Baru-baru saya membaca berita tentang Google sebagai md5 password cracker, pada mulanya saya hampir tak percaya, tetapi setelah mencobanya ternyata benar, search engine paling terkenal di jagat raya semesta ini bisa menemukan plain text dari hash md5.

Semuanya berawal dari situs divisi keamanan di Universitas Cambridge yang di hack oleh dedemit maya, kelemahan yang dieksploitasi adalah kelemahan autentikasi cookie pada WordPress. Ketika masalah intrusi tersebut telah diketahui, langkah berikutnya adalah forensik. Terdapat 1 akun yang dibajak dan memiliki hak akses tertinggi, yaitu akun admin dan tim forensik hendak membongkar passwordnya. Diperlukan waktu yang tidak sebentar untuk melakukan cracking (bahasa alusnya cryptanalysis), menggunakan skrip sendiri bisa memakan waktu dalam pembuatan algoritmanya.

Karena dirasa membuang waktu, salah seorang dari tim forensik tersebut menaruh kepercayaan terhadap Google. Dengan melakukan copas (copy-paste) hash yang ada, ternyata Google memberikan hasil yang mengejutkan, terdapat 2 buah situs yang mengarah pada plain text dari hash yang hendak di crack tersebut.

Hal ini menimbulkan pernyataan bahwa, kelemahan md5 ternyata terbukti berbahaya karena konsepnya yang satu arah. Konsep md5 memicu para analisis kriptografi untuk melakukan riset rainbowtables (pernah denger?). Dari sinilah muncul istilah, rainbowcrack (pernah denger juga?!).

So..saran utama, jangan biarkan password yang di-hash dengan md5 terlalu gampang, test membuktikan bahwa plain text ‘admin’ setelah di generate oleh md5 generator menjadi ’21232f297a57a5a743894a0e4a801fc3′ yang ketika di paste di Google menghasilkan:

Beberapa program sering melakukan hashing terhadap password yang tersimpan (cached), hati-hatilah dalam menggunakan password.

Related Post

• Cara ampuh crack WPA/WPA2
• Dangerous of Cracks or Keygen
• Reverse Engineering: Patch Program Sederhana
• Egg Hunter
• Review Buku: Harmless Hacking