08 Nov 2009 
freelynx 
378 views 
Password yang kita gunakan untuk mengakses account kita dimana-mana ternyata dapat dikalkulasi ketangguhannya secara teoritis terhadap serangan brute force attack. Artinya jika seseorang melakukan serangan ini maka dapat kita hitung berapa lama orang tersebut akan berhasil mengetahui password kita. Istilah natural disini sebenarnya cuma sekedar menggambarkan bahwa faktor entropy kita kesampingkan dahulu.
"entropy apa sih?"
"nggg.... itu loh, yang itu.. ah, tar aja deh ya"
Lanjoooottt!
Data Informasi
Dalam melakukan kalkulasi ini, data-data yang kita perlukan adalah:
jumlah karakter yang digunakan sebagai password
contoh:
- abcde => 5 karakter
- 1234567 => 7 karakter
- hfy5 => 4 karakter
- dan seterusnya..
kombinasi tiap karakter (berapa banyak kombinasi yang dapat digunakan tiap karakter)
contoh:
- angka => 10 kombinasi
- alphabet => 26 kombinasi (hanya uppercase atau lowercase sahaja)
- angka + alphabet => 36 kombinasi
- ascii character => 127 kombinasi
- dlsb
spesifikasi komputer yang digunakan oleh si attacker untuk melakukan seangan bruteforce attack
Berhubung kita juga gak bisa tahu seberapa keren komputer yang digunakan oleh sang penyerang, jadi kita asumsikan saja yakz :D. Salah salah satu website yang mengulas tentang security, Lockdown.co.uk, mengkategorikan komputer kedalam 6 kelas dalam kaitannya menebak password per detiknya:
Class A
- Pentium 100
- 10.000 password/sec
- umumnya digunakan untuk mendapatkan password Microsoft Office
Class B
- Pentium 100
- 100.000 password/sec
- umumnya digunakan untuk mendapatkan password Windows Password Cache (.PWL)
Class C
- Pentium 100
- 1.000.000 password/sec
- umumnya digunakan untuk mendapatkan password ZIP atau ARJ (Archived by Robert Jung)
Class D
- Dual Processor
- 10.000.000 password/sec
Class E
- Workstation (dua atau lebih komputer bekerja secara simultan)
- 100.000.000 password/sec
Class F
- Supercomputer
- 1.000.000.000 password/sec
Algoritma
Sekarang mari kita menghitung! (punten maaf, ada matematikanya sedikit tapi sederhana banget kok)
Yang pertama-tama kita hitung adalah seberapa banyak kombinasi password yang memungkinkan dengan jumlah karakter password yang kita gunakan. Untuk mendapatkan nilai ini persamaan yang kita gunakan adalah persamaan permutasi, yaitu:
Kp = Cn
dimana,
- C adalah jumlah kombinasi per karakter,
- n adalah banyaknya karakter, dan
- Kp adalah banyaknya password yang dapat dibuat.
Contoh Kaskus (eh, kasus...)
Kasus 1
Sebuah password mengandung 8 karakter.
Jika dihitung dengan mengasumsikan 1 karakter dapat dibuat dengan menggunakan 10 kombinasi (angka) maka akan ada 10^8 = 100.000.000 kemungkinan password yang dapat dibuat. Dan dengan menggunakan klasifikasi komputer dari lockdown.co.uk, maka serangan dengan menggunakan komputer class A, password akan dapat ditebak maksimal 100.000.000/10.000 = 10.000 sec atau kurang dari 3 jam lamanya. untuk Class B password akan dapat tertebak dalam waktu 1000 sec atau kurang dari 17 menit. untuk Class C, password akan diperoleh dalam waktu kurang dari 2 menit. Class D dalam waktu 10 detik, Class E 1 detik, dan Class F dalam waktu 0.1 detik alias sekejap, BOOM!
Dengan perhitungan yang sama, jika dihitung dengan mengasumsikan C = 26 (alphabet) maka akan ada 26^8 = 208.827.064.576 kombinasi (~200 milyar kombinasi). Dari data ini maka untuk komputer yang dikategorikan sebagai Class A akan dapat memecahkan password dalam waktu lebih dari 7 bulan lamanya. Untuk Class B ~23 hari, Class C ~2 hari, Class D ~5 jam, Class E ~33 menit, dan Class F ~3 menit.
Dan seterusnya... dan seterusnya.
Kasus 2
PIN ATM kita yang menggunakan seluruhnya angka (C = 10) dengan jumlah karakter 4 (n = 4) atau 6 (n = 6), maka dengan menggunakan algoritma/cara yang sama serangan dengan serangan dengan menggunakan bruteforce attack dapat ditabulasikan sbb:
Password (C = 10) | Class of Attack | |||||
|---|---|---|---|---|---|---|
| n | A | B | C | D | E | F |
| 4 | 1s | 0.1s | 0.01s | 0.001s | 0.0001s | 0.00001s |
| 6 | 2m | 10s | 1s | 0.1s | 0.01s | 0.001s |
Jadi kepikiran juga, kenapa PIN ATM cuma 4 ato 6 digit yak? mana semuanya angka pula :D
Kasus 3
Untuk kasus selanjutnya langsung aja ke websitenya LockDown yakz. Beliau ini memberikan tabulasi yang bagus sekali untuk beberapa kasus yang menggunakan jumlah karakter tertentu. Pokoknya Maknyuuzzzz!!
Simple Brute Force Calculator
Iseng-iseng dikit bikin brute force attack analyzer. Cara menggunakannya tinggal isi field C, n dan unit trus klik "calculate" deh. ujug-ujug nanti hasilnya keluar dalam bentuk tabel. :)
| C | number of combination of characters that can be used in each digit |
| n | number of password's digit |
| unit in |
| Class of Attack | |||||
|---|---|---|---|---|---|
| A | B | C | D | E | F |
Referensi
- LockDown, 2009, Password Recovery Speeds, Retrieved on 8 November 2009, accessible at http://www.lockdown.co.uk/?pg=combi&s=articles
- MathIsFun, n.d., Combinations and Permutations, Retrieved on 8 November 2009, accessible at http://www.mathsisfun.com/combinatorics/combinations-permutations.html
Woww….top abis artikelnya….
Berarti kalo password kita buat serumit mungkin akan memerlukan waktu yg lebih lama bagi si hacker walaupun make komputer yang canggih sekalipun yakk…. ( tapi kalo dibuat rumit kemungkinan lupa ma password sendiri juga gede… hehehe :D )
[Reply]
freelynx Reply:
11 Nov 2009 at 14:58
@trieand, haha, betul banget! jadi kayak serba salah ya?! :)
Waw !!!!!
harus sepanjang jalan kenangan nich kalo buat password ayem !
nice dan smart artikel !
thanks mas jago design ! hehehe :-)
[Reply]
freelynx Reply:
16 Nov 2009 at 16:35
@Khalid Abdullah, sebenernya strong password itu gak selalu panjang2 digitnya. selama kombinasi karakter yang digunakan cukup bervariasi juga udah cukup ayem kok. MeJiKuHiBiNiU juga udah oke tuh. Kalo gak salah itung, Si komputer F perlu waktu kira-kira 653472 tahun buat mecahinnya, hehehe… (berapa generasi ya? hmm… … … 653472 dibagi 60 …. jadi …. 10891.2 generasi!!! maaak!!)
btw, yang design bukan saya mas, tapi si yudiacro ini rajanya :)
Ohhh begitu ya mas….. oke oke…
eh mas….sebenarnya mas ini Yudiacro apa bukan sich….. lah yang punya acropolix dan codeindesign sapa sich sebenernya ???
jadi bingung ai em …..
[Reply]
freelynx Reply:
17 Nov 2009 at 13:12
@Khalid Abdullah, Sebenernya kita berdua, Yudiacro & Freelynx, udah sepakat untuk maintain web codeindesign [dot] com ini. tapi untuk designnya semua atas kerja keras Yudiacro. kalo acropolix itu emang punyanya Yudiacro.
semoga bingungnya gak lagi, hehe…
yudiacro Reply:
19 Nov 2009 at 15:53
@Khalid Abdullah, CID ini di miliki dan di maintain oleh 2 orang, Yudiacro dan Freelynx. Masing2 memiliki spesialisasi dan role sendiri2 :D
Pembahasan yang komplit banget…
I like it!
[Reply]
yudiacro Reply:
12 Peb 2010 at 20:24
@Agus Siswoyo, seneng kalau bisa berbagi Mas. Makasih sudah berkunjung!
sepertinya agak rumit ya untuk orang awam,, saya baru mendarat di CID nih,, jalan-jalan sebentar liat artikelnya, sepertinya (dan memang) sangat menarik . . . nuwun sewu ya!!
[Reply]
yudiacro Reply:
18 Peb 2010 at 13:31
@evan, nek sewu ora ono kembaliannya mas. Nuwun 10 ewu sudah mampir hehe.