Seberapa Kuat Password Anda Melawan Natural Brut-Force Attack

Password yang kita gunakan untuk mengakses account kita dimana-mana ternyata dapat dikalkulasi ketangguhannya secara teoritis terhadap serangan brute force attack. Artinya jika seseorang melakukan serangan ini maka dapat kita hitung berapa lama orang tersebut akan berhasil mengetahui password kita. Istilah natural disini sebenarnya cuma sekedar menggambarkan bahwa faktor entropy kita kesampingkan dahulu.

“entropy apa sih?”

“nggg…. itu loh, yang itu.. ah, tar aja deh ya”

Lanjoooottt!

Data Informasi

Dalam melakukan kalkulasi ini, data-data yang kita perlukan adalah:

• jumlah karakter yang digunakan sebagai password
  contoh:
  • abcde => 5 karakter
  • 1234567 => 7 karakter
  • hfy5 => 4 karakter
  • dan seterusnya..
• kombinasi tiap karakter (berapa banyak kombinasi yang dapat digunakan tiap karakter)
  contoh:
  • angka => 10 kombinasi
  • alphabet => 26 kombinasi (hanya uppercase atau lowercase sahaja)
  • angka + alphabet => 36 kombinasi
  • ascii character => 127 kombinasi
  • dlsb
• spesifikasi komputer yang digunakan oleh si attacker untuk melakukan seangan bruteforce attack
  Berhubung kita juga gak bisa tahu seberapa keren komputer yang digunakan oleh sang penyerang, jadi kita asumsikan saja yakz . Salah salah satu website yang mengulas tentang security, Lockdown.co.uk, mengkategorikan komputer kedalam 6 kelas dalam kaitannya menebak password per detiknya:
  • Class A
    • Pentium 100
    • 10.000 password/sec
    • umumnya digunakan untuk mendapatkan password Microsoft Office
  • Class B
    • Pentium 100
    • 100.000 password/sec
    • umumnya digunakan untuk mendapatkan password Windows Password Cache (.PWL)
  • Class C
    • Pentium 100
    • 1.000.000 password/sec
    • umumnya digunakan untuk mendapatkan password ZIP atau ARJ (Archived by Robert Jung)
  • Class D
    • Dual Processor
    • 10.000.000 password/sec
  • Class E
    • Workstation (dua atau lebih komputer bekerja secara simultan)
    • 100.000.000 password/sec
  • Class F
    • Supercomputer
    • 1.000.000.000 password/sec

Algoritma

Sekarang mari kita menghitung! (punten maaf, ada matematikanya sedikit tapi sederhana banget kok)

Yang pertama-tama kita hitung adalah seberapa banyak kombinasi password yang memungkinkan dengan jumlah karakter password yang kita gunakan. Untuk mendapatkan nilai ini persamaan yang kita gunakan adalah persamaan permutasi, yaitu:

Kp = Cn

dimana,

• C adalah jumlah kombinasi per karakter,
• n adalah banyaknya karakter, dan
• K_p adalah banyaknya password yang dapat dibuat.

Contoh Kasus

Kasus 1

Sebuah password mengandung 8 karakter.

Jika dihitung dengan mengasumsikan 1 karakter dapat dibuat dengan menggunakan 10 kombinasi (angka) maka akan ada 10^8 = 100.000.000 kemungkinan password yang dapat dibuat. Dan dengan menggunakan klasifikasi komputer dari lockdown.co.uk, maka serangan dengan menggunakan komputer class A, password akan dapat ditebak maksimal 100.000.000/10.000 = 10.000 sec atau kurang dari 3 jam lamanya. untuk Class B password akan dapat tertebak dalam waktu 1000 sec atau kurang dari 17 menit. untuk Class C, password akan diperoleh dalam waktu kurang dari 2 menit. Class D dalam waktu 10 detik, Class E 1 detik, dan Class F dalam waktu 0.1 detik alias sekejap, BOOM!

Dengan perhitungan yang sama, jika dihitung dengan mengasumsikan C = 26 (alphabet) maka akan ada 26^8 = 208.827.064.576 kombinasi (~200 milyar kombinasi). Dari data ini maka untuk komputer yang dikategorikan sebagai Class A akan dapat memecahkan password dalam waktu lebih dari 7 bulan lamanya. Untuk Class B ~23 hari, Class C ~2 hari, Class D ~5 jam, Class E ~33 menit, dan Class F ~3 menit.

Dan seterusnya… dan seterusnya.

Kasus 2

PIN ATM kita yang menggunakan seluruhnya angka (C = 10) dengan jumlah karakter 4 (n = 4) atau 6 (n = 6), maka dengan menggunakan algoritma/cara yang sama serangan dengan serangan dengan menggunakan bruteforce attack dapat ditabulasikan sbb:

Password (C = 10)	Class of Attack
n	A	B	C	D	E	F
4	1s	0.1s	0.01s	0.001s	0.0001s	0.00001s
6	2m	10s	1s	0.1s	0.01s	0.001s

Jadi kepikiran juga, kenapa PIN ATM cuma 4 ato 6 digit yak? mana semuanya angka pula

Kasus 3

Untuk kasus selanjutnya langsung aja ke websitenya LockDown yakz. Beliau ini memberikan tabulasi yang bagus sekali untuk beberapa kasus yang menggunakan jumlah karakter tertentu. Pokoknya Maknyuuzzzz!!

Simple Brute Force Calculator

Iseng-iseng dikit bikin brute force attack analyzer. Cara menggunakannya tinggal isi field C, n dan unit trus klik “calculate” deh. ujug-ujug nanti hasilnya keluar dalam bentuk tabel.

C	Numbers (10 characters) Lower or upper case alphabet (26 characters) Symbols (34 characters) Numbers + Lower or upper case alphabet (36 characters) Mixed alphabet (52 characters) Numbers + Mixed alphabet (62 characters) Mixed alphabet & Symbols (86 characters) Number, Mixed alphabet & Symbols (86 characters) ASCII (127 characters) Others number of combination of characters that can be used in each digit
	Please specify:
n	number of password’s digit
unit in	second minute hour days weeks months years

Class of Attack
A	B	C	D	E	F

Referensi

• LockDown, 2009, Password Recovery Speeds, Retrieved on 8 November 2009, accessible at http://www.lockdown.co.uk/?pg=combi&s=articles
• MathIsFun, n.d., Combinations and Permutations, Retrieved on 8 November 2009, accessible at http://www.mathsisfun.com/combinatorics/combinations-permutations.html