Ngomongin password sekarang kayak ngomongin kunci rumah kalau cuma pakai gembok murah, tinggal satu tendangan bisa jebol.
Nah, biar lo makin paham gimana para attacker (dan juga pentester) bisa ngetes seberapa kuat password lo, kita akan bahas Hashcat dari A sampai Z.
Siap-siap, karena lo bakal tahu kenapa “P@ssw0rd123” itu sama aja kayak ngasih kopi gratis ke hacker.
Apa itu Hashcat?
Hashcat adalah tool open-source super cepat buat cracking hash password.
Dikembangkan dari proyek “oclHashcat-plus”, Hashcat sekarang jadi Swiss-army knife para red team, bug hunter, dan security researcher buat ngecek apakah password yang tersimpan di database sudah cukup kuat atau belum.
Singkatnya: lo ngasih hash, Hashcat nebak plaintext-nya pakai berbagai teknik.
Kenapa Bisa Secepat Itu?
Hashcat manfaatin GPU (ya, VGA buat main game itu) yang punya ribuan core untuk ngebrute-force secara paralel.
CPU cuma punya core puluhan, tapi GPU? Bisa ratusan sampai ribuan.
Hasilnya: perbandingan kecepatan bisa 50-100 kali lipat.
Cara Kerja Hashcat (Step-by-Step)
1. Input Hash
Lo mulai dengan file hash bisa SHA-1, bcrypt, NTLM, WPA-PMKID, dan 300+ algoritma lainnya.
Contoh file hash: 5d41402abc4b2a76b9719d911017c592
Itu hash MD5 dari kata “hello”.
2. Pilih Mode Serangan
– Straight (Dictionary) → pakai wordlist.
– Combination → kombinasi dua wordlist.
– Brute-force → coba semua karakter sesuai pattern.
– Hybrid → gabungan wordlist + brute-force.
– Rule-based → wordlist + rules (misalnya ubah ‘a’ jadi ‘@’).
– Mask Attack → kayak brute-force tapi lebih pintar, lo tentukan pola (misalnya `?u?l?l?l?d?d?d` untuk format Huruf besar-kecil-kecil-kecil-Angka-Angka-Angka).
3. Atur Rules & Wordlist
Lo bisa pakai rockyou.txt (14 juta password populer) atau custom wordlist kantor sendiri.
Tambahkan rules “best64.rule” biar Hashcat nambah variasi kayak menambahkan tahun, simbol, dan kapitalisasi.
4. Benchmark & Optimasi
Jalankan `hashcat -b` buat lihat kecepatan GPU lo.
Radeon RX 6700 XT bisa nyentuh 30 GH/s untuk MD5, tapi turun drastis kalau bcrypt karena faktor cost.
Tips:
– Workload `-w 3` atau `-w 4` buat maksimal speed (tapi laptop jadi mesin pendingin kamar).
– `–increment` biar Hashcat mulai dari 1 karakter terus naik, hemat waktu kalau lo gak tahu panjang password.
5. Crack & Output
Setelah nemu plaintext, Hashcat otomatis nulis ke file `–outfile`.
Contoh hasil:
5d41402abc4b2a76b9719d911017c592:hello
Tinggal lo analisa: kalau passwordnya “hello”, berarti user harus digalakkan ganti password plus enable MFA.
Hashcat bukan sekadar tool “jahat”, tapi kaca pembesar buat lihat seberapa rapat password yang kita pakai sehari-hari.
Dengan memahami cara kerjanya, lo bisa balik lagi ke tim internal dan bilang: “Team, kita perlu policy 14 karakter plus MFA, soalnya Hashcat bisa jebol 8 karakter alfa-numerik dalam hitungan jam.”