Beranda Informatif Cara kerja password hash (MD5/SHA256)
Informatif

Cara kerja password hash (MD5/SHA256)

ahmad10 min baca
×

Cara kerja password hash (MD5/SHA256)

Sebarkan artikel ini

Pernahkah Anda bertanya-tanya, bagaimana ya platform favorit Anda menyimpan password yang begitu rahasia, padahal di luar sana ancaman peretasan data terus mengintai? Rasa khawatir terhadap keamanan akun digital memang sangat wajar, apalagi dengan maraknya berita kebocoran data. Anda mungkin mencari solusi atau setidaknya pemahaman mendalam tentang bagaimana data sensitif seperti password dilindungi.

Kabar baiknya, Anda sudah berada di tempat yang tepat! Artikel ini akan mengupas tuntas tentang cara kerja password hash (MD5/SHA256), sebuah fondasi penting dalam keamanan siber. Sebagai seorang mentor di bidang ini, saya akan membimbing Anda langkah demi langkah, menjelaskan konsep yang mungkin terdengar rumit menjadi sangat mudah dipahami. Mari kita mulai perjalanan ini agar Anda lebih tercerahkan dan percaya diri dalam menjaga keamanan digital!

Secara singkat, password hashing adalah proses mengubah password asli menjadi sederet karakter acak yang tidak bisa dikembalikan ke bentuk semula. Ini adalah metode satu arah (one-way function) yang sangat krusial untuk melindungi password Anda dari tangan-tangan jahil.

Mengapa Hashing itu Penting dan Bukan Hanya Sekadar Teknis?

Membayangkan menyimpan password langsung di database adalah mimpi buruk keamanan. Bayangkan jika database tersebut berhasil diretas; semua password pengguna akan terekspos begitu saja!

Di sinilah hashing masuk sebagai pahlawan. Dengan mengubah password menjadi “sidik jari” unik yang tidak bisa di-reverse, kita melindungi data sensitif ini. Bahkan jika peretas berhasil mendapatkan hash-nya, mereka tidak akan tahu password aslinya.

Analogi Sederhana: Sidik Jari Digital

Anggap saja password Anda adalah wajah seseorang. Proses hashing adalah seperti mengambil sidik jari dari wajah tersebut.

  • Sidik jari itu unik untuk wajah tersebut.
  • Dari sidik jari, sangat sulit (nyaris mustahil) untuk merekonstruksi kembali wajah aslinya.
  • Anda bisa memverifikasi seseorang dengan membandingkan sidik jari mereka saat ini dengan sidik jari yang tersimpan. Jika cocok, itu orang yang sama.

Prinsip ini sama persis dengan bagaimana password hash bekerja dalam melindungi informasi Anda.

MD5: Dari Primadona Menjadi Kuno

MD5 (Message-Digest Algorithm 5) adalah salah satu algoritma hashing tertua dan paling dikenal. Pada masanya, MD5 sangat populer karena kecepatan dan efisiensinya dalam menghasilkan hash 128-bit.

Dulu, MD5 banyak digunakan untuk berbagai keperluan, termasuk memverifikasi integritas file dan, tentu saja, untuk password hashing. Ini menjadi standar de facto untuk beberapa waktu.

Keterbatasan dan Bahaya MD5 di Era Modern

Namun, seiring waktu, kelemahan MD5 mulai terungkap. Kelemahan terbesarnya adalah rentan terhadap “collision attacks“.

  • Collision Attack: Ini berarti ada kemungkinan (dan sudah terbukti) dua input berbeda dapat menghasilkan output hash MD5 yang sama. Bayangkan dua orang memiliki sidik jari yang persis sama, tentu sangat tidak aman!
  • Kecepatan Komputasi Modern: Komputer saat ini jauh lebih cepat. Mereka bisa menghitung jutaan hash MD5 per detik, sehingga password pendek yang di-hash dengan MD5 bisa dipecahkan dalam hitungan detik hingga menit melalui serangan brute-force atau menggunakan rainbow table.

Oleh karena itu, sebagai pakar keamanan, saya sangat tidak merekomendasikan penggunaan MD5 untuk password hashing saat ini. Ini sudah usang dan tidak aman.

SHA256: Standar Keamanan Masa Kini

SHA256 (Secure Hash Algorithm 256-bit) adalah bagian dari keluarga SHA-2 yang dikembangkan oleh National Security Agency (NSA) AS. Algoritma ini jauh lebih kuat dan lebih aman dibandingkan MD5.

SHA256 menghasilkan hash dengan panjang 256-bit (64 karakter heksadesimal). Panjang hash yang lebih besar ini secara drastis meningkatkan kompleksitas untuk serangan brute-force dan membuatnya lebih resisten terhadap collision attacks.

Mengapa SHA256 Lebih Baik dari MD5?

  • Resistensi Terhadap Collision: Hingga saat ini, belum ditemukan serangan collision yang praktis terhadap SHA256. Ini berarti sangat kecil kemungkinan dua password berbeda akan menghasilkan hash SHA256 yang sama.
  • Output yang Lebih Panjang: Dengan 256-bit, ada lebih banyak kemungkinan kombinasi hash. Ini membuat upaya menebak password asli melalui brute-force menjadi sangat, sangat mahal secara komputasi.
  • Adopsi Industri: SHA256 telah menjadi standar di banyak aplikasi dan protokol keamanan, termasuk SSL/TLS, blockchain (seperti Bitcoin), dan tentu saja, password hashing.

SHA256 adalah pilihan yang solid dan direkomendasikan untuk aplikasi modern yang membutuhkan keamanan hashing.

Cara Kerja Password Hash: Langkah Demi Langkah

Mari kita bayangkan proses ini terjadi setiap kali Anda mendaftar atau login ke sebuah situs web.

1. Pengguna Memasukkan Password

Ketika Anda membuat akun, Anda mengetikkan password Anda, misalnya “SelamatPagi123!”.

2. Password Di-hash

Sistem menerima password tersebut dan segera mengirimkannya ke fungsi hashing (misalnya SHA256). Hasilnya adalah serangkaian karakter acak, seperti:

a9c4b7e8d3f1a2c5e6d7f8a9b0c1d2e3f4a5b6c7d8e9f0a1b2c3d4e5f6a7b8c9

Ini adalah hash dari “SelamatPagi123!”.

3. Hash Disimpan, Password Asli Dihapus

Hanya hash ini yang disimpan di database. Password asli “SelamatPagi123!” tidak pernah disimpan. Ini adalah poin terpenting!

4. Verifikasi Saat Login

Ketika Anda kembali untuk login dan mengetikkan “SelamatPagi123!” lagi:

  • Sistem akan mengambil password yang Anda masukkan.
  • Melakukan hashing lagi pada password yang Anda masukkan menggunakan algoritma yang sama.
  • Membandingkan hash yang baru dihasilkan dengan hash yang tersimpan di database.

5. Hasil Verifikasi

  • Jika kedua hash cocok, berarti password yang Anda masukkan benar, dan Anda berhasil login.
  • Jika tidak cocok, berarti password salah.

Sederhana, namun sangat efektif dalam melindungi password Anda bahkan dari administrator sistem sekalipun.

Salt: Bumbu Rahasia Penambah Kekuatan Hash

Meskipun SHA256 sudah kuat, ada satu trik lagi yang membuat password hash jauh lebih aman: penggunaan “salt“.

Salt adalah data acak yang unik yang ditambahkan ke password sebelum proses hashing dilakukan. Jadi, prosesnya menjadi: hash(password + salt).

Mengapa Salt Penting?

  • Melindungi dari Rainbow Table: Tanpa salt, dua pengguna dengan password yang sama akan memiliki hash yang sama. Rainbow table adalah database besar yang berisi hash dari jutaan password umum. Jika hash Anda ada di rainbow table, password Anda bisa langsung diketahui.
  • Membuat Setiap Hash Unik: Dengan salt, bahkan jika dua pengguna menggunakan password yang sama (misalnya, sama-sama “123456”), karena setiap user akan memiliki salt yang berbeda, hash yang dihasilkan pun akan berbeda. Ini membuat serangan rainbow table tidak efektif.
  • Meningkatkan Biaya Brute-Force: Setiap password harus di-hash secara individual dengan salt uniknya, yang secara signifikan meningkatkan waktu dan biaya komputasi bagi penyerang untuk mencoba memecahkan password.

Salt harus unik untuk setiap password dan disimpan bersama dengan hash-nya di database (tetapi tentu saja, salt tidak perlu dirahasiakan, hanya perlu unik).

Iterasi (Key Stretching): Memperkuat Ketahanan Hash

Selain salt, ada teknik lain yang disebut “iterasi” atau “key stretching“. Ini adalah proses mengulang fungsi hashing berkali-kali pada input yang sama.

Misalnya, alih-alih hanya hash(password + salt), kita bisa melakukan hash(hash(hash(...(password + salt)))) ribuan atau bahkan jutaan kali.

Manfaat Iterasi

  • Memperlambat Proses Hashing: Tujuannya adalah untuk sengaja memperlambat proses hashing. Bagi pengguna normal yang hanya login sesekali, keterlambatan sepersekian detik ini tidak terasa.
  • Meningkatkan Resistensi Brute-Force: Namun, bagi penyerang yang mencoba memecahkan jutaan password, setiap milidetik yang ditambahkan pada proses hashing akan berlipat ganda dan menjadi berjam-jam, berhari-hari, bahkan bertahun-tahun. Ini membuat serangan brute-force menjadi tidak praktis atau sangat mahal.

Algoritma hashing modern seperti bcrypt, scrypt, dan Argon2 secara khusus dirancang untuk menjadi “lambat” dan mendukung iterasi yang dapat dikonfigurasi. Ini adalah praktik terbaik saat ini.

Algoritma Hashing Lain yang Direkomendasikan

Meskipun SHA256 adalah langkah maju yang besar dari MD5, ada algoritma yang lebih optimal untuk password hashing karena secara khusus dirancang untuk tujuan ini dengan mempertimbangkan resistensi terhadap serangan tertentu.

Bcrypt

  • Dikembangkan pada tahun 1999 dan masih sangat direkomendasikan.
  • Dirancang untuk menjadi lambat dan memiliki faktor biaya (cost factor) yang bisa diatur, sehingga bisa diatur untuk menjadi lebih lambat seiring dengan kemajuan teknologi komputasi.
  • Secara otomatis menghasilkan salt unik untuk setiap hash.

Scrypt

  • Dirancang untuk melawan serangan berbasis perangkat keras (ASIC/FPGA) dengan membutuhkan memori yang besar selain komputasi CPU.
  • Sangat baik untuk keamanan, tetapi membutuhkan lebih banyak sumber daya (CPU dan memori).

Argon2

  • Pemenang Password Hashing Competition 2015.
  • Dianggap sebagai algoritma hashing password paling modern dan aman saat ini.
  • Memungkinkan konfigurasi untuk memory cost, time cost (iterasi), dan parallelism (jumlah thread CPU yang digunakan).

Untuk aplikasi baru, sangat disarankan untuk menggunakan Argon2, Scrypt, atau Bcrypt.

Tips Praktis Menerapkan Cara Kerja Password Hash

Setelah memahami dasar-dasarnya, sekarang saatnya untuk tindakan nyata. Berikut adalah beberapa tips praktis yang bisa Anda terapkan atau sarankan:

  • Jangan Pernah Gunakan MD5 atau SHA1: Kedua algoritma ini sudah terbukti memiliki kelemahan yang serius. Hindari penggunaan untuk password hashing.
  • Pilih Algoritma Hashing yang Tepat: Untuk aplikasi baru, gunakan Argon2, Bcrypt, atau Scrypt. Algoritma ini dirancang khusus untuk password hashing.
  • Selalu Gunakan Salt yang Unik: Pastikan setiap password memiliki salt acak yang unik dan disimpan bersama dengan hash-nya. Jangan pernah menggunakan salt yang sama untuk semua password atau salt statis.
  • Konfigurasi Cost Factor (Iterasi): Jika menggunakan Bcrypt, Scrypt, atau Argon2, pastikan Anda mengatur faktor biaya (jumlah iterasi atau memori) ke tingkat yang wajar. Tujuannya adalah membuat hashing cukup lambat untuk penyerang, tetapi tidak terlalu lambat sehingga memengaruhi pengalaman pengguna. Sesuaikan seiring waktu jika hardware Anda berkembang.
  • Jangan Buat Algoritma Hashing Sendiri: Jangan pernah mencoba membuat algoritma hashing kustom Anda sendiri. Keamanan adalah bidang yang sangat kompleks, dan algoritma yang sudah teruji oleh publik jauh lebih aman.
  • Hindari Storing Password Plaintext: Ini adalah aturan emas. Password asli tidak boleh pernah disimpan dalam bentuk teks biasa (plaintext) di mana pun.
  • Pertimbangkan Kebijakan Password Kuat: Mendorong pengguna untuk membuat password yang kuat (panjang, kombinasi karakter) akan menambah lapisan keamanan.

FAQ Seputar Cara Kerja Password Hash (MD5/SHA256)

Apakah MD5 masih bisa digunakan untuk tujuan lain selain password hashing?

MD5 masih bisa digunakan untuk memeriksa integritas file di mana resistensi terhadap collision tidak kritis. Misalnya, untuk memastikan file yang Anda unduh tidak rusak selama transmisi. Namun, untuk keamanan, seperti tanda tangan digital atau verifikasi keaslian, MD5 tidak direkomendasikan.

Apa bedanya hash dengan enkripsi?

Perbedaan utamanya adalah: Hashing adalah proses satu arah, tidak dapat di-reverse. Setelah data di-hash, Anda tidak bisa mendapatkan data asli kembali dari hash-nya. Sedangkan Enkripsi adalah proses dua arah, di mana data (plaintext) diubah menjadi data yang tidak dapat dibaca (ciphertext) menggunakan kunci, dan dapat dikembalikan ke plaintext menggunakan kunci yang sama atau berbeda (tergantung jenis enkripsi).

Mengapa tidak bisa di-reverse engineering hash menjadi password asli?

Fungsi hashing dirancang untuk menjadi “fungsi satu arah”. Ini menggunakan operasi matematika yang menghancurkan informasi sehingga data asli tidak bisa direkonstruksi. Bayangkan Anda mencampur semua bahan kue menjadi satu adonan; sangat sulit untuk memisahkan kembali telur, tepung, dan gula secara individual dari adonan tersebut.

Apakah ada kemungkinan dua password berbeda menghasilkan hash SHA256 yang sama?

Secara teoretis, ya, ini disebut collision. Namun, dengan SHA256, probabilitas terjadinya collision sangatlah rendah sehingga secara praktis dianggap tidak mungkin terjadi dalam skenario nyata dengan kekuatan komputasi saat ini. Jumlah kemungkinan hash SHA256 (2^256) jauh, jauh lebih besar daripada jumlah atom di alam semesta.

Algoritma hashing terbaik untuk password saat ini apa?

Saat ini, Argon2 adalah yang paling direkomendasikan. Disusul oleh Bcrypt dan Scrypt. Ketiga algoritma ini dirancang khusus untuk password hashing dengan mempertimbangkan resistensi terhadap serangan brute-force dan rainbow table, serta memungkinkan konfigurasi parameter untuk menyesuaikan tingkat keamanan dan performa.

Kesimpulan

Memahami cara kerja password hash (MD5/SHA256) bukan hanya sekadar pengetahuan teknis, melainkan investasi penting dalam keamanan digital kita. Kita telah melihat bagaimana MD5 yang dulu berjaya kini usang, dan bagaimana SHA256 serta algoritma modern seperti Bcrypt, Scrypt, dan Argon2 menjadi garda terdepan perlindungan password.

Ingatlah bahwa keamanan adalah proses berkelanjutan. Dengan menerapkan salt dan iterasi, kita tidak hanya melindungi password dari peretas, tetapi juga dari ancaman masa depan. Pengetahuan ini memberdayakan Anda untuk membuat keputusan yang lebih aman, baik sebagai individu maupun sebagai pengembang sistem.

Sekarang Anda telah dibekali dengan pemahaman yang mendalam. Jangan ragu untuk mengaplikasikan prinsip-prinsip ini dalam setiap aspek digital Anda. Jika Anda adalah pengembang, mulailah beralih ke algoritma hashing password modern seperti Argon2 dan pastikan implementasinya sudah benar. Keamanan digital Anda ada di tangan Anda!

Pos Terkait

Informatif
Cara update firmware router untuk keamanan
Informatif
Apa itu Power BI? Dashboard bisnis Microsoft
Informatif
Apa itu Sniffing jaringan?
Informatif
Cara visualisasi data dengan Tableau Public
Informatif
Apa itu Kaggle? Tempat cari dataset gratis
Informatif
Apa itu Steganography? Menyembunyikan pesan dalam gambar

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Baca Juga