Langsung ke konten utama

Apakah Semua Password di SSO UGM Tersimpan dalam PLAINTEXT?!?!

Ini adalah artikel pertamaku di blog UGM, aku harap aku dapat menulis ke depannya mengenai perjalananku sebagai mahasiswa dan menyampaikan kritik dan saran mengenai fasilitas UGM di blog ini.

Aku merasa senang ketika diterima di UGM  karena bisa flexing bikin blog pake domain kampus hehe fasilitasnya banyak, dekat dengan rumah orang tua, dan juga berada di Yogyakarta. Aku mengambil prodi Sarjana Terapan Teknologi Rekayasa Perangkat Lunak sebagai prodiku pada masa belajarku ini. Tentunya karena aku punya passion yang sangat besar di bidang ini.

Melihat banyak fasilitas yang disediakan oleh UGM, membuatku merasa senang apalagi ada GDrive unlimited. Keliling-keliling web UGM, eh, ketemu Ditmawa, mataku terpana pada lomba keaktifan blog UGM yang ditulis di sana, hadiahnya pun lumayan, sangat tertarik buat ikut, apalagi dulunya aku seorang blogger pengejar adsense.

Tiba-tiba senang dan kecewa

Dengan semangat aku langsung membuat blog ke web.ugm.ac.id, saat page sudah terbuka, aku pun kebingungan karena tidak ada kolom untuk register, aku pikir dalam hati ah paling pakai SSO UGM 😉. Ternyata benar saja, saat aku masukkan akun SSO UGMku, dashboard WordPress pun terbuka, akupun senang. TETAPI, tiba-tiba aku dapat email di ugmail.

APAH, DARIMANA DIA TAU PASSWORD SSO KU :'(

Password SSO ku tertulis di sana :(. Pada saat pertama melihat email itu, membuatku berpikiran password yang disimpen database SSO semuanya pakai plaintext ya? Padahal harusnya kan dihash dulu 🙁. Untuk orang yang awam dengan teknologi, kayanya cukup tau bahayanya aja, jadi gini bahaya dari menyimpan password di database dalam bentuk plaintext adalah kalau database UGM sampai dibobol oleh peretas (baca: hekel), yasudah semua password dari ujung rektor sampai para maba 2020 terlihat semua dengan mudahnya bagaikan kamu swipe-swipe di Instagram pas stalking liat feed Instagram.

Melihat dari perspektif lain

MUNGKIN SAJA, BISA JADI, semua password di SSO UGM tersimpan dalam plaintext, tetapi BISA JADI juga password di SSO UGM tersimpan dalam hash  kalau ternyata password yang mereka tulis di email yang tadi aku terima hanyalah mengambil dari form login web.ugm.ac.id/wp-admin.

Aku pribadi belum tahu apa yang sebenarnya terjadi di dalam SSO UGM, tapi aku pikir sistem yang mengirim password SSO UGM ke email kita padahal kita sudah tahu tentang passwordnya adalah useless dan malah memunculkan berbagai ancaman keamanan data.

Aku harap suatu saat nanti pos ini bisa dilihat oleh tim DSDI 🙂

Punya opini tentang pos ini? Boleh banget tulis di komentar 😀

(Ini adalah arsip dari pos https://rafidaslam.web.ugm.ac.id/2020/09/07/apakah-semua-password-di-sso-ugm-tersimpan-dalam-plaintext/ )

Label:

Komentar

Posting Komentar

Postingan populer dari blog ini

Nekat Ambil IELTS Academic

Suatu hari, aku dapat info dari temen kalo ada kesempatan research intern di luar. Sempet tertarik kayak biasanya, aku buka infonya, ternyata butuh syarat IELTS minimal 6.5. Dilihat-lihat tanggal pendaftaran akhirnya tinggal sekitar dua minggu lagi. Belum juga IELTS juga butuh waktu buat dapat sertifikatnya, sama belajarnya. Dulu sempet denger kalo sertifikasi bahasa Inggris hasilnya baru dapat setelah 1 bulanan. Ada pikiran waktu itu yang ngomong "Kayaknya waktunya ngga cukup", tapi selang beberapa lama kemudian ada pikiran lagi yang ngomong "Kalo semua hal di dunia ini gampang, pasti semua orang bakal sukses dong". Lanjut, baca-baca tentang IELTS. Ternyata yang computer based dia bisa dapat hasil dengan waktu yang lebih cepat, sekitar tiga sampai lima hari setelah tes berlangsung. Melihat saldo tabungan waktu itu alhamdulillah masih cukup (biaya IELTS waktu itu Rp.3.150.000 termasuk pajak). Pada hari itu juga langsung booking tes IELTS di Jogja (yang tempatnya di ...
6 komentar
Baca selengkapnya

Cerita Dapat Kerja di Startup Luar

Artikel ini kubuat karena ada beberapa teman yang tanya tentang hal ini supaya lebih detail aja penjelasannya daripada ditulis di WhatsApp. Gimana kok bisa dapat kerjaan dari perusahaan luar? Kok bisa perusahaan percaya sama kamu? dan lain-lain. Bagian hikmah ada di bagian paling bawah. Cerita dimulai dari awal Agustus tahun 2022. Waktu itu karena ada keperluan untuk membantu ekonomi keluarga, sambil kuliah aku coba cari-cari penghasilan tambahan. Sebenarnya di waktu yang sama, sempat magang juga di komunitas open source di US, tapi waktu itu aku ngajuinnya kerja sukarela karena magang tersebut hanya untuk keperluan memenuhi kredit matakuliah. Lalu kucoba cari penghasilan tambahan yang cepat. Dulu sempat dapat lumayan dari AdSense blog dan channel YouTube semenjak masa SD akhir-SMP, tapi dari pengalaman, memang butuh waktu yang cukup lama dan kesabaran, tapi enaknya dari sini bisa dapat penghasilan pasif, dalam arti lain, meski ditinggal tidur sekalipun penghasilan tetap dapat. Pengh...
Posting Komentar
Baca selengkapnya

Cara Belajar Bahasa Asing (Part 1): Dekati Realita Jauhi Abstraksi

Kadang ada teman yang bertanya tentang bagaimana caraku belajar bahasa asing. Sering kali kujawab spontan tapi selang beberapa jam berlalu ada saja hal yang teringat seharusnya kukatakan tapi lupa kukatakan pada saat menjawabnya. Artikel kali ini membahas tentang jawabanku untuk teman yang bertanya "gimana sih kamu belajar bahasa itu?" (meskipun mungkin niatnya cuma untuk small talk ). Hal ini aku lihat berlaku untuk hampir semua bahasa yang kupelajari (saat ini ada sekitar tiga bahasa asing yang sedang kuseriusi: Inggris, Jepang, Arab). Simak penjelasan berikut yak! Dekati realita (jauhi abstraksi) Pada saat belajar bahasa asing untuk pertama kalinya, banyak orang yang menggunakan translasi untuk mempelajari hal tersebut, misalnya "'cat' artinya 'kucing'". Tidak sepenuhnya salah, tetapi yang dikhawatirkan pada saat seseorang menggunakan teknik ini adalah mereka akan terpaku ke abstraksi bahasa perantaranya. Pertama-tama, kita harus mengerti untuk ap...
Posting Komentar
Baca selengkapnya