagi pengguna linux, cukup ketik $ md5sum namafileisipassword
Atau dapat juga menggunakan generator MD 5 online.
Sekarang waktunya John turun tangan. Data waktu aksi “John the ripper” dapat dilihat di bawah. . (Laptop : Thinkpad x230 -Intel i5- SSD- 16GB RAM – OS: Slackware Linux). Enkripsi yang digunakan crypt(3). Ingat, John dapat mendeteksi otomatis model enkripsi yang digunakan.
Password : 1234
Waktu : 2 detik
bash-4.2$ john --user:crackme hashfile
Loaded 1 password hash (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
1234 (crackme)
1g 0:00:00:02 100% 2/3 0.3378g/s 321.2p/s 321.2c/s 321.2C/s 123456..pepper
Use the "--show" option to display all of the cracked passwords reliably
Session completed
Password : 123456
Waktu : 2 detik
bash-4.2$ john --user:crackme hashfile
Loaded 1 password hash (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
123456 (crackme)
1g 0:00:00:02 100% 2/3 0.3401g/s 323.4p/s 323.4c/s 323.4C/s 123456..pepper
Use the "--show" option to display all of the cracked passwords reliably
Session completed
Password : number1
Waktu : 9 detik
bash-4.2$ john --user:crackme hashfile
Loaded 1 password hash (crypt, generic crypt(3) [?/64])
Press 'q' or Ctrl-C to abort, almost any other key for status
number1 (crackme)
1g 0:00:00:09 100% 2/3 0.1084g/s 342.6p/s 342.6c/s 342.6C/s katrina..karla
Use the "--show" option to display all of the cracked passwords reliably
Session completed
Laptop saya masih aktif dengan grafik CPU yang meninggi akibat tingkah polah John. John sedang mencoba menjebol password lain. Tapi sampai kapan saya menunggu ? 🙂
Kalau ada waktu panjang deh (liburan sekolah) akan saya beri waktu 1 bulan bagi John untuk melakukan terornya. Rencana kedepan saya akan menggunakan server Xeon saya untuk melakukan tugasnya.
Semakin rumit password semakin lama waktu dekripsi. Tapi yang namanya mesin, selama listrik masih menyala tidak peduli berhari-hari bahkan berminggu-minggu proses tetap jalan terus. Jadi kebijakan terbaik berurusan dengan password, buat si John sampai kiamat tidak bisa tuntas melakukan aksinya 🙂
Catatan : Saya melakukan ujicoba dengan sistem saya sendiri. Jika ingin bereksperimen, lebih baik lakukan dengan sistem Anda sendiri. Atau mintalah ijin lebih dahulu jika ingin melakukan terhadap data/sistem orang lain.
Michael Daranto's Blog 