PEJABAT PELAJARAN DAERAH HULU LANGAT -

Berdasarkan pemantauan, PRISMA mendapati kebanyakan kes-kes insiden berlaku apabila kata-laluan berikut digunakan:

• tiada kata-laluan
• kata-laluan adalah sama dengan akaun pengguna
• 1
• 123
• abc123
• (akaun pengguna)123
• (nama sistem)123
• putrajaya

Selain dari tidak memerlukan pengetahuan teknikal yang tinggi, terdapat pelbagai perisian boleh digunakan bagi tujuan serangan bruteforce terhadap kata-laluan.  Antara perisian yang boleh digunakan adalah seperti berikut:


1. THC-Hydra
2. Brutus

Kedua-dua contoh perisian ini boleh digunakan untuk melakukan serangan bruteforce terhadap kata-laluan secara jarak-jauh terhadap akaun pengguna sistem operasi berasaskan Microsoft Windows ataupun UNIX.  Ia juga boleh digunakan terhadap mekanisme pengenalan dan pengesahan pengguna (authentication) yang terdapat pada laman web agensi.  PRISMA mendapati bahawa perisian seperti ini, dan juga perisian lain seperti di laman web URL http://sectools.org/crackers.html telah digunakan secara meluas.

Bagi mengatasi masalah ini, agensi adalah dinasihatkan untuk melaksanakan cadangan pengukuhan berikut:

1. Membangunkan dan menguatkuasakan polisi pengunaan kata-laluan jika tiada;
2. Menganjurkan program kesedaran terhadap kumpulan sasaran di agensi dengan menekankan ancaman yang berlaku jika kata-laluan mudah digunakan;
3. Memastikan semua aplikasi dan sistem operasi yang hendak digunakan atau dibangunkan dilengkapi proses pengesahan dan pengenalan.  Perkhidmatan yang tidak mengunakan proses ini seperti memindahkan fail secara “anonymous” (Anonymous FTP) adalah tidak digalakan;
4. Memastikan sistem yang pada asal pemasangannya tidak mempunya kata-laluan, atau menggunakan kata-laluan asal pembekal ditukar dengan kata-laluan yang sukar serta-merta;
5. Penyelenggara sistem boleh mengunakan perisian yang telah disebutkan sebelum ini untuk menguji kata-laluan pengguna; dan
6. Menyelengara sistem pengenalan dan pengesahan pada sistem yang terlibat bagi menguatkuasakan polisi pengunaan kata-laluan yang dibangunkan.  Antaranya adalah seperti menguatkuasakan polisi bagi mengarahkan pengguna untuk menukar kata-laluan pada setiap 90 hari (password aging) dan menggunakan kata-laluan yang sukar diteka (password complexity).

Pembangunan polisi dan juga program kesedaran perlu menekankan pengunaan kata-laluan yang sukar seperti:

1. Menggunakan kombinasi huruf besar, kecil, aksara symbol dan nombor
2. Sekurang-kurangnya 8 hingga 12 aksara
3. Perkataan tidak terdapat di dalam kamus atau perkataan-perkataan yang biasa digunakan
4. Tidak berkaitan dengan maklumat peribadi seperti nombor kad pengenalan, pendaftaran kereta, tarikh lahir dan nombor rumah.

Kata-laluan yang digunakan pula perlu dihafal, bukan dicatatkan atau ditampal pada tempat-tempat tertentu.  Dengan itu, pengguna perlu memastikan kata-laluan tersebut juga mudah diingat walaupun sukar untuk diteka.

Bagi tujuan menguatkuasakan polisi kata-laluan, latihan perlu diberikan secukupnya pada penyelenggara sistem di agensi untuk mempelajari aspek pengukuhan di sistem operasi ataupun aplikasi yang digunakan.

Selanjutknya, aplikasi yang dibangunkan sendiri ataupan oleh pembekal juga perlu dilengkapi dengan modul bagi proses pengenalan dan pengesahan ini.  Bagi aplikasi yang dibangunkan oleh pembekal, terma-terma dan syarat seperti ini perlu dimasukan kedalam kontrak yang bakal ditandatangani oleh kedua-dua pihak.