Close

Non Member

fitur user management masih terbatas untuk client kami saja. Fitur registrasi untuk umum akan dibuka secepatnya.

lock and key

Sign in to your account.

Account Login

Manipulasi Enkripsi PasswordManipulasi enkripsi password MD5 ke SHA1 Melakukan manipulasi MD5 hash seolah-olah menjadi sebuah SHA1 hash.Diposting di Tutorials - 28 Jul 2013 23:28:13

Manipulasi Enkripsi Password

Sampai saat ini, banyak CMS telah mengimplementasikan / mengembangkan menggunakan hash dan salt untuk metode penyimpanan password pada database. Namun masih banyak aplikasi website lainnya yang masih menggunakan fungsi MD5/SHA1 hash saja.

MD5 / SHA1 itu sendiri banyak dirasa kurang aman. Karena begitu populernya digunakan maka banyak yang menggunakan brute direktori list hash sampai ke tingkat yang lebih kompleks yaitu rainbow table. Maka tidak heran plain text dari hash password-password umum dapat dengan mudah didapatkan.
Misalnya admin:21232f297a57a5a743894a0e4a801fc3 , password:5f4dcc3b5aa765d61d8327deb882cf99 , dan lain sebagainya.

Kali ini saya ingin sedikit melakukan manipulasi MD5 hash menjadi seolah-olah sebuah SHA1 hash.

Seperti yang kita ketahui bahwa MD5 hash memiliki karakteristik hexadecimal sepanjang 32 karakter. Sedangkan SHA1 memiliki karakteristik hexadecimal sepanjang 40 karakter.

md5 = ^[a-f0-9]{32}
sha1 = ^[a-f0-9]{40}

maka kita perlu menambahkan lagi hexadecimal sepanjang 8 karakter ke MD5 hash.

random code = ^[a-f0-9]{8}

fungsi php di bawah ini yang nanti akan kita gunakan untuk menciptakan karakter acak.

function randomCode($length=10) { $chars = 'abcdef0123456789'; $randomString = ''; for ($i = 0; $i < $length; $i++) $randomString .= $chars[rand(0, strlen($chars) - 1)]; return $randomString;
}

kemudian kita buat fungsi lagi untuk melakukan 'manipulasi' password

function customPasswd ( $action="check", $plain=0, $hash=0 ) {	if ( $action == "check" ) {	if ( !preg_match('/^[a-f0-9]{40}$/i', $hash) )	return false;	$split = str_split($hash, 16);	$randomCode = str_split($split[1], 8);	$newPass = md5($plain . $randomCode[0]);	$split2 = str_split($newPass, 16);	$newPwd = $split2[0] . $randomCode[0] . $split2[1];	return $newPwd == $hash ? true : false;	}	else {	$randomCode = randomCode(8);	$hash = md5($plain . $randomCode);	$split = str_split($hash, 16);	$hash = $split[0] . $randomCode . $split[1];	return $hash;	}	return FALSE;
}

Dari fungsi tersebut, dapat digunakan untuk menggenerate password dan melakukan pengecekan password sesuai dengan metode manipulasi password yang telah kita buat.

Sebelumnya saya akan mencoba menjelaskan bagaimana berjalannya fungsi tersebut.

Nilai default :
$action = "check" ( metode yang digunakan )
$plain = 0 ( plain text password )
$hash = 0 ( hasil hash password )

Generate Password

Contoh penggunaan :

$password = customPasswd('generate', 'passwordnya' ); 

Kita pelajari terlebih dahulu metode generate passwordnya yang berada pada block else { }

else {	$randomCode = randomCode(8);	$hash = md5($plain . $randomCode);	$split = str_split($hash, 16);	$hash = $split[0] . $randomCode . $split[1];	return $hash;
}

Dimana :

$randomCode = randomCode(8);

Nilai yang nantinya kita ditambahkan dibelakang plain password yang kemudian kita enkripsi dengan MD5. (string 8 char length)

$hash = md5($plain . $randomCode);

$hash diatas adalah hasil MD5 dari plain text password + kode random yang tadi kita ciptakan.

$split = str_split($hash, 16);
$hash = $split[0] . $randomCode . $split[1];

Tepat setelah karakter ke 16 pada hasil MD5 hash, kita sisipkan kode random yang sebelumnya sudah kita siapkan.
Misalnya kita mendapatkan nilai kode random adalah '77979b20', sedangkan plain text password adalah 'rahasia'
Maka hasil hash pertama ( rahasia77979b20 ) adalah dc236dbb5b9d3f6f672957167a5375d2
Setelah itu dari hasil hash dc236dbb5b9d3f6f672957167a5375d2 kita sisipkan kode random tadi setelah karakter ke 16, sehingga menjadi : dc236dbb5b9d3f6f77979b20672957167a5375d2

nilai itulah yang kita simpan pada database.

Check Password

Contoh penggunaan :

if ( customPasswd('check', 'password', '22d1df7893539061bdee309156ce1530b913a6f6' ) ) {	echo 'Password valid' . "\n";
}
else {	echo 'Password invalid' . "\n";
}

Untuk metode pengecekan passwordnya, lihat pada block if ( $action == "check" ) { }

if ( !preg_match('/^[a-f0-9]{40}$/i', $hash) )	return false;
$split = str_split($hash, 16);
$randomCode = str_split($split[1], 8);
$newPass = md5($plain . $randomCode[0]);
$split2 = str_split($newPass, 16);
$newPwd = $split2[0] . $randomCode[0] . $split2[1];
return $newPwd == $hash ? true : false;

Dimana :

if ( !preg_match('/^[a-f0-9]{40}$/i', $hash) )	return false;

Digunakan untuk pengecekan format password ( karena sebelumnya sudah kita tentukan untuk memanipulasi sehingga mirip dengan SHA1, maka regular expression yang digunakan adalah [a-f0-9]{40} )
Jika format password dirasa benar, maka kita ambil nilai kode random yang kita sisipkan :

$split = str_split($hash, 16);
$randomCode = str_split($split[1], 8);

Setelah itu kita lanjutkan ke proses berikutnya dengan melakukan metode yang sama saat kita menggenerate password. Cocokan hasilnya dengan yang ada pada database. Jika nilainya sama, maka passwordnya valid, jika tidak password tidak valid.

$newPass = md5($plain . $randomCode[0]);
$split2 = str_split($newPass, 16);
$newPwd = $split2[0] . $randomCode[0] . $split2[1];
return $newPwd == $hash ? true : false;

Tutorial MD5 dan SHA1 hanyalah sebuah contoh, dan peletakan kode random di tengah-tengah hash MD5 juga sebuah contoh. Anda dapat mengembangkan sesuai dengan kreatifitas masing-masing.

Komentar

comments powered by Disqus