Mengapa Harus 'Reset Password'?

Bila malam itu anda diberitahu bila anda mendapat sebuah kiriman dari social network yang berisi tugas yang harus selesai besok juga (deadline). Anda membuka akun jejaring sosial anda namun yang terjadi adalah Anda melupakan password dari akun email tersebut. Langkah selanjutnya adalah anda mengklik "lupa password"

sebenarnya saya buat artikel ini cuman melampiaskan rasa pusing karena :

• Buku laporan nggak ada tanda tangannya, orangnya lagi dinas
• Tugas sekolah belum pada selesai
• Maunya di tanda tanganini orang lain, tapi nggak ada orang lain
• Pusing mikir gimana decrypt md5
• Pusing gimana cara kerja reset password

sepertinya artikel ini mungkin nggak level bahkan sudah basi bagi yang sudah advanced di bidang hacking atau kripto. namun saya ingin membagikan spekulasi ini untuk anda.

selama ini saya bergelut memahami apa itu MD5. bahwa MD5 adalah hash, bukan enkripsi, bukan encoding. hash merupakan pembuatan banyak data menjadi lebih kecil, biasaya dipakai untuk mengecek integritas/keaslian file. namun saat ini MD5 sering digunakan untuk hashing password karena kemampuannya yaitu "irreversible" mangapa? lihat postingan saya disini. sesuai judul di atas, Mengapa harus reset password?

ini jawabannya:

Plain text ------1------- > MD5 Function > --------2--------- MD5 Hash

tanda > merupakan sifat algoritma yang tidak bisa mengubah MD5 menjadi plain text kembali.

terus apakah yang membuat saya bingung? ini ceritanya :

Iseng iseng saya merubah password lewat mysql yang menurut saya Menggunakan Hash MD5. entah apa password sebelumnya, saya ganti menjadi "kecoangesot" yang memiliki MD5 sekian...

saya mecoba untuk login dengan password baru saya tadi. dan hasilnya : BISA.

inilah yang membuat saya bingung. saya telah mengganti hashnya dan tetap saja server tersebut dapat membaca MD5 saya. apakah server tersebut mentranslasikan hash saya ke plain text? kalau bisa bagaimana caranya? Rainbow table? namun server tersebut tidak memiliki ukuran sebesar rainbow table. begitulah pertanyaan demi pertanyaan menghapiri. Ternyata jawabannya sepeleeeeeee bangettt

saya memikirkan spekulasi di atas dimana verifikasi (pengecekan apakah password sama atau tidak) terdapat pada point 1 (lihat gambar). jadi MD5 di konversi ke plain text kemudian dicocokkan. :ngakak :ngakak :ngakak .

konyol banget yah... hehe... padahal yang benar adalah verifikasi terletak pada point ke 2. yaitu plain text di konversi ke MD5 kemudian MD5 yang plain text itu disamakan dengan MD5 yang ada di database. hehe... aku sedikit malu posting ini :malu

lalu apa hubungannya dengan reset password? betul... karena sang administrator tidak bisa mengembalikan password anda yang anda punya, dia membuat password pengganti yang hashnya disimpan dan password nantinya dikirim ke anda.

spele banget kan?

beneran... saya memnyadari ini baru sekarang setelah mengoprek oprek source code sebuah webshell (b374k). hehe

sekian dan terimakasih...

Widget for blogger by Way2Blogging

Posted in: Hacking,Tahukah anda?