Kenapa Akun atau username dan password di Internet Bisa dihack??

ikb – Sebuah pertanyaan terlontar dari seorang teman, “Kenapa status orang tentang e-mail-nya di-hack?”

Saya nggak akan menjawab pertanyaan ‘kenapa’. Tapi lebih ke pertanyaan ‘kenapa bisa’??

Mungkin udah ada artikel tentang hal ini di tempat lain. Tapi saya akan menulis versi saya sendiri berdasar pengetahuan yang saya miliki.

Sebelumnya akan saya tekankan satu hal: Internet adalah tempat yang tidak aman. Ada bisa melalui banyak titik dan banyak cara untuk memperoleh data yang tidak publik. Walaupun tidak mudah dan perlu banyak pengetahuan.

Salah satu alasan kenapa akun bisa di-hack adalah penggunaan password yang umum. Beberapa contoh password yang umum: 123456, qwerty, abc123, iloveyou.

Nama merek yang biasa ditemui di sekitar kita juga sering dipakai sebagai password. Contohnya misal: samsung, logitech, creative, toyota, coca-cola atau bahkan nama orangtua, tempat kelahiran anda, tanggal lahir anda, negara anda…mungkin saja?

Ada tabel untuk password-password yang sering dipakai (kemungkinan untuk English-speaking areas, tapi bisa dikira-kira kata-kata untuk yang berbahasa Indonesia).

Jika saya berniat me-hack akun orang, password-password umum di ataslah yang akan saya coba di awal-awal(!)

Salah satu bentuk pemilihan password yang lemah adalah sekedar menambahkan angka ke username-nya. Contoh username saya adalah user, maka user1, user123, user456, user890, user666, user777, user999 atau user(DD/MM/YY) adalah kemungkinan yang bisa dicoba (I use none of them, no need to try),

Social engineering adalah salah satu cara hacking yang bisa menjadi relatif sangat murah dan cepat. Contoh: lebih murah dan cepat mentraktir orang untuk digali informasinya daripada membuat sebuat sistem untuk me-hack akun orang secara brutal (brute force attack).

Inilah ke-500 daftar yang “umum” bahkan “sering” digunakan oleh user sebagai password untuk account-account mereka..

NO Top 1-100 Top 101–200 Top 201–300 Top 301–400 Top 401–500
1 123456 porsche firebird prince rosebud
2 password guitar butter beach jaguar
3 12345678 chelsea united amateur great
4 1234 black turtle 7777777 cool
5 pussy diamond steelers muffin cooper
6 12345 nascar tiffany redsox 1313
7 dragon jackson zxcvbn star scorpio
8 qwerty cameron tomcat testing mountain
9 696969 654321 golf shannon madison
10 mustang computer bond007 murphy 987654
11 letmein amanda bear frank brazil
12 baseball wizard tiger hannah lauren
13 master xxxxxxxx doctor dave japan
14 michael money gateway eagle1 naked
15 football phoenix gators 11111 squirt
16 shadow mickey angel mother stars
17 monkey bailey junior nathan apple
18 abc123 knight thx1138 raiders alexis
19 pass iceman porno steve aaaa
20 fuckme tigers badboy forever bonnie
21 6969 purple debbie angela peaches
22 jordan andrea spider viper jasmine
23 harley horny melissa ou812 kevin
24 ranger dakota booger jake matt
25 iwantu aaaaaa 1212 lovers qwertyui
26 jennifer player flyers suckit danielle
27 hunter sunshine fish gregory beaver
28 fuck morgan porn buddy 4321
29 2000 starwars matrix whatever 4128
30 test boomer teens young runner
31 batman cowboys scooby nicholas swimming
32 trustno1 edward jason lucky dolphin
33 thomas charles walter helpme gordon
34 tigger girls cumshot jackie casper
35 robert booboo boston monica stupid
36 access coffee braves midnight shit
37 love xxxxxx yankee college saturn
38 buster bulldog lover baby gemini
39 1234567 ncc1701 barney cunt apples
40 soccer rabbit victor brian august
41 hockey peanut tucker mark 3333
42 killer john princess startrek canada
43 george johnny mercedes sierra blazer
44 sexy gandalf 5150 leather cumming
45 andrew spanky doggie 232323 hunting
46 charlie winter zzzzzz 4444 kitty
47 superman brandy gunner beavis rainbow
48 asshole compaq horney bigcock 112233
49 fuckyou carlos bubba happy arthur
50 dallas tennis 2112 sophie cream
51 jessica james fred ladies calvin
52 panties mike johnson naughty shaved
53 pepper brandon xxxxx giants surfer
54 1111 fender tits booty samson
55 austin anthony member blonde kelly
56 william blowme boobs fucked paul
57 daniel ferrari donald golden mine
58 golfer cookie bigdaddy 0 king
59 summer chicken bronco fire racing
60 heather maverick penis sandra 5555
61 hammer chicago voyager pookie eagle
62 yankees joseph rangers packers hentai
63 joshua diablo birdie einstein newyork
64 maggie sexsex trouble dolphins little
65 biteme hardcore white 0 redwings
66 enter 666666 topgun chevy smith
67 ashley willie bigtits winston sticky
68 thunder welcome bitches warrior cocacola
69 cowboy chris green sammy animal
70 silver panther super slut broncos
71 richard yamaha qazwsx 8675309 private
72 fucker justin magic zxcvbnm skippy
73 orange banana lakers nipples marvin
74 merlin driver rachel power blondes
75 michelle marine slayer victoria enjoy
76 corvette angels scott asdfgh girl
77 bigdog fishing 2222 vagina apollo
78 cheese david asdf toyota parker
79 matthew maddog video travis qwert
80 121212 hooters london hotdog time
81 patrick wilson 7777 paris sydney
82 martin butthead marlboro rock women
83 freedom dennis srinivas xxxx voodoo
84 ginger fucking internet extreme magnum
85 blowjob captain action redskins juice
86 nicole bigdick carter erotic abgrtyu
87 sparky chester jasper dirty 777777
88 yellow smokey monster ford dreams
89 camaro xavier teresa freddy maxwell
90 secret steven jeremy arsenal music
91 dick viking 11111111 access14 rush2112
92 falcon snoopy bill wolf russia
93 taylor blue crystal nipple scorpion
94 111111 eagles peter iloveyou rebecca
95 131313 winner pussies alex tester
96 123123 samantha cock florida mistress
97 bitch house beer eric phantom
98 hello miller rocket legend billy
99 scooter flower theman movie 6666
100 please jack oliver success albert

Source: Perfect Passwords, Mark Burnett 2005

Pengetahuan seputar pribadi target (yang didapat dengan bersosial dengan target atau kenalannya), kemungkinan bisa dipakai untuk melakukan hacking akun sang target.

Dengan melihat hobi atau kegemaran dari target, bisa dicari clue untuk password yang digunakan oleh target. Semisal target suka dengan merek mobil Ferrari (atau team F1-nya), ada kemungkinan password yang digunakan berhubungan dengan kesukaan tersebut (misal: ferrari, ferrari1, ferrar1, ferr4r1, ferrari#1, ferrarif1).

Di beberapa penyedia jasa di internet, ketika kita membuat akun akan diminta untuk memilih sebuah pertanyaan dan secara bebas menentukan jawabannya. Salah satu contohnya adalah akun Google:

Pertanyaan tersebut disebut dengan security question. Yang menurut saya adalah ironis. Ironis karena pertanyaan tersebut justru memberi kemungkinan tambahan lubang keamanan. Masalahnya adalah bahwa sebagian orang akan memilih pertanyaan yang ada (malas untuk memikirkan pertanyaan baru) dan menjawab sesuai fakta(!)Mari kita lihat salah satu pertanyaan di atas: What was your first phone number. Berapa nomer telpon pertama kamu. Bukan sebuah pertanyaan yang sulit untuk dicari jawabannya: nomer itu kemungkinan masih dipakai atau masih ada temen atau kenalan yang masih menyimpan atau bahkan bisa ditanyakan langsung ke target (target kemungkinan nggak curiga nomer itu bakal dipakai buat nge-hack).

Sama seperti untuk pertanyaan What was your first teacher’s name: cari tau target pernah sekolah di mana aja, cari tau nama guru-guru yang pernah mengajar di sekolah-sekolah itu.

Kalo saran saya, untuk security question ini, jawablah dengan jawaban yang tidak sesuai fakta atau sama sekali tidak berhubungan dengan pertanyaan itu sendiri. Misal pertanyaan What was your first phone number, jawab misalnya dengan “Sushi yang sangat nggak enak di pojok jalan dekat gang masuk di pinggir kali. Tapi yang jualan cakep asli gila nggak bohong dan nggak ngibul. Tapi lebay.” Tapi jangan lupa pastikan untuk bisa diingat.

Salah satu bentuk social engineering hacking yang lain adalah dengan meminta target untuk login melalui laptop atau komputer kita dengan alasan yang tidak membuat curiga sang target (misal disuruh cek inbox e-mail untuk melihat apakah e-mail yang kita kirimkan udah masuk atau untuk cek status facebook). Yang mana di laptop atau komputer tadi sudah kita kasih keylogger (program untuk merekam tombol keyboard apa aja yang dipencet) atau browser-nya diset supaya mengingat password yang dimasukkan.

Warnet dan internet kampus atau kantor dan jaringan wifi adalah salah satu tempat yang bisa dipake untuk mencuri password. Baik oleh pemilik dan pengelola warnet / kampus / kantor itu sendiri (dengan menginstal keylogger di tiap komputer atau menangkap data yang dikirimkan dari komputer pengguna ke server) maupun pengguna lain (pengguna menginstal keylogger atau packet dumper ke komputer yang dipakai untuk ditinggal dan dibiarkan dipakai pengguna lain untuk kemudian kesempatan berikutnya, data-datanya diambil atau otomatis dikirim ke server yang sudah disediakan).

Metode lain untuk mencuri password adalah dengan phising. Yang intinya adalah dengan membuat website dengan yang sama persis dengan website lain yang dipakai pengguna dan memanfaatkan typo (misal http://www.faecbook.com atau http://www.fcaebook.com) atau ketidaktahuan pengguna tentang URL / internet address (yang mana banyak pengguna internet yang percaya saja bahwa http://www.facebook.com.anevilsite.com adalah sama dengan http://www.facebook.com; catatan: yang paling penting dari URL adalah 2 bagian terakhir yang dipisahkan sebuah dot sebelum slash atau kosong).

Dan tambahan lagi untuk kemungkinan titik pencurian password adalah web service yang memberi nilai tambah ke web service lain (contoh: twitter) dan meminta username dan password web service lain tadi (twitter) untuk menggunakannya. Contoh web service yang memberi nilai tambah ke web service lain adalah twitpic yang memberi nilai tambah untuk twitter. Kalo digambarkan, seperti meminjamkan kartu ATM bank (kartu ATM sebagai username twitter) ke pelayan restoran (pelayan sebagai twitpic) dan kemudian menyebutkan nomer PIN-nya (PIN ATM sebagai password twitter) ke pelayan tadi(!) Would you do that, in real life???

Catatan: tulisan ini bukan sebagai inspirasi untuk berbuat yang tidak baik. Tulisan ini bermaksud memberi informasi supaya pengguna internet bisa lebih peduli dengan keamanan akun-akun yang dimilikinya.