Mengungkap Kata Sandi dengan Tangan Kosong I: Reveal Password pada Web Browser
Ditulis pada Senin, 6 April 2009 23:54:05 | Dibaca sebanyak : 1130 kali
Pernah dengar password revealing? Atau teknik unmask password? Nah, kalau udah, mulai sekarang berhati-hatilah menggunakan fasilitas untuk menyimpan password yang biasanya disediakan oleh aplikasi. Bahkan, pada beberapa kasus, kita dapat me-reveal password yang tersimpan dengan tangan kosong lho. Yup, dengan tangan kosong. Gak percaya? Berikut dua contoh sederhana Reveal Password yang kuketahui.
Reveal Password pada Web Browser
Cukup bermodalkan javascript yang sudah terintegrasi dengan web browser, kita bisa melihat karakter yang tersembunyi di balik asterisk key - karakter yang digunakan untuk mewakili karakter password, yang biasanya ditampilkan sebagai titik atau bintang. Contohnya, dengan menggunakan sebuah fungsi yang ditulis dalam javascript berikut ini:
function unmask(){
pass=document.getElementsByTagName("input");
for(i=0;i<pass.length;i++)
if(pass[i].type=="password")
pass[i].type="text";
}
Saat kita mengunjungi suatu website yang memerlukan login, biasanya web browser - katakanlah kita menggunakan FireFox - akan menawarkan apakah kita akan menyimpan password untuk website tersebut? Jika iya, maka username/email yang kita gunakan untuk login ke website tersebut akan disimpan bersama dengan passwordnya. Untuk melihat daftar password yang tersimpan, klik menu Tools => Options..., pada tab Security, klik tombol Saved Passwords. Bila kita tidak menggunakan master password, maka kita dapat langsung melihat daftar password yang tersimpan.
Andaikan kita pergi ke warnet, dan membuka friendster mobile lewat FireFox, dan menemui halaman login yang telah diisikan oleh FireFox yang baik hati seperti gambar berikut ini:
Nah, dengan hanya menggunakan bantuan script di atas, kita bisa membaca apa sih passwordnya? Bagaimana caranya? Gampang. Pertama, pastikan javascript di browser sudah enable (dicari sendiri ya settingnya, hehehe). Kemudian ubah fungsi javascript di atas menjadi satu baris, trus tambahkan kata javascript: di depannya, dan perintah eksekusi fungsi itu di belakangnya. Jadinya kurang lebih kayak gini:
Trus, copy-paste script yang udah satu baris itu ke address bar. Terakhir tekan enter deh. Dan semua password dapat terbaca. Lebih jelasnya, lihat gambar berikut:
Sebenarnya FireFox sudah memberikan fitur "Use a master password". Dengan memanfaatkan fitur ini, maka informasi login (username & password) tidak akan langsung diisikan ke dalam textbox. Kita akan diminta untuk memasukkan master password terlebih dahulu. Begitu juga kalau kita ingin melihat daftar password yang telah disimpan. Berikut contoh dialog box yang meminta kita memasukkan password:
Namun, walau sudah menggunakan master password sekalipun, kita seharusnya tetap tidak boleh merasa tenang. Mengapa? Karena, setelah kita memasukkan master password, maka FireFox tidak akan meminta master password lagi untuk sesi browsing (paling tidak sampai kita menutup browser). Bingung? Hehe, maksudnya kalau kita browsing website yang memerlukan login, maka FireFox akan langsung mengisikan username dan password untuk website tersebut, tanpa meminta master password lagi. Kok gitu sih? Ya karena kita dianggap telah ter-autentikasi, dan kayaknya repot kalo masukkin master password terus-menerus. Malah jadi ribet dong, haha.
Nah, misal kita sedang hotspotan bareng temen-temen di kampus, trus kita udah mengetikkan master password, trus kita pergi sebentar, n temen kita pakai laptop kita (yah, sebenarnya kata kita kurang tepat. Kapan ku punya laptop? T_T), trus buka friendster.com. Taraa..., email n password kita udah ditulisin FireFox yang baik hati. Kalau temen kita login pake akun kita, n rewo-rewo akun kita sih, gak papa. Misal ubah profil dengan hal-hal porno, komen ke temen dengan kata-kata cabul, sampai ubah password atau emailpun, masih mending,
Wah, kayak gitu masih mending? Yup, karena masih ada yang lebih menghawatirkan. Yaitu kalau dia tahu email n password kita, trus dia bisa login kapan saja menggunakan akun kita. Walau dia tidak melakukan hal yang bersifat merusak, n tidak merugikan kita secara langsung, namun justru ketidaktahuan kita tentang kenyataan inilah yang justru lebih bahaya. Bisa saja dia login pakai akun kita, trus membaca pesan dari pujaan hati kita yang sifatnya rahasia, dan masih banyak lagi. Nah lo, mau pilih yang mana?
Buat live demonya, silakan ketikkan password kamu di box berikut, n copy paste script di atas di address bar. Taraa... Kalau gak bisa, silakan beri komentar ya.
Ferry pada Minggu, 21 Juni 2009 10:01:07 Gue mau tanya.... gimana y cara membuka kata sandi komputer yang kita tidak ketahui ??? kasih tau donkkkkk..... tips'y !!!!
rudy-pg pada Jum'at, 7 Agustus 2009 13:42:38 Maaf mas, saya tidak mendalami ilmu hitam, hehe,
muti pada Rabu, 12 Agustus 2009 21:07:06 nanya dong...gimana caranya biar javascript bisa dibaca disemua browser..gw nemuin masalah neh...aplikasi yang gw jalalnin g bisa dibaca difirefox tapi di IE bisa
rudy-pg pada Kamis, 13 Agustus 2009 18:45:57 Owh, itu mungkin script yang pake fitur ie, misal activex, directx, dan semacamnya, yang notabene emang buatan microsoft, dan sudah terintegrasi dengan windows.
sehingga belum tentu browser lain, misal firefox mempunyai fasilitas untuk mengakses fitur tersebut.
dan cara coding di ie agak beda ama di firefox. bisa tolong kirimkan contoh scriptnya ke supermie@rudyhartadi.web.id? terima kasih.
Murni pada Rabu, 9 Desember 2009 14:19:11 Gmn sich cara mengubah password angka menjadi bintang agar tdk diketahui password kita tersebut???
Makasih atas jawabannya.........
rudy-pg pada Minggu, 17 Januari 2010 23:20:04 Kalau pada aplikasi, biasanya sudah secara otomatis password yang kita ketikkan akan dimask menjadi bintang atau titik hitam. Mengenai cara yang mbak maksudkan, saya kurang mengetahuinya. Maaf. Terima kasih atas komentarnya.
triy pada Kamis, 24 Desember 2009 02:22:18 gimana cih,bikin email n kata sandi agar valid
rudy-pg pada Minggu, 17 Januari 2010 23:11:15 Yang pasti harus sesuai dengan aturan yang digunakan oleh situs tersebut. Sebenarnya tidak ada aturan yang pasti. Tapi best practicenya alamat email hanya memuat karakter alpanumerik, underscore, dan titik. Sedang untuk password: minimal 8 karakter, memuat karakter alpanumerik dan simbol. Semoga membantu. Terima kasih.
aldi pada Minggu, 6 Juni 2010 21:28:43 maz arti makna kata tangan kosong & tangan turun itu apa ?
oddie pada Minggu, 13 Juni 2010 10:22:40 mau nanya mas, gmn caranya kembaliin kotak masuk dari email lama saya ya? email lama saya yahoo juga tp sudah 5 bulan tidak sign in karna lupa password..tp kmrin dibantu teman, emailnya sudah bisa sign in lagi konfirmasi ganti password..cuma kota masuknya sudah ga ada lagi...biasanya kan kalo kita pakai facebook setiap kegiatan kita d fb kebaca di kotak masuk mas...tp ko gak ada salinan-salinannya ya? mohon bantuannya..
wawan pada Minggu, 8 Agustus 2010 12:01:48 mas saya sudah set master password di firefox tetapi saya terganggu karena bila ingin menyimpan password pasti ditanyain master password dulu baru ada pertanyaan mau disimpan apa nggak.
Bagaimana melewati permintaan master passwrd ketika ingin menyimpan password namun password tetap terlindungi dengan master password?
Recent Comments
kiki: ada yang tau ga cara merubah thema lg kp500 mohon ... toni: bos,ane kan br donlot opera mini untuk nokia 9300.... rijal: iya nie ... pertanyaan saya juga sama kaya prtanya... nesa ankho: mas cra masukin tema ke hp e63 gmna sih caranya,,
... risal: sy punya Laptop ACER ASPIRE 5583NWMXMI
tp tidak b... BadBoyz: cara mengubah tipe sis ke jar lewat hp nokia 5130 ... ravika: Kenapa copy game pada MMC tidak terbaca pada nokia... budhi: saya mo cari sms yang dihapus dinokia e63 heri: mas minta tolong solusi utk laptop temen saya,wakt... arifin gani: yuliadi
kalau bilangan prima dari1-100 yang mana y...
