Contoh isi file /etc/passwd :
root:..CETo68esYsA:0:0:root:/root:/bin/bash
bin:jvXHHBGCK7nkg:1:1:bin:/bin:
daemon:i1YD6CckS:2:2:daemon:/sbin:
adm:bj2NcvrnubUqU:3:4:adm:/var/adm:
rms:x9kxv932ckadsf:100:100:Richard M Stallman:/home/rms:/bin/bash
dmr:ZeoW7CaIcQmjhl:101:101:Dennis M Ritchie:/home/dmr:/bin/bash
linus:IK40Bb5NnkAHk:102:102:Linus Torvalds:/home/linus:/bin/bash
Keterangan :
- Field pertama : nama login
- Field kedua : password yang terenkripsi
- Field ketiga : User ID
- Field keempat : Group ID
- Field kelima : Nama sebenarnya
- Field keenam : Home directory user
- Field ketujuh : User Shell
- Menyalin file /etc/passwd tersebut
- Menjalankan program-program yang berguna untuk membongkar password, contohnya adalah John the Ripper (www.openwall.com/john/).
Berikut ini adalah contoh file /etc/passwd yang telah di-shadow :
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/adm:
rms:x:100:100:Richard M Stallman:/home/rms:/bin/bash
dmr:x:101:101:Dennis M Ritchie:/home/dmr:/bin/bash
linus:x:102:102:Linus Torvalds:/home/linus:/bin/bash
Dengan demikian, penggunaan shadow password akan mempersulit attacker untuk melakukan dictionary-based attack terhadap file password.
Selain menggunakan shadow password beberapa distribusi Linux juga menyertakan program hashing MD5 yang menjadikan password yang dimasukkan pemakai dapat berukuran panjang dan relatif mudah diingat karena berupa suatu passphrase.
Mekanisme yang telah disediakan sistem operasi tersebut di atas tidaklah bermanfaat bila pemakai tidak menggunakan password yang "baik". Berikut ini adalah beberapa kriteria yang dapat digunakan untuk membuat password yang "baik" :
- Jangan menggunakan nama login anda dengan segala variasinya.
- Jangan menggunakan nama pertama atau akhir anda dengan segala variasinya.
- Jangan menggunakan nama pasangan atau anak anda.
- Jangan menggunakan informasi lain yang mudah didapat tentang anda, seperti nomor telpon, tanggal lahir.
- Jangan menggunakan password yang terdiri dari seluruhnya angka ataupun huruf yang sama.
- Jangan menggunakan kata-kata yang ada di dalam kamus, atau daftar kata lainnya.
- Jangan menggunakan password yang berukuran kurang dari enam karakter.
- Gunakan password yang merupakan campuran antara huruf kapital dan huruf kecil.
- Gunakan password dengan karakter-karakter non-alfabet.
- Gunakan password yang mudah diingat, sehingga tidak perlu ditulis.
- Gunakan password yang mudah diketikkan, tanpa perlu melihat pada keyboard.
Beberapa tool yang bisa dipakai untuk melihat strong tidaknya passwor adalah john the ripper. Kita bisa memakai utility ini untuk melihat strong tidaknya suatu pasword yang ada pada komputer.
Sekian artikel Konsep Dasar Autentikasi Password Pada Linux.
Tidak ada komentar:
Posting Komentar