08 Nov 2009
freelynx
6,234 views
Password yang kita gunakan untuk mengakses account kita dimana-mana ternyata dapat dikalkulasi ketangguhannya secara teoritis terhadap serangan brute force attack. Artinya jika seseorang melakukan serangan ini maka dapat kita hitung berapa lama orang tersebut akan berhasil mengetahui password kita. Istilah natural disini sebenarnya cuma sekedar menggambarkan bahwa faktor entropy kita kesampingkan dahulu.
“entropy apa sih?”
“nggg…. itu loh, yang itu.. ah, tar aja deh ya”
Lanjoooottt!
Data Informasi
Dalam melakukan kalkulasi ini, data-data yang kita perlukan adalah:
-
jumlah karakter yang digunakan sebagai password
contoh:
- abcde => 5 karakter
- 1234567 => 7 karakter
- hfy5 => 4 karakter
- dan seterusnya..
-
kombinasi tiap karakter (berapa banyak kombinasi yang dapat digunakan tiap karakter)
contoh:
- angka => 10 kombinasi
- alphabet => 26 kombinasi (hanya uppercase atau lowercase sahaja)
- angka + alphabet => 36 kombinasi
- ascii character => 127 kombinasi
- dlsb
-
spesifikasi komputer yang digunakan oleh si attacker untuk melakukan seangan bruteforce attack
Berhubung kita juga gak bisa tahu seberapa keren komputer yang digunakan oleh sang penyerang, jadi kita asumsikan saja yakz
. Salah salah satu website yang mengulas tentang security, Lockdown.co.uk, mengkategorikan komputer kedalam 6 kelas dalam kaitannya menebak password per detiknya:-
Class A
-
Class B
- Pentium 100
- 100.000 password/sec
- umumnya digunakan untuk mendapatkan password Windows Password Cache (.PWL)
-
Class C
- Pentium 100
- 1.000.000 password/sec
- umumnya digunakan untuk mendapatkan password ZIP atau ARJ (Archived by Robert Jung)
-
Class D
- Dual Processor
- 10.000.000 password/sec
-
Class E
- Workstation (dua atau lebih komputer bekerja secara simultan)
- 100.000.000 password/sec
-
Class F
- Supercomputer
- 1.000.000.000 password/sec
-
Algoritma
Sekarang mari kita menghitung! (punten maaf, ada matematikanya sedikit tapi sederhana banget kok)
Yang pertama-tama kita hitung adalah seberapa banyak kombinasi password yang memungkinkan dengan jumlah karakter password yang kita gunakan. Untuk mendapatkan nilai ini persamaan yang kita gunakan adalah persamaan permutasi, yaitu:
Kp = Cn
dimana,
- C adalah jumlah kombinasi per karakter,
- n adalah banyaknya karakter, dan
- Kp adalah banyaknya password yang dapat dibuat.
Contoh Kaskus (eh, kasus…)
Kasus 1
Sebuah password mengandung 8 karakter.
Jika dihitung dengan mengasumsikan 1 karakter dapat dibuat dengan menggunakan 10 kombinasi (angka) maka akan ada 10^8 = 100.000.000 kemungkinan password yang dapat dibuat. Dan dengan menggunakan klasifikasi komputer dari lockdown.co.uk, maka serangan dengan menggunakan komputer class A, password akan dapat ditebak maksimal 100.000.000/10.000 = 10.000 sec atau kurang dari 3 jam lamanya. untuk Class B password akan dapat tertebak dalam waktu 1000 sec atau kurang dari 17 menit. untuk Class C, password akan diperoleh dalam waktu kurang dari 2 menit. Class D dalam waktu 10 detik, Class E 1 detik, dan Class F dalam waktu 0.1 detik alias sekejap, BOOM!
Dengan perhitungan yang sama, jika dihitung dengan mengasumsikan C = 26 (alphabet) maka akan ada 26^8 = 208.827.064.576 kombinasi (~200 milyar kombinasi). Dari data ini maka untuk komputer yang dikategorikan sebagai Class A akan dapat memecahkan password dalam waktu lebih dari 7 bulan lamanya. Untuk Class B ~23 hari, Class C ~2 hari, Class D ~5 jam, Class E ~33 menit, dan Class F ~3 menit.
Dan seterusnya… dan seterusnya.
Kasus 2
PIN ATM kita yang menggunakan seluruhnya angka (C = 10) dengan jumlah karakter 4 (n = 4) atau 6 (n = 6), maka dengan menggunakan algoritma/cara yang sama serangan dengan serangan dengan menggunakan bruteforce attack dapat ditabulasikan sbb:
|
Password (C = 10) |
Class of Attack | |||||
|---|---|---|---|---|---|---|
| n | A | B | C | D | E | F |
| 4 | 1s | 0.1s | 0.01s | 0.001s | 0.0001s | 0.00001s |
| 6 | 2m | 10s | 1s | 0.1s | 0.01s | 0.001s |
Jadi kepikiran juga, kenapa PIN ATM cuma 4 ato 6 digit yak? mana semuanya angka pula
Kasus 3
Untuk kasus selanjutnya langsung aja ke websitenya LockDown yakz. Beliau ini memberikan tabulasi yang bagus sekali untuk beberapa kasus yang menggunakan jumlah karakter tertentu. Pokoknya Maknyuuzzzz!!
Simple Brute Force Calculator
Iseng-iseng dikit bikin brute force attack analyzer. Cara menggunakannya tinggal isi field C, n dan unit trus klik “calculate” deh. ujug-ujug nanti hasilnya keluar dalam bentuk tabel. 
| C |
number of combination of characters that can be used in each digit |
| n | number of password’s digit |
| unit in |
| Class of Attack | |||||
|---|---|---|---|---|---|
| A | B | C | D | E | F |
Referensi
- LockDown, 2009, Password Recovery Speeds, Retrieved on 8 November 2009, accessible at http://www.lockdown.co.uk/?pg=combi&s=articles
- MathIsFun, n.d., Combinations and Permutations, Retrieved on 8 November 2009, accessible at http://www.mathsisfun.com/combinatorics/combinations-permutations.html
