Meningkatkan keamanan Drupal melalui delay

Beberapa waktu yg lalu saya mendapati kartun dari XKCD yg menarik. Komik tersebut membahas salah satu sisi keamanan password, yaitu bagaimana kita memilih password. Tampak bahwa password yg singkat(walaupun penuh karakter rumit) akan jauh lebih mudah ditebak dengan metode brute force, dimana dia akan mencoba satu persatu kombinasi karakter yg ada di keyboard untuk menebak password pengguna. Namun sayangnya saat komik diatas ditulis asumsi tebakan masih dalam kisaran 1000 tebakan per detik, padahal dengan kekuatan prosesor saat ini angka tersebut sudah melambung jauh. Sebagai gambaran, sebuah prosesor Core 2 Duo bisa melakukan 32 juta tebakan per detik. Belum lagi jika kartu grafis ikut dikaryakan untuk ikut melakukan tebakan. Salah satu perangkat lunak mengklaim, bila prosesor standar digabungkan dengan kartu grafis tertentu bisa meningkatan kecepatan tebakan hingga 2 milyar tebakan per detik! @_@

 

Oleh karenanya sekarang kita akan beralih pada sisi keamanan password yg kedua yaitu dari bagaimana perangkat lunak menangani password, dalam konteks ini, Drupal. Salah satu alasan kenapa saya menyukai Drupal adalah perhatiannya pada keamanan. Di dalam Drupal sebenarnya sudah ada mekanisme yg dinamai Flood Control untuk mengatur seberapa banyak seorang user (atau cracker) dapat melakukan kesalahan login ke Drupal. Pada jumlah kesalahan tertentu maka IP tersebut akan diblok sampai batas waktu yg ditentukan. Lebih nyaman lagi, untuk Drupal 7 terdapat modul dengan nama serupa (Flood Control) untuk mengatur berapa kali sebuah IP bisa salah sebelum akhirnya diblok, dan kalaupun akhirnya diblok untuk batas waktu berapa lama. Bisa juga diatur bukan berdasarkan IP namun berdasarkan id User. Untuk anda yg masih menggunakan Drupal 6 tersedia juga modul Login Security. Adanya fitur2 ini mengakibatkan delay pada usaha peretasan (cracking), walaupun misalkan dg skenario diatas bisa dilakukan kalkulasi tebakan hingga 2 milyar tebakan/detik namun bila diatur tiap 3 kali salah login IP akan diblok maka kalkulasi super kencang tadi akan sia-sia. Jadi delay bisa menjadi cara yg cukup ampuh untuk memperlambat usaha pembobolan password.

Add new comment