{"id":1035,"date":"2021-07-11T11:58:12","date_gmt":"2021-07-11T11:58:12","guid":{"rendered":"http:\/\/student-activity.binus.ac.id\/csc\/?p=1035"},"modified":"2021-07-11T11:59:39","modified_gmt":"2021-07-11T11:59:39","slug":"john-the-ripper-si-pemecah-password","status":"publish","type":"post","link":"https:\/\/student-activity.binus.ac.id\/csc\/2021\/07\/john-the-ripper-si-pemecah-password\/","title":{"rendered":"John The Ripper Si Pemecah Password"},"content":{"rendered":"

Halo teman-teman! Sekarang kita mau membahas tentang sebuah <\/span>tools<\/em> <\/span>yang cukup berguna dalam hal <\/span>password cracking<\/span><\/em>, namanya adalah John The Ripper. John The Ripper atau yang biasa disingkat sebagai JTR merupakan sebuah <\/span>tools<\/em> <\/span>yang ditujukan untuk memecahkan <\/span>encryption<\/em> <\/span>atau <\/span>hashing<\/span><\/em>, menguji kekuatan sebuah <\/span>password<\/span><\/em>, melakukan <\/span>brute force<\/span><\/em> pada sebuah <\/span>password<\/span><\/em>, dan lain sebagainya. John The Ripper sendiri diciptakan pada tahun 1996 dan dibuat untuk OS Linux. Meskipun <\/span>tools<\/em> <\/span>ini dapat terbilang sebagai <\/span>tools<\/em> <\/span>yang cukup tua, namun kemampuannya dalam memecahkan <\/span>password<\/em> <\/span>tidak diragukan lagi. Bahkan <\/span>password-password<\/span><\/em> yang kita gunakan sekarang bisa saja dipecahkan oleh si JTR ini.<\/span><\/p>\n

Sebelum kita mengenal lebih dalam mengenai <\/span>tools<\/em> <\/span>ini, kita harus mengerti dulu metode-metode yang biasa digunakan<\/span> tools-tools<\/em><\/span> pass<\/span>word<\/span><\/em> cracker<\/em><\/span> dalam menemukan <\/span>password<\/em> <\/span>yang tepat. Terdapat 3 jenis metode untuk melakukan <\/span>pas<\/span>sword<\/span><\/em> cracking<\/em><\/span>,<\/em> yaitu:<\/span><\/p>\n

1. Dictionary Attack<\/b><\/em><\/p>\n

Serangan ini didasarkan pada sebuah <\/span>wordlist<\/em> <\/span>yang sudah disediakan sebelumnya. Bagi yang belum tahu, <\/span>wordlist<\/em> <\/span>adalah suatu teks dengan ukuran besar yang berisi kumpulan <\/span>password-password<\/span><\/em> yang sering digunakan secara umum (<\/em><\/span>default<\/span><\/em>).<\/em> <\/span>Password-password<\/span><\/em> ini nantinya akan dicoba satu per satu kepada target untuk mengetahui apakah ada <\/span>password<\/em> <\/span>yang benar. Serangan ini tidak selalu efektif digunakan karena tepat atau tidaknya <\/span>password<\/em> <\/span>yang dicoba tergantung dari <\/span>wordlist<\/em> <\/span>yang digunakan.<\/span><\/p>\n

2. Brute-Force Attack<\/em><\/b><\/p>\n

Konsep dari serangan ini adalah \u201cmencoba setiap karakter hingga menemukan kombinasi yang tepat\u201d. Apabila dilakukan secara benar, serangan ini bisa dibilang memiliki ketepatan 100%, namun akan membutuhkan waktu yang sangat lama untuk menemukan kombinasi <\/span>password<\/em> <\/span>yang tepat karena ditentukan oleh kompleksitas <\/span>password<\/em> <\/span>tersebut (seberapa panjang <\/span>password<\/span><\/em>,<\/em> karakter apa saja yang digunakan, dll). Itulah mengapa penting bagi kita untuk memiliki <\/span>password<\/em> <\/span>yang cukup panjang dan terdiri dari kombinasi huruf (<\/em><\/span>Uppercase<\/em> <\/span>dan <\/span>Lowercase<\/span><\/em>),<\/em> angka, dan simbol.<\/span><\/p>\n

3. Rainbow Table<\/b>\u00a0\u00a0<\/span><\/em><\/p>\n

Rainbow table<\/em> adalah list berukuran besar yang berisi kumpulan pasangan string dan hasil hash-nya. Jadi ketimbang meng-hash setiap string yang akan dicoba dan dicocokkan dengan hash target, dengan metode ini hanya perlu mencari apakah hash target ada dalam tabel tersebut atau tidak. Jika ada, maka tinggal dilihat string aslinya dan <\/span>password<\/em> <\/span>pun ditemukan.<\/span><\/p>\n

Nah, setelah mengetahui metode-metode yang dapat digunakan dalam <\/span>password cracking<\/span><\/em>, sekarang langsung saja masuk ke praktik dari JTR dengan memanfaatkan salah satu dari metode-metode serangan tersebut. Metode yang sekarang kita akan gunakan adalah <\/span>Dictionary Attack<\/span><\/em>.<\/span><\/p>\n

Skenarionya adalah sebagai berikut. Misalkan kita memiliki sebuah zip yang di dalamnya memiliki file-file penting, namun ketika ingin membukanya kita dimintai sebuah <\/span>password<\/span><\/em>.\u00a0<\/span><\/p>\n

\"\"<\/p>\n

Kita lupa bahwa ternyata kita pernah memasang <\/span>password<\/em> <\/span>pada zip tersebut sehingga sekarang kita tidak mungkin bisa membuka zip tersebut dikarenakan kita sudah lupa <\/span>password<\/em> <\/span>dari zip tersebut. Nah, disinilah tools JTR dapat menyelamatkan hidup kita. Berikut adalah langkah-langkah dalam memecahkan sebuah zip yang terenkripsi.<\/span><\/p>\n

1. Perhatikan dengan jelas <\/span>extension<\/em> <\/span>dari file tersebut. Karena perbedaan <\/span>extension<\/em> <\/span>akan mengakibatkan perbedaan pada langkah untuk melakukan <\/span>pa<\/span>ssword<\/span> cracking<\/span><\/em>. Apabila kita menggunakan OS Kali Linux, maka kita bisa menggunakan <\/span>command<\/em> <\/span>\u201cfile\u201d untuk mengetahui detail dari file tersebut.<\/span><\/p>\n

\"\"<\/p>\n

2. Sekarang kita mengetahui bahwa kita ingin memecahkan <\/span>password<\/em> <\/span>sebuah file dengan <\/span>extension<\/em> <\/span>\u201c.zip\u201d. Dengan begitu, kita dapat menggunakan sebuah <\/span>script<\/em> <\/span>yang dibuat untuk merubah format \u201c.zip\u201d menjadi format yang dapat dikenali oleh JTR. <\/span>Script<\/em> <\/span>tersebut adalah \u201czip2john\u201d, script<\/em> ini adalah <\/span>script<\/em> <\/span>bawaan pada OS Kali Linux sehingga kita tidak perlu men-download lagi <\/span>script<\/em> <\/span>tersebut dan dapat langsung menggunakannya.<\/span><\/p>\n

\"\"<\/p>\n

Berikut adalah penjelasan dari <\/span>command-command<\/span><\/em> di atas:<\/span><\/p>\n\n\n\n
locate <nama file><\/b> = Berfungsi untuk mencari lokasi dari sebuah file.<\/span><\/p>\n


\n<\/span>zip2john secret.zip > hash.txt<\/b> = <\/span>Berfungsi untuk merubah secret.zip ke dalam sebuah format yang dikenali oleh JTR dan kemudian hasilnya akan disimpan dalam sebuah file bernama hash.txt<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

3. Jika kita sudah mendapatkan file yang dikenali oleh JTR, maka kita dapat langsung melakukan serangan<\/span> Dictionary Attack <\/span><\/em>pada zip file tersebut. Namun, kita memerlukan satu hal lagi yaitu <\/span>wordlist<\/span><\/em>.<\/em> <\/span>Wordlist<\/em> <\/span>dibutuhkan sebagai daftar <\/span>password<\/em> <\/span>yang akan kita gunakan pada metode serangan <\/span>Dictionary Attack<\/span><\/em>. Pada kasus ini, kita akan mencoba menggunakan \u201crockyou.txt\u201d, sebuah wordlist<\/em> yang berisi kumpulan password-password yang umum digunakan. Apabila kita menggunakan OS Kali Linux, maka \u201crockyou.txt\u201d juga merupakan <\/span>script<\/em> <\/span>bawaan.<\/span><\/p>\n

\"\"<\/p>\n

*FYI: rockyou.txt berisi 14,341,564 password unik yang pernah digunakan di 32,603,388 akun.\u00a0<\/span><\/p>\n

Untuk kalian yang penasaran tentang isi dari \u201crockyou.txt\u201d, berikut adalah sedikit screenshot tentang isi dari \u201crockyou.txt\u201d.<\/span><\/p>\n

\"\"<\/p>\n

4. Karena kita sudah mengetahui <\/span>wordlist<\/em> <\/span>yang ingin kita gunakan, maka kita bisa langsung menggunakan JTR untuk melakukan serangan <\/span>Dictionary Attack<\/span><\/em>. Kita dapat langsung mengetikan \u201cjohn\u201d untuk menggunakan JTR kemudian dilanjutkan dengan nama file hasil dari \u201czip2john\u201d. Kemudian, karena kita menggunakan <\/span>Dictionary Attack<\/span><\/em> maka penggunaan <\/span>flag<\/em> <\/span>\u201c–wordlist\u201d dibutuhkan untuk menggunakan <\/span>wordlist<\/em> <\/span>yang sudah kita sediakan sebelumnya. Jika digabungkan, maka <\/span>command-nya <\/span>akan menjadi seperti ini.<\/span><\/p>\n

\"\"<\/p>\n

5. Apabila sudah dijalankan, maka kita bisa melihat <\/span>password<\/em> <\/span>yang sudah <\/span>di-crack <\/span><\/i>oleh JTR. Jika JTR menemukan <\/span>password<\/em> <\/span>yang dimaksud maka kita dapat melihatnya pada bagian yang kami berikan kotak merah atau menggunakan flag \u201c-show\u201d lalu dilanjutkan dengan file hasil dari \u201czip2john\u201d.<\/span><\/p>\n

\"\"<\/p>\n

\"\"<\/p>\n

Dengan begitu kita berhasil memecahkan <\/span>password<\/em> <\/span>dari zip tersebut dan ternyata <\/span>password-nya <\/span><\/i>adalah \u201cpassword123\u201d. Kita juga bisa menarik kesimpulan bahwa <\/span>password<\/em> <\/span>tersebut mudah ditemukan dikarenakan <\/span>password<\/em> <\/span>tersebut pendek dan tidak unik sehingga <\/span>password<\/em> <\/span>seperti itu dapat dengan mudah ditemukan pada <\/span>wordlist<\/em> <\/span>\u201crockyou.txt\u201d yang kita pakai tadi.\u00a0<\/span><\/p>\n

Dari skenario tersebut, kita mengetahui bahwa <\/span>password<\/em> <\/span>yang pendek dan tidak unik akan dengan mudah <\/span>di-crack <\/span><\/i>oleh orang lain. Maka dari itu kita perlu membuat <\/span>password<\/em> <\/span>yang kuat agar tidak mudah <\/span>dicrack <\/span><\/i>dan lebih aman. Berikut adalah beberapa tips dalam membuat <\/span>password<\/em> <\/span>yang aman.<\/span><\/p>\n