Apakah Semua Password di SSO UGM Tersimpan dalam PLAINTEXT?!?!

Ini adalah artikel pertamaku di blog UGM, aku harap aku dapat menulis ke depannya mengenai perjalananku sebagai mahasiswa dan menyampaikan kritik dan saran mengenai fasilitas UGM di blog ini.

Aku merasa senang ketika diterima di UGM  karena bisa flexing bikin blog pake domain kampus hehe fasilitasnya banyak, dekat dengan rumah orang tua, dan juga berada di Yogyakarta. Aku mengambil prodi Sarjana Terapan Teknologi Rekayasa Perangkat Lunak sebagai prodiku pada masa belajarku ini. Tentunya karena aku punya passion yang sangat besar di bidang ini.

Melihat banyak fasilitas yang disediakan oleh UGM, membuatku merasa senang apalagi ada GDrive unlimited. Keliling-keliling web UGM, eh, ketemu Ditmawa, mataku terpana pada lomba keaktifan blog UGM yang ditulis di sana, hadiahnya pun lumayan, sangat tertarik buat ikut, apalagi dulunya aku seorang blogger pengejar adsense.

Tiba-tiba senang dan kecewa

Dengan semangat aku langsung membuat blog ke web.ugm.ac.id, saat page sudah terbuka, aku pun kebingungan karena tidak ada kolom untuk register, aku pikir dalam hati ah paling pakai SSO UGM 😉. Ternyata benar saja, saat aku masukkan akun SSO UGMku, dashboard WordPress pun terbuka, akupun senang. TETAPI, tiba-tiba aku dapat email di ugmail.

Email
APAH, DARIMANA DIA TAU PASSWORD SSO KU :'(

Password SSO ku tertulis di sana :(. Pada saat pertama melihat email itu, membuatku berpikiran password yang disimpen database SSO semuanya pakai plaintext ya? Padahal harusnya kan dihash dulu 🙁. Untuk orang yang awam dengan teknologi, kayanya cukup tau bahayanya aja, jadi gini bahaya dari menyimpan password di database dalam bentuk plaintext adalah kalau database UGM sampai dibobol oleh peretas (baca: hekel), yasudah semua password dari ujung rektor sampai para maba 2020 terlihat semua dengan mudahnya bagaikan kamu swipe-swipe di Instagram pas stalking liat feed Instagram.

Melihat dari perspektif lain

MUNGKIN SAJA, BISA JADI, semua password di SSO UGM tersimpan dalam plaintext, tetapi BISA JADI juga password di SSO UGM tersimpan dalam hash  kalau ternyata password yang mereka tulis di email yang tadi aku terima hanyalah mengambil dari form login web.ugm.ac.id/wp-admin.

Aku pribadi belum tahu apa yang sebenarnya terjadi di dalam SSO UGM, tapi aku pikir sistem yang mengirim password SSO UGM ke email kita padahal kita sudah tahu tentang passwordnya adalah useless dan malah memunculkan berbagai ancaman keamanan data.

Aku harap suatu saat nanti pos ini bisa dilihat oleh tim DSDI 🙂

Punya opini tentang pos ini? Boleh banget tulis di komentar 😀

Leave a Reply

Your email address will not be published.