Manusia pandai dalam beberapa hal, stapi tidak begitu pandai memilih kata sandi yang kuat dan aman. Laporan baru Security.org tentang strategi kata sandi mengungkapkan bagaimana manusia gagal dalam tugas dasar memilih dan menggunakan kata sandi yang kuat.
Salah satu cara manusia menunjukkan masalah mereka dengan kata sandi adalah dengan terus keengganan untuk menggunakan program manajemen kata sandi. Para ahli telah lama mengatakan bahwa password manager adalah kunci untuk membuat kredensial komputer dan jaringan lebih aman.
Namun penelitian Security.org menunjukkan bahwa hanya 12% pengguna yang memiliki password manager sebagai bagian dari rutinitas otentikasi aman mereka. Sebaliknya, mereka beralih ke metode yang kurang dapat diandalkan: 37% bergantung pada memori mereka sendiri untuk penyimpanan kata sandi sementara 20% dengan buku catatan.
Mengingat sistem pengambilan kata sandi berteknologi tinggi yang digunakan, mungkin tidak heran jika banyak pengguna memilih kata sandi yang kurang memiliki bobot keamanan yang memadai. Berdasarkan penelitian saat ini, berikut ESET akan menuturkan enam cara di mana pengguna mengabaikan tugas dasar membuat kata sandi yang aman.
Terlalu pendek
Untuk mengalahkan alat peretas kata sandi otomatis, lebih panjang berarti lebih baik. Tapi banyak profesional keamanan mengemukakan fakta bahwa 45% pengguna memiliki kata sandi yang tidak lebih dari delapan karakter. Hanya sekitar seperlima (22%) memiliki kata sandi yang panjangnya 12 karakter, atau lebih.
Pada tahun 2014, pakar keamanan Jonathan Lampe menerbitkan penelitian tentang penyimpanan kata sandi yang sangat besar di mana ia menemukan bahwa panjang kata sandi rata-rata hanya sedikit lebih panjang dari minimum yang disyaratkan oleh standar PCI-DSS (delapan karakter). Tampaknya pola kata sandi tidak berubah secara signifikan sejak saat itu: Panjang minimum akan menentukan panjang total kata sandi untuk sebagian besar pengguna. Jelas ini berbahaya bagi pengguna.
Terlalu sederhana
Menurut temuan security.org, “123456” tetap menjadi kata sandi paling populer. String ini menghasilkan kata sandi yang dapat dipecahkan secara instan, kata organisasi tersebut.
Banyak organisasi sekarang memiliki persyaratan untuk kata sandi yang mencakup hal-hal seperti huruf besar dan kecil, setidaknya satu angka, dan setidaknya satu karakter khusus. Meskipun demikian, Splashdata dan lainnya melaporkan bahwa kata sandi yang paling umum digunakan termasuk urutan angka sederhana, dan kata-kata seperti “password” dan “qwerty.”
Satu saran sederhana bagi pengguna adalah untuk menghindari kata sandi apa pun yang dapat diketik dengan menjalankan jari di sepanjang keyboard, apakah itu huruf atau angka secara berurutan. Saran lainnya adalah menghindari kata-kata dasar seperti “password“, “rahasia”, dan “admin.” Ketika ingin membuat kata sandi yang lebih kuat, sedikit imajinasi bisa sangat membantu.
Terlalu mudah ditebak
Meskipun kata sandi sederhana mudah diretas, kata sandi yang mudah ditebak dapat memberikan akses yang lebih mudah bagi penjahat. Apa yang dimaksud dengan kata sandi yang mudah ditebak? Nama jalan rumah, almamater perguruan tinggi, nama pasangan, apa pun yang dapat dengan mudah diketahui dan diketik oleh peretas berdasarkan informasi umum.
Kata sandi lain juga dapat dengan mudah ditebak. Baru-baru ini, seorang peneliti Belanda melaporkan mendapatkan akses ke akun Twitter Donald Trump dengan menggunakan “maga2020!” sebagai kata sandi. Berikut tipnya: Jika Anda (atau organisasi Anda) dikenal dengan slogan, jangan menggunakannya sebagai kata sandi.
Banyaknya pelanggaran informasi pribadi dalam beberapa tahun terakhir telah mempermudah peretas untuk mengumpulkan daftar kemungkinan komponen kata sandi yang jelas. Pengguna harus mempersulit pekerjaan peretas dengan menghindari kata-kata dan frasa yang mudah ditemukan dan mudah ditebak ini.
Terlalu tipikal
Pandemi merupakan hal paling mencolok di tahun 2020, jadi tidak terlalu mengejutkan jika security.org menemukan 14% pengguna menggunakan “COVID” sebagai kata sandi. Ini berarti bahwa peretas diberikan rezeki nomplok dalam situasi atau event teretntu karena kecenderungan orang menggunakannya sebagai kata sandi.
Di satu sisi, dapat dimengerti bahwa pengguna akan beralih ke kata-kata yang menarik untuk komponen kata sandi, terutama mengingat kebijakan yang memerlukan kata sandi baru secara teratur. Kuncinya, ketika berbicara dengan pengguna, adalah mendorong mereka untuk menjadikan kata-kata tipikal ini bagian dari kata sandi yang jauh lebih panjang dan lebih kompleks jika mereka ingin sekali menggunakannya.
Tidak Pribadi
Sikat gigi adalah sesuatu yang tidak boleh dipakai bersama-sama. Dalam keamanan siber, kata sandi harus memiliki status seperti sikat gigi, tetapi itu tidak menghentikan 25% orang membagikan kata sandi mereka dengan orang lain.
Mengapa orang berbagi kata sandi? Ini sering kali karena alasan kenyamanan: Saat memerlukan seseorang untuk melakukan salah satu tugas Anda saat sedang sibuk dengan hal lain. Dalam kasus tersebut, menyerahkan kredensial adalah cara yang sangat berisiko untuk menyelesaikan pekerjaan.
Sebuah pepatah lama mengatakan, “Dua orang bisa berbagi rahasia jika salah satu dari mereka meninggal.” Ini adalah cara yang gamblang untuk menunjukkan bahwa rahasia kehilangan elemen kerahasiaan begitu dibagikan kepada orang lain untuk alasan apa pun.
Terlupakan
Hanya karena pengguna memilih kata sandi yang mudah diingat, bukan berarti mereka akan benar-benar mengingatnya. Memori manusia yang lemah adalah salah satu alasan utama para pakar keamanan merekomendasikan password manager untuk semua pengguna. Menurut laporan security.org, Sekitar 12% pengguna benar-benar melakukannya, dengan 10% lainnya memanfaatkan fitur manajemen kata sandi di browser web mereka untuk tujuan yang sama.
Untuk seperlima pengguna, menulis sandi mereka di buku catatan fisik adalah sistem manajemen sandi pilihan. 12,5% lainnya telah menjadikan notebook mereka kebiasaan digital, menggunakan aplikasi catatan untuk penyimpanan kata sandi. Itu menempatkan “menuliskannya”, dalam satu bentuk atau lainnya, tepat di belakang 37% yang hanya mencoba mengingat semua sandi yang mereka gunakan untuk akun bisnis dan pribadi.
Inilah masalah dengan mengingat semua kata sandi: Kebanyakan manusia tidak bisa. Itu berarti menggunakan kembali kata sandi, dengan kata sandi yang sama yang digunakan untuk banyak akun, atau menggunakan semacam pola untuk kata sandi. Salah satu dari pilihan tersebut membuat peretas lebih mudah menggunakan satu kata sandi curian untuk memanfaatkan akses ke banyak akun dan meningkatkan kerusakan secara eksponensial.
Keamanan terbaik untuk akses melibatkan kata sandi yang kuat dan unik yang dikombinasikan dengan metode otentikasi dua faktor. Namun, hingga sebagian besar pengguna mengadopsi itu, kejadian yangs ama akan terus terjadi setiap tahunnya.