Jump to content
Sign in to follow this  
Followers 0
dinnor

Password Anda Dlm Bahaya?

By dinnor, in Utiliti & Sekuriti

Recommended Posts

dinnor    0

dinnor
Posted

Assalamualaikum..

Cuma nak buat bancian.. berapa kerap korang tukar password/PIN unt semua perkara2 yg perlukan password/PIN? Sekali seminggu/sebulan/ dsb.. ?

TQ. B)

utk semua jenis paasword laa...

email ker,streamyx ker,

modem adsl ker,

login windows ker,

Share this post

Link to post
Share on other sites

Slvrchair    0

Slvrchair
Posted

hmm bergantung pada penggunaan.....lagi kerap guna password lagi kerap la aku tuka.....

Share this post

Link to post
Share on other sites

slaughters    1

slaughters
Posted

aku tukar hanya bila kantoi :)

aku sume password same jer.. email.. logon putera nie.. and lain2.. kecuali maybank2u.com huhu..

aku takut jadi nightmare bile sendiri tak ingat password.. kalo slalu sangat tukar2..

biase kalo organisasi yang aku tau.. die ade period time, untuk tukar password.. die kira rotate jer.. bulan pertama pakai lain, bulan kedua tukar, bulan ketiaga tukar, ke empat pun tukar, bulan kelima plak ulang pakai yang bulan pertama.. seterusnya.. camni bagi diorang senang gak nak ingat.. aku mule2 dengar dioran pakai cara nie, macam nak tergelak.. tapi ade betul gak..

Share this post

Link to post
Share on other sites

scorps    1

scorps
Posted

aku sume password same jer.. email.. logon putera nie.. and lain2.. kecuali maybank2u.com huhu..

aku takut jadi nightmare bile sendiri tak ingat password.. kalo slalu sangat tukar2..

biase kalo organisasi yang aku tau.. die ade period time, untuk tukar password.. die kira rotate jer.. bulan pertama pakai lain, bulan kedua tukar, bulan ketiaga tukar, ke empat pun tukar, bulan kelima plak ulang pakai yang bulan pertama.. seterusnya.. camni bagi diorang senang gak nak ingat.. aku mule2 dengar dioran pakai cara nie, macam nak tergelak.. tapi ade betul gak..

email aku sejak tahun 2002 lagi tak tukar..

cuma yg aku tukar password modem aku,

ni penting utk ditukar jgan main guna default jer...

bahaya siot..

Share this post

Link to post
Share on other sites

alternat0r    0

alternat0r
Posted

Aku tukar password maybe setahun sekali...

For security aku letak 24 atau lebih character password... + word (uppercase & lowercase) + Numbering and symbol... heheh...

Just make sure ada software untuk manage password tu ... kalau tak, memang tak larat nak ingat semua...

Share this post

Link to post
Share on other sites

matrix01    0

matrix01
Posted

Kecuali maybank2u dan hotmail... semua aku gunakan paswed yang sama... sume tak tukar-tukar sejak daftar.... takut lupa...

Share this post

Link to post
Share on other sites

Nazirul    0

Nazirul
Posted

same je dr dlu... xpnah tuka2 pun.. even PIN kad pun ikut ic.. keke..

sejak ak knal password cracker, character x smpai 10 minit... char + no 30 min..

hehe.. :lol: ,tawwakall je..

Share this post

Link to post
Share on other sites

al-siput    2

al-siput
Posted

hehehe...

aku pun tak penah tukar gaks...

tapi berbeza la..

perbezaan antara akaun untuk forum / emel password lain, no pin ATM password lain (tapi sama untuk semua ATM Card yang aku ada) huhuhu....

Share this post

Link to post
Share on other sites

scorps    1

scorps
Posted

link asal: http://www.karangkraf.com.my/E-Majalah/Maj...el.asp?ID=18002

Tidak dinafikan, kata laluan atau “password” telah dianggap sebagai kad pengenalan atau ID pengguna sejak sekian lama, terutamanya yang melibatkan aplikasi Internet. Menerusi penggunaannya, anda boleh membuktikan identiti anda yang sebenar dan sebarang akses yang tidak sah boleh disekat. Bagaimanapun, jika ada pengguna berniat jahat yang berjaya mencuri atau menemui kunci tersebut, ini bermakna mereka juga mampu mengambil alih identiti anda secara digital - dengan menggunakan maklumat anda yang sama.

Antara jenis serangan yang digunakan secara meluas untuk mendapatkan kata laluan dalam menentusahkan sistem ialah serangan yang dieknali sebagai serangan “dictionary” atau “brute force”. Bagi mendapatkan sebarang akses yang berjaya, penyerang itu mesti tahu nama pengguna atau “user name” akaun berkenaan, yang sebenarnya bukanlah sukar seperti yang dijangka. Ini disebabkan ramai pengguna membiarkan kata laluan asas (default) mereka tidak diubah (seperti root, administrator, atau admin) dengan apa juga alasan.

Dalam serangan “kamus”, apabila nama pengguna yang betul diperolehi, mereka akan mencuba siri kata laluan daripada set senarai untuk melihat samada ia sepadan atau sebaliknya. Operasi jenis ini selalunya dilakukan dengan bantaun aplikasi yang dicipta khas untuk tujuan tertentu. Apliaksi ini menjadikan kamus sebagai sumber kata laluan yang hendak dicuba, malah serangan ini boleh berjaya memandangkan ramai pengguna yang ambil mudah dengan sekadar menggunakan perkataan lazim sebagai kata laluan mereka.

Serangan brute force pula mirip kepada serangan kamus, tetapi ia menggunakan pelbagai set kombinasi aksara. Serangan ini dianggap lebih efektif jika melibatkan kata laluan yang pendek. Banyak serangan jenis ini disasarkan kepada akaun yang memiliki keistimewaan tinggi dan sistem yang memiliki nama pengguna asas. Dalam platform Windows contohnya, akaun pengguna "administrator" selalu menjadi sasaran. Bagi menangani isu ini, pengguna disyorkan supaya mengubah nama pengguna akaun kepada nama yang unik.

Anda juga boleh menyediakan akaun umpan yang bernama "administrator" dengan keistimewaan minimum tetapi kata laluannya rumit. Ini bermakna bahawa akaun administrator sebenar akan dilindungi dan anda juga boleh mengesan apabila terdapat cubaan untuk menembusinya, menggunakan fungsi pengauditan pada akaun Windows yang akan memberitahu anda mengenai sebarang percubaan bagi menentusah akaun tetapi gagal dilakukan. Ini penting terutamanya jika ada pihak yang cuba untuk mengakses sistem-sistem kritikal.

Penciptaan dan penggunaan

Salah satu peraturan asas untuk memilih kata laluan ialah memastikan ia panjang dan kompleks dari segi aksara yang terlibat. Mengikut aturan, sebuah kata laluan sepatutnya terdiri daripada sekurang-kurangnya sebanyak lapan aksara dan mengabungkan huruf, angka, dan simbol khas. Mencipta kata laluan baru tidak sukar biarpun banyak perkhidmatan yang memerlukan proses penentusah menerusi kata laluan. Tetapi, ia boleh menimbulkan masalah jika anda menggunakan nombor dan huruf yang mudah diteka atau diingati.

Bagaimanapun, penggunaan kata laluan yang terlalu rumit dianggap menyukarkan bagi sesetengah orang. Jadi, untuk mengelak daripada terpaksa mengingati pelbagai kata laluan berbeza dan rumit, ramai pengguna menggunakan kata laluan yang sama untuk mengakses pelbagai aplikasi dan perkhidmatan yang berbeza. Malangnya, tindakan seperti ini boleh meningkatkan peluang bagi penyerang untuk mencuri identiti digital, lebih-lebih lagi jika kata laluan boleh disimpan dalam aplikasi dan membolehkan orang lain mengaksesnya.

Sekiranya kata laluan sama digunakan untuk mengakses komputer, e-mel web dan perbankan elektronik, maka satu kata laluan yang berjaya dipecahkan membolehkan penyerang membaca e-mel dan membuat transaksi dengan identiti anda. Jadi, adalah lebih selamat jika anda menggunakan kata laluan yang berbeza, khususnya perkhidmatan yang melibatkan maklumat sulit seperti perbankan dalam talian. Gunakan kata laluan mudah untuk khidmat yang kurang penting seperti langganan akhbar dalam talian dan lain-lain lagi.

Sungguhpun demikian, terdapat cara lain yang boleh digunakan dalam proses menentusah, ini termasuklah sijil digital. Satu daripada cara terbaik ialah dengan menggunakan pelayan web selamat – seperti perbankan elektronik – yang digunakan untuk membina sambungan enkripsi menerusi protokol HTTPS. Sijil digital untuk klien adalah sama tetapi dalam kes ini, ia boleh digunakan untuk mengesahkan identiti pengguna, dengan menambah lapisan keselamatan kepada sistem yang secara ekslusif berasaskan kepada kata laluan.

Beberapa bank menggunakan sijil digital terhadap pelanggannya. Mereka membekalkannya dengan sijil digital yang boleh dipasang pada PC mereka, ini bagi menghalang penyerang daripada mengakses menerusi komputer lain, mekipun mereka berjaya mencuri kata laluan pengguna. Bagi pengguna yang tidak sentiasa dihubungkan menerusi PC yang sama, sijil digital boleh dikeluarkan dalam bentuk kekunci USB – yang mempunyai saiz kunci biasa – yang boleh digunakan pada mana-mana komputer yang memiliki port USB.

Elemen penting kata laluan

Tersenarai di bawah ini adalah beberapa garis panduan yang anda boleh ikuti apabila memilih kata laluan. Anda boleh menjadikan kata laluan anda lebih kukuh dengan mengabungkan sebanyak mungkin elemen-eleman berikut secara praktikal atau sesuai dengan persekitaran anda. Kata laluan yang baik sepatutnya:

* Memiliki sekurang-kurangnya lapan (8) aksara.

* Mengandungi campuran huruf besar dan huruf kecil.

* Bersifat alfanumerik (mengandungi huruf dan angka).

* Mengandungi kunci tanda bacaan – penggunaan kunci tanda bacaan dianggap penting kerana ia boleh membezakan di antara kata laluan yang senang dipecahkan atau kurang selamat dan sebaliknya.

* Boleh ditukar dengan kerap – persekitaran komputer dalam rangkaian yang lebih kukuh memerlukan kata laluan yang boleh diubah dengan kerap, contohnya setiap 90 hari.

* Diubah apabila digunakan untuk berbilang aplikasi – teknik yang biasa digunakan ialah menyepadukan keterangan aplikasi dengan kata laluan asas yang tidak berubah. Contohnya, mencantumkan setiap nama aplikasi yang berbeza dengan kata laluan asas yang masih dikekalkan.

* Jangan sesekali berkongsi, mencatat, atau menghantar kata laluan kepada orang lain menerusi e-mel.

* Mudah diingati – kecenderungan untuk menggunakan nama orang yang dikenali, tarikh hari jadi dan ulang tahun memang ada. Tetapi elemen “mudah diingati” juga boleh menjadi “mudah diteka”. Dalam dunia masa kini, penggodam menggunakan perisian yang canggih untuk memecahkan kata laluan. Malah, kata laluan yang mudah seolah-olah membuka peluang kepada golongan ini. Cabarannya, ialah untuk mencipta sesuatu kata laluan yang boleh diingati tetapi sukar bagi orang lain untuk menekanya.

* Gunakan mnemonik (mnemonics) untuk mencipta kata laluan yang boleh diingati – kunci kepada kata laluan yang boleh diingati ialah dengan menggunakan maklumat peribadi anda secara logik. Tulis satu ayat yang mempunyai makna peribadi. Kemudian ambil huruf pertama atau huruf terakhir pada setiap perkataan dan gabungkan dengan nombor dan simbol bagi menghasilkan kata laluan anda. Contohnya, ayat seperti “Saya Menderma Sejuta Pada 2004” sepatutnya menghasilkan kata laluan “SMSP2004”.

Aplikasi percuma kata laluan

Berdasarkan keterangan di atas tadi, anda berupaya menghasilkan sendiri kata laluan secara manual dengan mengabungkan elemen-elemen yang diperlukan. Bagaimanapun, kadangkala timbul masalah apabila anda perlu mengurus dan/atau menjana kata laluan yang banyak.

Contohnya, anda perlu menggunakan lebih dari 10 kata laluan bagi mengakses pelbagai aplikasi. Jika demikian anda mungkin perlu menggunakan aplikasi yang berkaitan dengan kata laluan. Di bawah ini disenaraikan beberapa aplikasi kata laluan untuk dicuba.

1. 4Uonly (http://dillobits.com/)

2. Access Manager (http://www.accessmanager.co.uk/)

3. Password Depot (http://www.password-depot.com/)

4. Password Construction Kit (http://www.buttuglysoftware.com/)

5. Password Agent Lite (http://www.moonsoftware.com/pwagent.asp)

6. MaxPasswords (http://www.max2k.com/)

7. Key Folder (http://www.mag2soft.com/)

8. Oubliette (http://www.tranglos.com/free/)

9. Password Generator (http://www.wincatalog.com/pasgen.html)

10. Webmaster Password Generator (http://www.tropicdesigns.net/)

11. Whisper32 XP (http://www.ivory.org/whisper.html)

12. Random Password Generator (http://www.paehl.de/home.htm)

13. Password Corral (http://www.cygnusproductions.com/)

14. KeyWallet (http://www.keywallet.com/)

15. Pass A Password Please (http://cocoholo.com/)

Share this post

Link to post
Share on other sites

dinnor    0

dinnor
Posted

link asal: http://www.karangkraf.com.my/E-Majalah/Maj...el.asp?ID=18002

Tidak dinafikan, kata laluan atau “password†telah dianggap sebagai kad pengenalan atau ID pengguna sejak sekian lama, terutamanya yang melibatkan aplikasi Internet. Menerusi penggunaannya, anda boleh membuktikan identiti anda yang sebenar dan sebarang akses yang tidak sah boleh disekat. Bagaimanapun, jika ada pengguna berniat jahat yang berjaya mencuri atau menemui kunci tersebut, ini bermakna mereka juga mampu mengambil alih identiti anda secara digital - dengan menggunakan maklumat anda yang sama.

Antara jenis serangan yang digunakan secara meluas untuk mendapatkan kata laluan dalam menentusahkan sistem ialah serangan yang dieknali sebagai serangan “dictionary†atau “brute forceâ€. Bagi mendapatkan sebarang akses yang berjaya, penyerang itu mesti tahu nama pengguna atau “user name†akaun berkenaan, yang sebenarnya bukanlah sukar seperti yang dijangka. Ini disebabkan ramai pengguna membiarkan kata laluan asas (default) mereka tidak diubah (seperti root, administrator, atau admin) dengan apa juga alasan.

Dalam serangan “kamusâ€, apabila nama pengguna yang betul diperolehi, mereka akan mencuba siri kata laluan daripada set senarai untuk melihat samada ia sepadan atau sebaliknya. Operasi jenis ini selalunya dilakukan dengan bantaun aplikasi yang dicipta khas untuk tujuan tertentu. Apliaksi ini menjadikan kamus sebagai sumber kata laluan yang hendak dicuba, malah serangan ini boleh berjaya memandangkan ramai pengguna yang ambil mudah dengan sekadar menggunakan perkataan lazim sebagai kata laluan mereka.

Serangan brute force pula mirip kepada serangan kamus, tetapi ia menggunakan pelbagai set kombinasi aksara. Serangan ini dianggap lebih efektif jika melibatkan kata laluan yang pendek. Banyak serangan jenis ini disasarkan kepada akaun yang memiliki keistimewaan tinggi dan sistem yang memiliki nama pengguna asas. Dalam platform Windows contohnya, akaun pengguna "administrator" selalu menjadi sasaran. Bagi menangani isu ini, pengguna disyorkan supaya mengubah nama pengguna akaun kepada nama yang unik.

Anda juga boleh menyediakan akaun umpan yang bernama "administrator" dengan keistimewaan minimum tetapi kata laluannya rumit. Ini bermakna bahawa akaun administrator sebenar akan dilindungi dan anda juga boleh mengesan apabila terdapat cubaan untuk menembusinya, menggunakan fungsi pengauditan pada akaun Windows yang akan memberitahu anda mengenai sebarang percubaan bagi menentusah akaun tetapi gagal dilakukan. Ini penting terutamanya jika ada pihak yang cuba untuk mengakses sistem-sistem kritikal.

Penciptaan dan penggunaan

Salah satu peraturan asas untuk memilih kata laluan ialah memastikan ia panjang dan kompleks dari segi aksara yang terlibat. Mengikut aturan, sebuah kata laluan sepatutnya terdiri daripada sekurang-kurangnya sebanyak lapan aksara dan mengabungkan huruf, angka, dan simbol khas. Mencipta kata laluan baru tidak sukar biarpun banyak perkhidmatan yang memerlukan proses penentusah menerusi kata laluan. Tetapi, ia boleh menimbulkan masalah jika anda menggunakan nombor dan huruf yang mudah diteka atau diingati.

Bagaimanapun, penggunaan kata laluan yang terlalu rumit dianggap menyukarkan bagi sesetengah orang. Jadi, untuk mengelak daripada terpaksa mengingati pelbagai kata laluan berbeza dan rumit, ramai pengguna menggunakan kata laluan yang sama untuk mengakses pelbagai aplikasi dan perkhidmatan yang berbeza. Malangnya, tindakan seperti ini boleh meningkatkan peluang bagi penyerang untuk mencuri identiti digital, lebih-lebih lagi jika kata laluan boleh disimpan dalam aplikasi dan membolehkan orang lain mengaksesnya.

Sekiranya kata laluan sama digunakan untuk mengakses komputer, e-mel web dan perbankan elektronik, maka satu kata laluan yang berjaya dipecahkan membolehkan penyerang membaca e-mel dan membuat transaksi dengan identiti anda. Jadi, adalah lebih selamat jika anda menggunakan kata laluan yang berbeza, khususnya perkhidmatan yang melibatkan maklumat sulit seperti perbankan dalam talian. Gunakan kata laluan mudah untuk khidmat yang kurang penting seperti langganan akhbar dalam talian dan lain-lain lagi.

Sungguhpun demikian, terdapat cara lain yang boleh digunakan dalam proses menentusah, ini termasuklah sijil digital. Satu daripada cara terbaik ialah dengan menggunakan pelayan web selamat – seperti perbankan elektronik – yang digunakan untuk membina sambungan enkripsi menerusi protokol HTTPS. Sijil digital untuk klien adalah sama tetapi dalam kes ini, ia boleh digunakan untuk mengesahkan identiti pengguna, dengan menambah lapisan keselamatan kepada sistem yang secara ekslusif berasaskan kepada kata laluan.

Beberapa bank menggunakan sijil digital terhadap pelanggannya. Mereka membekalkannya dengan sijil digital yang boleh dipasang pada PC mereka, ini bagi menghalang penyerang daripada mengakses menerusi komputer lain, mekipun mereka berjaya mencuri kata laluan pengguna. Bagi pengguna yang tidak sentiasa dihubungkan menerusi PC yang sama, sijil digital boleh dikeluarkan dalam bentuk kekunci USB – yang mempunyai saiz kunci biasa – yang boleh digunakan pada mana-mana komputer yang memiliki port USB.

Elemen penting kata laluan

Tersenarai di bawah ini adalah beberapa garis panduan yang anda boleh ikuti apabila memilih kata laluan. Anda boleh menjadikan kata laluan anda lebih kukuh dengan mengabungkan sebanyak mungkin elemen-eleman berikut secara praktikal atau sesuai dengan persekitaran anda. Kata laluan yang baik sepatutnya:

* Memiliki sekurang-kurangnya lapan (8) aksara.

* Mengandungi campuran huruf besar dan huruf kecil.

* Bersifat alfanumerik (mengandungi huruf dan angka).

* Mengandungi kunci tanda bacaan – penggunaan kunci tanda bacaan dianggap penting kerana ia boleh membezakan di antara kata laluan yang senang dipecahkan atau kurang selamat dan sebaliknya.

* Boleh ditukar dengan kerap – persekitaran komputer dalam rangkaian yang lebih kukuh memerlukan kata laluan yang boleh diubah dengan kerap, contohnya setiap 90 hari.

* Diubah apabila digunakan untuk berbilang aplikasi – teknik yang biasa digunakan ialah menyepadukan keterangan aplikasi dengan kata laluan asas yang tidak berubah. Contohnya, mencantumkan setiap nama aplikasi yang berbeza dengan kata laluan asas yang masih dikekalkan.

* Jangan sesekali berkongsi, mencatat, atau menghantar kata laluan kepada orang lain menerusi e-mel.

* Mudah diingati – kecenderungan untuk menggunakan nama orang yang dikenali, tarikh hari jadi dan ulang tahun memang ada. Tetapi elemen “mudah diingati†juga boleh menjadi “mudah ditekaâ€. Dalam dunia masa kini, penggodam menggunakan perisian yang canggih untuk memecahkan kata laluan. Malah, kata laluan yang mudah seolah-olah membuka peluang kepada golongan ini. Cabarannya, ialah untuk mencipta sesuatu kata laluan yang boleh diingati tetapi sukar bagi orang lain untuk menekanya.

* Gunakan mnemonik (mnemonics) untuk mencipta kata laluan yang boleh diingati – kunci kepada kata laluan yang boleh diingati ialah dengan menggunakan maklumat peribadi anda secara logik. Tulis satu ayat yang mempunyai makna peribadi. Kemudian ambil huruf pertama atau huruf terakhir pada setiap perkataan dan gabungkan dengan nombor dan simbol bagi menghasilkan kata laluan anda. Contohnya, ayat seperti “Saya Menderma Sejuta Pada 2004†sepatutnya menghasilkan kata laluan “SMSP2004â€.

Aplikasi percuma kata laluan

Berdasarkan keterangan di atas tadi, anda berupaya menghasilkan sendiri kata laluan secara manual dengan mengabungkan elemen-elemen yang diperlukan. Bagaimanapun, kadangkala timbul masalah apabila anda perlu mengurus dan/atau menjana kata laluan yang banyak.

Contohnya, anda perlu menggunakan lebih dari 10 kata laluan bagi mengakses pelbagai aplikasi. Jika demikian anda mungkin perlu menggunakan aplikasi yang berkaitan dengan kata laluan. Di bawah ini disenaraikan beberapa aplikasi kata laluan untuk dicuba.

1. 4Uonly (http://dillobits.com/)

2. Access Manager (http://www.accessmanager.co.uk/)

3. Password Depot (http://www.password-depot.com/)

4. Password Construction Kit (http://www.buttuglysoftware.com/)

5. Password Agent Lite (http://www.moonsoftware.com/pwagent.asp)

6. MaxPasswords (http://www.max2k.com/)

7. Key Folder (http://www.mag2soft.com/)

8. Oubliette (http://www.tranglos.com/free/)

9. Password Generator (http://www.wincatalog.com/pasgen.html)

10. Webmaster Password Generator (http://www.tropicdesigns.net/)

11. Whisper32 XP (http://www.ivory.org/whisper.html)

12. Random Password Generator (http://www.paehl.de/home.htm)

13. Password Corral (http://www.cygnusproductions.com/)

14. KeyWallet (http://www.keywallet.com/)

15. Pass A Password Please (http://cocoholo.com/)

oo.. nice info..thanks a lot..

so saper lagi yg boleh bagitahu berapa kali ko tukar password???

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
Sign in to follow this  
Followers 0
Go To Topic Listing
×
×
  • Create New...