Bulan lalu, saya menyebutkan bahwa saya telah terlibat dalam penyelidikan selama setahun mengenai penerapan dan manajemen keamanan usaha kecil. Dengan mewawancarai staf di usaha kecil dan menawarkan audit keamanan kata sandi gratis sebagai insentif, saya menyusun survei yang mencakup 504 individu di 114 bisnis. Survei ini tidak akan membuat Forrester atau Gartner tidak bisa tidur, namun tetap merupakan sampel valid dari sektor kecil UKM. Survei secara keseluruhan harus dirahasiakan; ini adalah fase penelitian dari proyek komersial yang saya lakukan untuk klien. Namun, saya bebas mendiskusikan hasil mengenai keamanan kata sandi, dan hasil tersebut mengungkapkan keadaan yang agak mengkhawatirkan.
Pertanyaan pertama saya adalah berapa banyak kata sandi terkait pekerjaan yang perlu diingat oleh orang yang diwawancarai secara rutin? Hanya 12 persen yang memiliki kurang dari enam, dengan 29 persen melaporkan antara enam dan 12, dan 53 persen berjuang dengan 13 hingga 25: hanya 6 persen yang memiliki lebih dari 25. Jumlah rata-rata kata sandi per orang adalah 16, dan 72 persen dari mereka mengaku lupa setidaknya satu kata sandi dalam minggu sebelumnya. Yang mengejutkan saya, dan saya tidak mudah salah paham setelah 15 tahun berkecimpung di pasar UKM, adalah fakta bahwa 48 persen staf admin TI yang disurvei juga lupa kata sandi terkait pekerjaan. Tentu saja, pada ukuran bisnis seperti ini (rata-rata kurang dari empat staf), kecil kemungkinannya untuk memiliki ‘admin TI’ untuk menjadi profesional yang berkualifikasi dan lebih mungkin menjadi orang di perusahaan yang berkepentingan komputer.
Jika semua orang ini lupa kata sandinya, apa strategi manajemen untuk mengingatnya? Anda bisa menebaknya, 64 persen pengguna akhir dan 73 persen admin TI menganggap menuliskan kata sandi mereka sebagai satu-satunya solusi. Namun, 22 persen pengguna akhir dan 78 persen admin TI yang menuliskan kata sandi menggunakan pengingat turunan, bukan seluruhnya. kata sandi, yang mengurangi risiko – namun hanya sedikit, karena biasanya mudah diketahui jika Anda mengetahui sesuatu tentang orang tersebut (dan sering kali bahkan jika kamu tidak).
Berjalan dalam posisi hacker
Untuk benar-benar memahami masalah keamanan kata sandi, Anda tidak perlu terlalu menghargai pola pikir orang yang ingin memecahkannya, melainkan alat dan metodologi yang mereka gunakan. Sulit untuk membaca pikiran setiap cracker, karena jenisnya terlalu banyak, namun alat yang digunakan tidak begitu banyak.
Hanya ada dua metode yang patut dipelajari, karena metode tersebut paling banyak digunakan: perangkat lunak dan rekayasa sosial. L0phtCrack mudah digunakan, dan masih cukup mudah ditemukan jika Anda menghuni dunia online komunitas hack-and-crack (daripada perusahaan komersial Symantec, yang membeli produk tersebut dan membatasi distribusinya di AS dan Kanada hanya). Meskipun ini adalah alat favorit para peretas, zaman terus berubah dan alat tersebut semakin matang. L0phtCrack mudah digunakan berkat GUI-nya, dan beberapa orang mungkin percaya bahwa kemampuannya memproses kamus 30.000 kata dalam satu detik (atau menambahkan a beberapa karakter untuk setiap kata kamus, dalam setiap kombinasi dalam waktu sekitar satu menit) menjadikannya mutakhir, tetapi tidak ada yang lebih jauh dari itu kebenaran. Alat seperti John the Ripper, yang mendukung kumpulan aturan yang ditentukan pengguna untuk mengendalikan transformasi kamus, membuat L0phtCrack terlihat kuno. John the Ripper lebih dari sekadar menambahkan atau mengawali karakter pada kata kamus, mampu membalikkan kata, memutar kata dengan menggeser karakter, mengganti huruf besar-kecil dan mengubah status (yaitu, mengganti huruf dengan karakter non-abjad pada tombol yang sama) dan banyak lagi lagi.
