h1

show password :: lihat password

March 7, 2008

Salah satu cara untuk mendapatkan password bisa dilakukan dengan “tanpa melakukan apa-apa” .Aksi Pasif (yang biasa aku sebut juga “do nothing”) dalam hal mendapatkan password, baik itu dengan cara memanfaatkan kemampuan (ataukah celah?) yang di

berikan oleh aplikasi atau dukungan protokol yang di manfaatkan.Aku bisa mendapatkan password tanpa harus melakukan usaha yang sulit atau bahkan kegiatan ”cracking” ke mesin pengguna.Ada beberapa cara untuk mendapatkan password secara pasif.

Baiklah teman, cara yang akan aku gunakan berikut ini sangatlah sederhana sekali, aku menyebutnya panen password di “cyber café” a.k.a “warnet”. Salah satu hal yang menyebabkan ini terjadi adalah di karenakan adanya beberapa layanan (fasilitas) yang di

berikan oleh aplikasi web browser yang biasanya di gunakan untuk mengakses halaman web dan khususnya melakukan keperluan login kesuatu halaman pribadi (misal : membuka e-mail). Salah satu aplikasi web browser yang akan aku manfaatkan adalah aplikasi yang sudah sangat ternama sekali dikarenakan penggunaannya yang “free of charge” alias gratis, yaitu Mozilla Firefox. Sebagai salah satu aplikasi web browser, firefox memberikan kemudahan bagi user dalam hal menginggat “password”. Artinya password yang digunakan oleh user beserta login dan alamat web akan di “hapalkan” oleh web browser. Tetapi apa yang terjadi apabila fitur pengingat password ini tidak di pahami oleh pengguna dan di gunakan di tempat yang dapat di akses oleh umum.

Investigasi browser

Baiklah sekarang buka web browser firefox yang kalian miliki dan segera masuki menu tools dan dari situ pilihlah options Secara default terlihat kalau fasilitas untuk menyimpan password

di aktifkan (Saved Passwords) , hal ini akan mengakibatkan web browser menginggat seluruh password yang di inputkan oleh user, jadi walaupun teman-teman login ke situs yang mendukung pengamanan via protokol ssl (misal: https) dan aman dari proses penyadapan (sniffing) di jaringan tetapi password anda akan tetap tersimpan secara clear-text (bisa terbaca) pada web browser.


Meskipun ini sangat berbahaya tetapi untunglah pembuat web browser tidak mengijinkan fasilitas ini untuk melakukannya secara otomatis (aku pernah terbersit ide untuk ”mem-patch” firefox

agar auto remember dan menyebar ulang firefoxnya), tetapi web browser secara otomatis akan memberi tahu user terlebih dahulu bahwa web browser memiliki fasilitas ini dan apakah user

bersedia agar passwordnya di ingat oleh web browser. Tetapi sayangnya lagi hampir sebagian besar pengguna yang terbiasa dengan kata-kata ”yes” (user bertipikal ”tekan enter saja”) dan

tidak terlalu menyukai bahasa Inggris pasti akan menekan enter atau menekan tombol mouse secara cepat, dan kecerobohan inilah yang melengkapi fitur penginggat password yang di miliki

oleh aplikasi web browser sebagai salah satu lumbung kita untuk mendapatkan password.

Lebih jelasnya lihat gambar berikut, dan bayangkan yang anda lakukan sewaktu disuguhi pesan panjang ber-bahasa inggris .

Tampilan berikut adalah password yang di simpan oleh web browser yang aku dapati dari salah satu warnet (warung internet; cyber cafe) yang aku kunjungi, adapun caranya adalah cukup

dengan memilih tools kemudian memilih options kemudian lihat bagian Saved Passwords lalu pilih view saved passwords kemudian pilih show passwords. Dan selamat menjadi ”juragan” password dengan memanen password.

Fitur ini tidak hanya terdapat pada web browser firefox tetapi hampir semua web browser yang memberikan fitur ini (atau serupa, ada wand password di web browser opera) dengan tujuan

memberikan kemudahan kepada pengguna (user friendly fitur).

Advertisements

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: