Terkadang, kita ingin
memproteksi file kita seperti ZIP, RAR atau Microsoft Office dengan password.
Di lain pihak, saat ini banyak beredar software yang 'katanya' mampu
membobol proteksi password pada file kita. Benarkah dengan memiliki software
pembobol tersebut, seseorang dapat membobol proteksi password kita dengan
mudah?
Jawabnya bisa 'ya',
bisa 'tidak'.
Berikut akan saya
bahas sedikit tentang proteksi password pada file, tetapi tidak terlalu teknis,
untuk dapat memahami sekilas bagaimana cara kerjanya.
Sebuah password dapat
disimpan dengan cara di-enkripsi atau di-hash.
Enkripsi atau hash adalah memproses sebuah atau beberapa kata
(selanjutnya kita sebut 'pesan') menjadi kumpulan karakter lain yang
seakan acak dan tidak ada artinya bagi kita.
Enkripsi
Jika sebuah 'pesan'
diproses dengan cara di-enkripsi, maka ada metode untuk
membalik (dekripsi) hasil enkripsi tersebut menjadi 'pesan'
awal seperti sebelum di-enkripsi. Pada proteksi yang menggunakan
enkripsi seperti ini, jika ada software yang mengetahui metode enkripsinya maka
password apapun yang kita gunakan dapat dibobol / dilihat hanya dalam hitungan
satu per sekian detik. Jika ini yang terjadi, tidak banyak yang
dapat kita lakukan.
Hash
Hash (atau One-way
Hash) adalah hampir sama seperti enkripsi, hanya saja tidak ada metode
apapun untuk mengembalikannya menjadi 'pesan'
awal seperti saat sebelum di-hash. Bagaikan'nasi sudah menjadi bubur',
tidak mungkin 'bubur dikembalikan menjadi nasi'.
Jika proteksi kita
menggunakan one-way hash seperti ini, maka software pembobol harus menggunakan
cara Brute Force.
Apakah Brute Force
itu? Terjemahan
kasarnya adalah "memaksa secara brutal/kasar". Tidak jauh dari
artinya, yang dilakukan oleh software pembobol adalah mencoba semua
kombinasi yang mungkin dari semua karakter yang ada, dicobakan
satu per satu sampai ditemukanpassword yang cocok untuk membuka file kita
yang terproteksi. Dapat dimisalkan kita mempunyai 1 milyar kunci (1
milyar kemungkinan) untuk membuka sebuah pintu, maka akan dicoba satu per satu
pada lubang kunci pintu tersebut sampai ditemukan yang cocok. Jika
beruntung, bisa langsung cocok bahkan pada kunci pertama. Jika
tidak beruntung, mungkin pada kunci yang terakhirdicobakan
baru ditemukan yang cocok.
Jadi, Brute Force
adalah membobol (menebak) password dengan cara mencoba semua kemungkinan
kombinasi kata/kalimat ('pesan') yang ada. Tetapi jika pembobol
mengetahui sedikit petunjuktentang password yang digunakan,
misalkan mengetahui berapa panjang passwordnya, atau
mengetahui huruf / karakter apa saja
yang digunakan, maka akan memperkecil jumlah kombinasi password
yang akan dicobakan, sehingga mempermudah software pembobol.
Software pembobol juga
mempunyai dictionary (kamus/kumpulan) kata-kata yang sangat
sering digunakan dalam password untuk dicobakan, karena banyak orang yang
menggunakan kata-kata yang umum digunakan sebagai passwordnya.
Itulah sebabnya kita
disarankan untuk memberikan password yang terdiri dari campuran berbagai macam
huruf, angka dan karakter khusus dan juga jangan menggunakan kata-kata yang
umum digunakan. Hal ini untuk mempersulit software pembobol.
Berikut adalah ilustrasi
kasar untuk melihat berapa maksimal waktu yang
diperlukan untukmenebak sebuah password dengan cara Brute Force.
Ilustrasi ini hanya berupa gambaran kasar saja, karena kecepatan bisa
berbeda, perkembangan komputer juga cepat, yang juga ditandingi dengan
pengembangan algoritma Hash yang lebih canggih.
Di asumsikan sebuah
komputer mampu melakukan 'percobaan pembobolan password' sebanyak 17 milyar
kombinasi per jam atau hampir 4.800.000 kombinasi per detik (luar biasa cepat),
maka diperlukan waktu:
- panjang password 8 karakter, huruf besar atau kecil semua: sekitar 6 jam
- panjang password 10 karakter, huruf besar atau kecil semua: sekitar 171 hari (hampir setengah tahun)
- panjang password 8 karakter, kombinasi huruf dan angka: sekitar 264 hari
- panjang password 10 karakter, kombinasi huruf dan angka: sekitar hampir 2.800 tahun
- panjang password 12 karakter, kombinasi huruf dan angka: sekitar hampir 10.718.803 (10 juta lebih) tahun
- panjang password 8 karakter, kombinasi huruf, angka dan karakter khusus: sekitar 20 tahun
- panjang password 10 karakter, kombinasi huruf, angka dan karakter khusus: sekitar178.947 tahun
- panjang password 12 karakter, kombinasi huruf, angka dan karakter khusus: sekitar 1.581.176.273 (satu setengah milyar lebih) tahun
Dapat kita simpulkan bahwa
dengan mengkombinasikan huruf besar, huruf kecil, angka dankarakter
khusus, jumlah karakter yang agak panjang dan merahasiakan password,
maka password kita nyaris tidak dapat dibobol.
Jika tidak percaya,
silakan mencoba sendiri. Protek sebuah file ZIP dengan password, cobalah
bobol dengan software pembobol password yang banyak beredar. Buktikan
sendiri !
~ written by fajar ~