Seperti yang sudah kita ketahui, PHPMaker memiliki pilihan (opsi) untuk menentukan apakah Password (Kata Sandi) yang Anda gunakan untuk Login ke Aplikasi Web yang dihasilkan olehnya akan disimpan dalam format enkripsi satu arah MD5. Selain itu, PHPMaker juga menyediakan pilihan Case-Sensitive yang berguna untuk menyamarkan mereka yang hendak melakukan Login dengan metode bruce-attack.
Jika Anda menggunakan Password dalam format MD5 (enkripsi hash satu arah bawaan MySQL) dan juga dalam bentuk Case-Insensitive (tidak menggunakan fitur Case-Sensitive di PHPMaker), maka PHPMaker akan selalu mengkonversi Password tersebut terlebih dulu ke huruf kecil semua, baru setelah itu diacak menggunakan enkripsi satu arah MD5.
Akibatnya, Anda harus memberitahukan ke Pengguna Aplikasi Web Anda untuk menggunakan Kata Sandi dengan huruf kecil semua, karena sekalipun mereka menggunakan kombinasi antara huruf besar dan kecil, maka itu menjadi tidak ada artinya sama sekali. Sementara yang kita ketahui, Kata Sandi yang baik harus mengandung (minimal) kombinasi antara huruf kecil dan besar.
Oleh karena itu, sangat sangat disarankan agar Anda selalu mendorong Pengguna Aplikasi Web Anda untuk menggunakan Kata Sandi yang kuat. Kata Sandi yang kuat berarti harus mengandung kombinasi antara huruf besar, kecil, angka, dan karakter simbol. Lalu apa kaitannya dengan PHPMaker?
Kaitannya dengan PHPMaker adalah, Anda sebagai Web Developer harus mengaktifkan fitur Case-sensitive password yang terdapat di dalam menu tab Security -> Advanced -> User Login Options -> Password dari project PHPMaker Anda. Alasannya simpel: Anda tidak perlu mengubah Password tersebut terlebih dulu ke huruf kecil sebelum PHPMaker mengenkripsinya ke dalam bentuk MD5.
Jika fitur Case-sensitive password ini tidak Anda aktifkan dari project PHPMaker (artinya Anda menggunakan Kata Sandi yang Case-insensitive), maka Pengguna Aplikasi Web Anda akan selalu gagal Login. Penyebabnya karena secara standar Aplikasi Web Anda akan membandingkan Kata Sandi yang disimpan di Database dengan hasil enkripsi satu arah MD5 yang sebelumnya sudah diubah ke dalam format huruf kecil semua. Jadi, hal ini akan selalu menyebabkan gagal login.
Mengenai hal ini PHPMaker sudah mengingatkan Web Developer melalui komentar yang ditambahkan sebelum konstanta di file konfigurasi ewcfg10.php (PHPMaker versi 10):
/** * Password (MD5 and case-sensitivity) * Note: If you enable MD5 password, make sure that the passwords in your * user table are stored as MD5 hash (32-character hexadecimal number) of the * clear text password. If you also use case-insensitive password, convert the * clear text passwords to lower case first before calculating MD5 hash. * Otherwise, existing users will not be able to login. MD5 hash is * irreversible, password will be reset during password recovery. */
Jadi, sekali lagi, Anda sebagai Web Developer sangat disarankan untuk selalu mengaktifkan (enable) dua fitur berikut dari menu tab Security -> Advanced -> User Login Options -> Password di project PHPMaker, demi keamanan akun Pengguna di Aplikasi Web Anda:
– MD5 password
– Case-sensitive password
Tinggalkan Balasan