Password cracking membutuhkan attacker yang dapat mengakses hashed password, ataupun dengan membaca database verifikasi password maupun dengan mencegah hashed password dikirim ke jaringan luar. Dapat juga dengan sebuah cara mencoba-coba memasukkan password sampai benar seperti yang dikenal dengan metode brute force attack.
mendapatkan password bisa dilakukan dengan “tanpa melakukan apa-apa”. Aksi Pasif (yang biasa disebut juga “do nothing”) dalam hal mendapatkan password, baik itu dengan cara memanfaatkan kemampuan (ataukah celah?) yang di berikan oleh aplikasi atau dukungan protokol yang di manfaatkan. Kita bisa mendapatkan password tanpa harus melakukan usaha yang sulit atau bahkan kegiatan ”cracking” ke mesin pengguna. Ada beberapa cara untuk mendapatkan password secara pasif.
a. Kemampuan aplikasi
Salah satu hal yang menyebabkan ini terjadi adalah di karenakan adanya beberapa layanan (fasilitas) yang di berikan oleh aplikasi web browser yang dapat menyimpan user name dan password pengguna yang biasanya di gunakan untuk mengakses halaman web dan khususnya melakukan keperluan login kesuatu halaman pribadi (misal : membuka e-mail).
b. Dukungan protokol
Hal ini merupakan salah satu kelemahan yang dilayani oleh ”clear text” protokol (dalam hal ini adalah protokol Ymsg). Kita disini...
Password cracking adalah istilah umum yang menggambarkan sekelompok teknik yang digunakan untuk memperoleh password pada sebuah sistem data. Password cracking khusus mengacu pada proses mendapatkan password dari data yang yang dilindungi dengan password; namun harus dicatat bahwa cara-cara menipu seseorang agar memberi password, seperti melalui phishing, tidak dianggap sebagai password cracking. Menebak password berdasarkan pengetahuan yang sudah ada sebelumnya dari pemilik sistem komputer dianggap cracking, karena password tidak dikenal sebelumnya.
Sebagian besar metode mendapatkan password, dilakukan dengan mengetik berulang kali untuk menebak atau mengeksploitasi kelemahan keamanan dalam sistem komputer. Ada beberapa metode yang berbeda menebak password seseorang. Satu diantaranya misalnya menggunakan data seputar pribadi dari orang yang sistem komputernya akan dicrack untuk memprediksi kemungkinan. Mengetahui nama-nama orang yang dicintai atau binatang peliharaan, tanggal lahir, nomor telepon, tempat tinggal, biasanya digunakan untuk menebak password.
Cara lain untuk menebak password berbasis cracking dikenal sebagai dictionary attack. Banyak orang menggunakan password yang dapat ditemukan di kamus atau kata-kata yang diikuti dengan satu nomor. Banyak program-program kategori cracking mencoba memasukkan kamus kata dan kombinasi nomor untuk crack password. Serangan ini umumnya tidak berguna terhadap password yang kompleks, tapi sangat efektif terhadap setiap kata sandi tunggal.
Serangan brute-force merupakan metode password cracking yang secara signifikan lebih kuat daripada serangan metode kamus. Sebuah program brute force attack akan mencoba setiap kombinasi karakter yang mungkin mencapai set pada password yang tepat. Ini sangat memakan waktu karena ada huruf yang mungkin tak terhitung jumlahnya, nomor yang banyak dan kombinasi simbol dari seorang individu yang bisa digunakan untuk password.
Metode cracking lain untuk password cracking bisa juga dengan menggunakan fungsi hash kriptografi sistem komputer. Sebuah fungsi hash kriptografi adalah suatu prosedur yang mengubah password ke bit string berukuran seragam. Jika hash dapat di-crack, dimungkinkan untuk reverse-engineer password. Kebanyakan fungsi hash sangat kompleks dan tidak dapat di-crack tanpa waktu dan usaha yang panjang.
Tetapi, ahli keamanan komputer yang terampil bisa memecahkan banyak jenis password. Tetapi sebagai pengguna komputer, ada beberapa langkah yang yang bisa dilakukan untuk menghindari upaya password cracking. Password yang kompleks selalu lebih baik dari yang sederhana. Password yang menggunakan huruf besar dan huruf kecil, angka, dan simbol lebih sulit untuk di-crack dari password yang hanya menggunakan satu atau dua kombinasi pilihan.
