Peppering bukan hanya kata yang berhubungan dengan keterampilan kuliner; itu juga merupakan proses kriptografi penting dalam keamanan kata sandi. Sangat penting bahwa kata sandi disimpan dengan aman dan terlindungi dari serangan peretas. Peppering membantu melakukan itu. Apa itu peppering, dan bagaimana cara membantu menjaga keamanan kata sandi Anda?
Apa itu Peppering?
Peppering adalah proses kriptografi yang memerlukan penambahan string karakter rahasia dan acak ke kata sandi sebelum diasinkan dan di-hash untuk membuatnya lebih aman. String karakter yang ditambahkan ke kata sandi disebut lada. Pepper mengubah hash kata sandi sama sekali dan membuatnya kebal terhadap serangan brute force dan pemecahan kata sandi menggunakan tabel kamus dan tabel pelangi.
Bagaimana Peppering Bekerja?
Peppering adalah lapisan keamanan ekstra yang ditambahkan ke kata sandi. Anggap saja sebagai topping berbeda pada kue. Kue polos adalah kata sandi teks biasa dan hashing adalah topping terakhir — katakanlah, taburan. Jika Anda menaruh taburan langsung di atas kue, itu tidak akan terlihat bagus. Sama halnya dengan keamanan kata sandi.
Mem-hash kata sandi saja tidak aman karena kata sandi dapat dengan mudah dibobol. Itu sebabnya topping lainnya, garam dan merica (ironisnya), membuat kue lebih enak — seperti halnya dengan kata sandi
Jadi apa sebenarnya artinya kata sandi di-hash? Hashing adalah proses enkripsi satu arah dalam kriptografi. Kata sandi yang di-hash pada dasarnya diacak dan alih-alih menyimpan kata sandi plaintext dalam database, hash disimpan. Ketika Anda memasukkan kata sandi Anda, itu di-hash dan kemudian dibandingkan dengan kata sandi yang di-hash di database. Begitulah cara sistem memvalidasi identitas Anda.
Sama seperti pengasinan, lada ditambahkan ke kata sandi untuk membuatnya lebih aman. Jadi kata sandi diubah dari hanya kata sandi teks biasa menjadi hash kata sandi+garam+lada. Jadi jika seorang peretas mendapatkan akses ke garam dan/atau bahkan kata sandi pengguna, peretas tidak akan dapat mendekripsi kata sandi hash karena lada mengubah hash sama sekali.
Misalnya, bandingkan hash kata sandi biasa, kata sandi asin, dan kata sandi yang dibumbui. Biarkan kata sandi menjadi '1yAm0r1a!', garam 'eW3dU%', dan lada 'Am41a?'.
| Teks Kata Sandi | Kata Sandi yang Di-hash | |
| Kata Sandi Teks Biasa | 1thAm0r1a! | c243787fb465db7b550974bd08011616845c4c36b260ab1e90b5f1524d9babd69 |
| Kata Sandi Asin | 1thAm0r1a!eW3dU% | 06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb |
| Kata sandi yang dibumbui | 1thAm0r1a!eW3dU% Am41a? | fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553 |
Bisakah Lada Digunakan Tanpa Garam?
Ya, kata sandi dapat digunakan tanpa garam. Tapi ini tidak ideal untuk keamanan kata sandi. Jika penyerang mengetahui lada situs, situs tersebut menjadi rentan terhadap serangan karena lada digunakan untuk semua kata sandi dalam database.
Apa Perbedaan Antara Merica dan Pengasinan?
Di satu sisi, lada adalah sejenis garam. Keduanya membuat kata sandi lebih aman, tetapi keduanya berbeda. Tidak seperti garam, paprika bersifat rahasia, statis, dan tidak dihasilkan secara acak.
Paprika Tidak Dihasilkan Secara Acak
Saat Anda masuk ke situs web dan memasukkan kata sandi Anda, sebelum di-hash, garam dibuat secara acak untuk Anda. Ini tidak sama dengan merica.
Dalam lada, pemilik situs memilih lada. Pemilik situs diberi tanggung jawab untuk memastikan bahwa lada yang dipilih aman dan cukup kuat. Tentu saja, pemilik situs dapat memilih untuk menggunakan generator nilai acak untuk memilih lada.
Paprika Lebarnya Statis
Ketika ada sesuatu yang statis, itu berarti tidak berubah. Dalam penggaraman, setiap garam dihasilkan untuk setiap pengguna di database. Tapi lada digunakan di seluruh database. Tidak ada paprika untuk pengguna individu.
Paprika Dirahasiakan
Tidak seperti garam yang dapat ditemukan di database sebuah situs, paprika bersifat rahasia. Mereka tidak disimpan dalam database bersama garam dan hash; yang akan membuat paprika sia-sia.
Sebaliknya, paprika disimpan di bagian yang aman dan terpisah dari aplikasi situs. Ini penting karena jika peretas menyusup ke situs dan mendapatkan akses ke kata sandi dan garam pengguna di situs itu, mereka tidak akan dapat memecahkan kata sandi apa pun karena mereka tidak mengetahuinya lada.
Memilih Lada yang Baik
Memilih lada yang baik adalah sama pentingnya dengan memilih kata sandi yang baik. Sama seperti kata sandi, paprika harus cukup panjang, dan unik. Ingatlah bahwa lada digunakan di seluruh situs; jika seorang peretas memaksa atau menebak-nebak, situs Anda akan rentan. Jangan gunakan nama situs Anda sebagai merica. Itu setara dengan menggunakan "Password123" sebagai kata sandi Anda.
Alternatif lain adalah dengan menggunakan generator kata sandi. Ada banyak pembuat kata sandi online yang dapat digunakan untuk memilih lada yang baik.
Cara lain untuk membumbui adalah dengan tidak menyimpan lada sama sekali. Sebaliknya, lada adalah string pendek dan ketika pengguna masuk ke situs, sistem memaksa atau menjalankan serangkaian kemungkinan lada sampai yang benar digunakan. Ini membutuhkan waktu lebih lama, jadi lada pendek harus digunakan.
Contoh metode ini yang mudah namun tidak aman adalah membuat lada berdasarkan abjad. Saat Anda masuk, situs akan menelusuri setiap huruf alfabet—huruf kecil dan besar—sampai lada benar.
Meskipun biasanya menggunakan satu lada di satu lokasi, dimungkinkan untuk memiliki lebih dari satu lada dalam satu waktu. Lada diberikan secara acak ke pengguna saat pendaftaran dari sekelompok cabai. Ketika pengguna itu masuk, setiap lada dicoba sampai yang ditetapkan untuk pengguna itu dipilih.
Apakah Peppering Efektif dalam Meningkatkan Keamanan?
Ya. Ketika lada digunakan dengan garam, sangat sulit bagi peretas untuk memecahkan kata sandi pengguna. Bahkan ketika pengguna menggunakan kata sandi yang lemah atau kata sandi yang sama, seorang peretas tidak akan pernah tahu karena lada mengubah hash. Dengan bumbu, keamanan kata sandi sangat meningkat.
7 Kesalahan Kata Sandi Umum yang Mungkin Membuat Anda Diretas
Baca Selanjutnya
Topik-topik yang berkaitan
- Keamanan
- Keamanan Daring
- Keamanan cyber
Tentang Penulis
Chioma adalah seorang penulis teknis yang suka berkomunikasi dengan pembacanya melalui tulisannya. Ketika dia tidak sedang menulis sesuatu, dia dapat ditemukan bergaul dengan teman-teman, menjadi sukarelawan, atau mencoba tren teknologi baru.
Berlangganan newsletter kami
Bergabunglah dengan buletin kami untuk kiat teknologi, ulasan, ebook gratis, dan penawaran eksklusif!
Klik di sini untuk berlangganan
