Langsung ke konten utama

Apakah Semua Password di SSO UGM Tersimpan dalam PLAINTEXT?!?!

Ini adalah artikel pertamaku di blog UGM, aku harap aku dapat menulis ke depannya mengenai perjalananku sebagai mahasiswa dan menyampaikan kritik dan saran mengenai fasilitas UGM di blog ini.

Aku merasa senang ketika diterima di UGM  karena bisa flexing bikin blog pake domain kampus hehe fasilitasnya banyak, dekat dengan rumah orang tua, dan juga berada di Yogyakarta. Aku mengambil prodi Sarjana Terapan Teknologi Rekayasa Perangkat Lunak sebagai prodiku pada masa belajarku ini. Tentunya karena aku punya passion yang sangat besar di bidang ini.

Melihat banyak fasilitas yang disediakan oleh UGM, membuatku merasa senang apalagi ada GDrive unlimited. Keliling-keliling web UGM, eh, ketemu Ditmawa, mataku terpana pada lomba keaktifan blog UGM yang ditulis di sana, hadiahnya pun lumayan, sangat tertarik buat ikut, apalagi dulunya aku seorang blogger pengejar adsense.

Tiba-tiba senang dan kecewa

Dengan semangat aku langsung membuat blog ke web.ugm.ac.id, saat page sudah terbuka, aku pun kebingungan karena tidak ada kolom untuk register, aku pikir dalam hati ah paling pakai SSO UGM 😉. Ternyata benar saja, saat aku masukkan akun SSO UGMku, dashboard WordPress pun terbuka, akupun senang. TETAPI, tiba-tiba aku dapat email di ugmail.

APAH, DARIMANA DIA TAU PASSWORD SSO KU :'(

Password SSO ku tertulis di sana :(. Pada saat pertama melihat email itu, membuatku berpikiran password yang disimpen database SSO semuanya pakai plaintext ya? Padahal harusnya kan dihash dulu 🙁. Untuk orang yang awam dengan teknologi, kayanya cukup tau bahayanya aja, jadi gini bahaya dari menyimpan password di database dalam bentuk plaintext adalah kalau database UGM sampai dibobol oleh peretas (baca: hekel), yasudah semua password dari ujung rektor sampai para maba 2020 terlihat semua dengan mudahnya bagaikan kamu swipe-swipe di Instagram pas stalking liat feed Instagram.

Melihat dari perspektif lain

MUNGKIN SAJA, BISA JADI, semua password di SSO UGM tersimpan dalam plaintext, tetapi BISA JADI juga password di SSO UGM tersimpan dalam hash  kalau ternyata password yang mereka tulis di email yang tadi aku terima hanyalah mengambil dari form login web.ugm.ac.id/wp-admin.

Aku pribadi belum tahu apa yang sebenarnya terjadi di dalam SSO UGM, tapi aku pikir sistem yang mengirim password SSO UGM ke email kita padahal kita sudah tahu tentang passwordnya adalah useless dan malah memunculkan berbagai ancaman keamanan data.

Aku harap suatu saat nanti pos ini bisa dilihat oleh tim DSDI 🙂

Punya opini tentang pos ini? Boleh banget tulis di komentar 😀

(Ini adalah arsip dari pos https://rafidaslam.web.ugm.ac.id/2020/09/07/apakah-semua-password-di-sso-ugm-tersimpan-dalam-plaintext/ )

Komentar

Postingan populer dari blog ini

Cara Belajar Bahasa Asing (Part 1): Dekati Realita Jauhi Abstraksi

Kadang ada teman yang bertanya tentang bagaimana caraku belajar bahasa asing. Sering kali kujawab spontan tapi selang beberapa jam berlalu ada saja hal yang teringat seharusnya kukatakan tapi lupa kukatakan pada saat menjawabnya. Artikel kali ini membahas tentang jawabanku untuk teman yang bertanya "gimana sih kamu belajar bahasa itu?" (meskipun mungkin niatnya cuma untuk small talk ). Hal ini aku lihat berlaku untuk hampir semua bahasa yang kupelajari (saat ini ada sekitar tiga bahasa asing yang sedang kuseriusi: Inggris, Jepang, Arab). Simak penjelasan berikut yak! Dekati realita (jauhi abstraksi) Pada saat belajar bahasa asing untuk pertama kalinya, banyak orang yang menggunakan translasi untuk mempelajari hal tersebut, misalnya "'cat' artinya 'kucing'". Tidak sepenuhnya salah, tetapi yang dikhawatirkan pada saat seseorang menggunakan teknik ini adalah mereka akan terpaku ke abstraksi bahasa perantaranya. Pertama-tama, kita harus mengerti untuk ap...

Cerita Dapat Kerja di Startup Luar

Artikel ini kubuat karena ada beberapa teman yang tanya tentang hal ini supaya lebih detail aja penjelasannya daripada ditulis di WhatsApp. Gimana kok bisa dapat kerjaan dari perusahaan luar? Kok bisa perusahaan percaya sama kamu? dan lain-lain. Bagian hikmah ada di bagian paling bawah. Cerita dimulai dari awal Agustus tahun 2022. Waktu itu karena ada keperluan untuk membantu ekonomi keluarga, sambil kuliah aku coba cari-cari penghasilan tambahan. Sebenarnya di waktu yang sama, sempat magang juga di komunitas open source di US, tapi waktu itu aku ngajuinnya kerja sukarela karena magang tersebut hanya untuk keperluan memenuhi kredit matakuliah. Lalu kucoba cari penghasilan tambahan yang cepat. Dulu sempat dapat lumayan dari AdSense blog dan channel YouTube semenjak masa SD akhir-SMP, tapi dari pengalaman, memang butuh waktu yang cukup lama dan kesabaran, tapi enaknya dari sini bisa dapat penghasilan pasif, dalam arti lain, meski ditinggal tidur sekalipun penghasilan tetap dapat. Pengh...

Umpama Ujian

Tidak ada namanya rezeki yang tertukar. Semuanya sudah ditulis. Sama juga dengan ujian. Tidak ada ujian yang tertukar. Yang dapat ujian paket A, ya dapat paket A. Terkadang aku berpikir tentang hidup ini sebagai sistem ujian paling sempurna. Kalau pernah main game competitive, pasti tahu apa itu matchmaking. Terkadang aku berpikir ini adalah sistem matchmaking paling sempurna. Sistem yang ujiannya selalu tepat sasaran. Dimana kita butuh perbaikan, di sana langsung kita diberikan ujian. Ujiannya juga tidak terlalu sulit maupun terlalu mudah, dalam kata lain seimbang. Ujiannya selalu menyesuaikan dengan tingkat kemampuan kita. Terkadang aku berpikir, rezeki yang diberikan kepada kita itu layaknya pulpen dan kertas pada saat kita mengerjakan ujian tulis. Kita harus mengerjakan ujian tersebut dengan menuliskan sesuatu pada kertas yang kosong. Kertas itu adalah waktu. Semua orang dapat jatah tinta pulpen dan lembaran kertasnya masing-masing. Ada yang dapat kertas banyak, dan tinta banyak. B...