10
1. Sniffing : Yaitu mengintip pesan baik yang belum ataupun sudah di-enkripsi dalam suatu saluran komunikasi. Sniffer dapat merekam pembicaraan yang terjadi.
2. Replay attack : Jika seseorang bisa merekam pesan-pesan handshake persiapan komunikasi, ia mungkin dapat mengulang pesan-pesan yang telah direkam untuk
menipu salah satu pihak. 3. Spoofing : Penyerang bisa menyamar menjadi orang lain. Penyerang berusaha
meyakinkan pihak-pihak lain bahwa tak ada yang salah dengan komunikasi yang dilakukan, padahal komunikasi dilakukan dengan penyerang.
4. Man in the Middle : Jika spoofing hanya menipu satu pihak, maka pada kategori ini penyerang dapat berkuasa penuh atas jalur komunikasi dan bisa membuat berita atau
informasi palsu.
2.3 Permasalahan Pada Pengiriman Password
Berikut adalah beberapa sekenario mengenai permasalahan pada pengiriman password yang tidak aman seperti yang dikutip dari makalah
mengenai “Metode Autentikasi melalui Saluran Komunikasi yang Tidak Aman” yang ditulis oleh Karhendana, 2006.
a. Pengiriman password dalam bentuk plaintext
Dalam skema yang paling sederhana, password dikirimkan dari pengguna ke sistem dalam bentuk plainteks. Proses ini dapat dilihat pada Gambar 1. Pada gambar
tersebut, Alice sebagai pengguna yang akan diautentikasi dan Bob sebagai server pengautentikasi.
11
Pengiriman password tersebut masih rentan terhadap serangan, karena password dikirimkan dalam bentuk plaintext sehingga penyadap dapat dengan
langsung mengetahui password Alice.
b. Pengiriman password setelah melalui fungsi hash
Untuk mengatasi serangan password dalam bentuk plaintext, maka dikembangan pengiriman password dengan memanfaatkan fungsi hash dalam
kriptografi, data yang dikirim adalah hasil keluaran dari fungsi hash message digest terhadap password.
Berikut gambar pengiriman password dalam bentuk keluaran fungsi hash
Tujuan dari pengiriman password dengan hash ini adalah untuk menyamarkan password yang dikirim ke sistem, sehingga jika terjadi penyadapan, tidak akan mudah
untuk mendapatkan password aslinya. Dengan demikian, secara efektif mengurangi kemungkinan terjadinya pencurian password.
Gambar 2.2 Pengiriman password dalam bentuk plaintext
Gambar 2.3 Pengiriman password dalam bentuk keluaran fungsi hash
12
Metode dengan hash tersebut juga masih rentan terhadap serangan karena pengirim mengirimkan password dalam bentk digest, sedangkan server hanya
menyimpan daftar password yang valid, sehingga untuk melakukan proses autentikasi server harus melakukan hashing dari password tersebut. Serangan yang ada yaitu jika
ada penyerang yang mengaku sebagai server maka penyerang tersebut dapat mengakses semua daftar password klien.
c. Pengiriman password menggunakan fungsi hash dan verifikasi password dalam bentuk digest