Jumat, 20 Juni 2008

Fakta dan Gosip seputar Dunia Password mempassword (bagian pertama)

Biarpun judulnya fakta dan gosip tetapi sebenarnya sih tidak ada fakta dalam tulisan saya ini. Kalau mau dibilang fakta ya itu fakta menurut saya saat ini detik ini - jadi sebenarnya tulisan ini lebih cocok disebut opini kali ya ? Rekan-rekan silakan menanggapi pendapat ini - kalau dianggap salah atau ada tambahan masukan silakan ditulis saja. Mumpung komentar di blog saya belum mbayar he he he.

Baiklah saya mulai saja opininya. Berikut ini sejumlah statement seputar password mempassword yang saya baca dari berbagai sumber dan dibawahnya adalah opini atau pendapat saya terhadap statement itu.

  1. PC Security harus direset passwordnya dalam Safe Mode.

Ini gosip, karena faktanya PC Security bisa direset passwordnya dalam Normal Windows. Membunuh file exe yang sedang berjalan memang akan membuat proteksi PC Security hilang tetapi tidak akan membuat kita masuk ke konfigurasinya. Program PC Security dan juga sejumlah program security lainnya bahkan bisa dibaca apa isi passwordnya dalam keadaan normal windows. Sehingga sebaiknya kita selalu memastikan untuk tidak membuat password yang sama untuk berbagai aplikasi, data dan layanan internet.


  1. Data kita akan aman bila tidak membuat Masterkey untuk program FolderLock, atau tidak membuat file Emergency Recovery untuk program FolderGuard.

Ini juga gosip. Faktanya adalah anda membuat Masterkey atau tidak, membuat Folderguard Emergency Recovery atau tidak - password FolderLock maupun Folderguard bisa direset/diby pass dengan cukup mudah. Bahkan password Folderlock bisa dibaca apa isi passwordnya dalam keadaan Normal Windows. Membuat masterkey memang bisa jadi tambahan sumber kelemahan tetapi jangan logikanya lalu dibalik - kalau tidak membuat Masterkey , maka kita akan aman.


  1. Kalau kita tidak memanfaatkan fasilitas lupa password, maka password kita akan aman.

Beberapa layanan/forum internet dan juga beberapa aplikasi memiliki semacam fasilitas bagi user yang lupa password. Apakah bila fasilitas ini tidak kita manfaatkan atau kita isi datanya secara ngawur maka password akan aman ? Jawabannya bisa ya bisa juga tidak. Kondisinya saya rasa agak mirip dengan kasus nomor dua. Memang benar bahwa fasilitas lupa password kadangkala bisa disalahgunakan untuk mencuri password entah dengan cara trial error penebakan password, atau mungkin dengan cara lain. Tetapi yang namanya 100% aman dalam dunia komputer saya rasa tidak ada. Jadi logika yang benar (benar menurut saya tentu saja ) adalah seperti ini : fasilitas lupa password bisa disalahgunakan untuk mencuri password tetapi tidak berarti bahwa kalau fasilitas ini tidak dimanfaatkan maka password kita 100% aman. Karena aman atau tidak tentu juga tergantung dari cara pengelolaan password tersebut.


  1. Kalau kita membuat password yang cukup panjang, yang rumit dan kompleks, penuh kombinasi dari berbagai karakter dan symbol maka password kita akan 100% aman.

Dengan penuh penyesalan, saya katakan pendapat ini juga 50% gosip. Faktanya : Membuat password yang panjang, kompleks , dan sebagainya memang akan membuat password tersebut lebih sulit dipecahkan dengan trial error (brute force attack/dictionary attack). Tetapi sayangnya tidak semua aplikasi/layanan internet harus dipecahkan passwordnya dengan bruteforce attack. Ada layanan internet yang memiliki manajemen pengelolaan password yang lemah, begitu juga ada aplikasi yang tidak melindungi password dengan cukup baik. Dalam kasus seperti ini, seringkali brute force tidak diperlukan.


Intinya adalah : Keamanan suatu password (password apapun) tergantung dari setidaknya dua hal yaitu dari pembuat atau orang yang mengisikan password serta dari penerima password tersebut. (Faktor lainnya juga ada misalnya saja apakah password itu juga aman dalam proses penyampaian dari si pembuat password sampai ke penerima password)


Kalau kita mengisikan password yang kompleks dan rumit serta cukup panjang, kita sudah memenuhi anggap saja 50% prasyarat perlindungan password. Tetapi kita harus ingat juga bahwa 50% sisanya adalah tergantung dari pihak lain yang menerima password kita. Secara umum, kita sebagai orang awam (kecuali anda seorang hacker dan juga punya cukup waktu untuk mengecek keamanan penerima password anda satu persatu) tentu tidak akan tahu apakah password yang anda berikan itu dilindungi dengan baik atau tidak. Untuk menjaga dari kemungkinan terburuk yaitu password anda diambil orang bukan karena kesalahan anda tetapi karena kelemahan penerima password maka salah satu cara pencegahannya adalah dengan membuat satu password untuk satu aplikasi atau satu layanan internet saja. Kita tidak akan bisa 100% mencegah agar password kita tidak dibaca oleh orang lain ( karena 50% keselamatan password memang ada ditangan pihak lain yaitu penerima password kita). Tetapi kita bisa mencegah agar setidaknya bila password kita terbaca oleh orang lain, hanya satu account saja atau hanya satu data saja yang kebobolan, sedangkan data lainnya lebih aman.


-------------------------------------------------------------------------------------

Agar postingan ini lebih enak dibaca di komputer maka saya bagi menjadi 2 posting.


Silakan tunggu sambungannya.

SALAM DAMAI

-------------------------------------------------------------------------------------


Lanjutan tulisan ini bisa anda baca di sini



0 komentar:







Posting Komentar

Terimakasih telah Berkunjung ....Ditunggu Komentarnya Lho....Silahken Silahken.... ^_^