Credit image: Freepix
Peretas Targetkan Password Manager Anda – Menurut studi tahun 2024, rata-rata pengguna internet kini memiliki sekitar 168 kata sandi untuk akun pribadi mereka, peningkatan besar sebesar 68% dalam empat tahun.
Mengingat risiko keamanan jika menggunakan kata sandi yang mudah ditebak atau berulang, password manager menjadi solusi vital, memungkinkan kita menyimpan dan memanggil kata sandi yang panjang, kuat, dan unik untuk setiap akun.
Namun, alat ini bukanlah solusi ajaib. Karena password manager secara harfiah memegang kunci menuju seluruh kehidupan digital kita, vault ini telah menjadi target populer bagi penjahat siber. Berikut adalah enam risiko potensial dan cara untuk memitigasinya.
6 Risiko Keamanan Utama pada Password Manager
Dengan mendapatkan akses ke kredensial yang tersimpan di password manager Anda, aktor ancaman dapat membajak akun Anda untuk melakukan penipuan identitas atau menjual akses tersebut kepada pihak lain.
1. Kompromi Kata Sandi Induk (Master Password)
Keindahan password manager adalah Anda hanya perlu mengingat satu kata sandi utama yang kuat untuk mengakses seluruh vault. Sayangnya, ini juga merupakan titik kegagalan tunggal (single point of failure).
Ancaman: Jika penjahat siber mendapatkan Kata Sandi Induk, mereka mendapatkan akses penuh ke seluruh akun Anda.
Ini bisa terjadi melalui serangan “brute-force” (alat otomatis mencoba kombinasi kata sandi berulang kali hingga berhasil), atau dengan mengeksploitasi kerentanan perangkat lunak.
2. Iklan Phising dan Scam
Aktor ancaman diketahui memposting iklan berbahaya di Google Search untuk memancing korban ke situs palsu yang dirancang untuk mencuri alamat email, Kata Sandi Induk, dan secret key Anda.
Ancaman: Iklan palsu ini terlihat sah dan dapat muncul di hasil pencarian teratas saat Anda mencari password manager Anda.
Domain situs phishing seringkali sangat mirip dengan domain aslinya (misalnya, the1password[.]com alih-alih 1password.com).
3. Malware Pencuri Kata Sandi
Penjahat siber mengembangkan malware khusus untuk mencuri kredensial dari password manager.
Ancaman: Peneliti ESET baru-baru ini menemukan upaya dari kelompok yang disponsori oleh negara Korea Utara, yang disebut “DeceptiveDevelopment.”
Mereka menggunakan malware “InvisibleFerret” yang memiliki perintah backdoor untuk menyaring data dari ekstensi browser dan password manager (termasuk 1Password dan Dashlane) melalui Telegram dan FTP.
Malware ini sering disebarkan melalui skema penipuan yang rumit, seperti proses wawancara kerja palsu.
|
Baca juga: Hacker Beraksi Secepat 18 Menit |
4. Pelanggaran Data Vendor Password Manager
Vendor password manager adalah target bernilai tinggi, namun mereka tidak luput dari kesalahan.
Ancaman: Pada tahun 2022, LastPass mengalami skenario terburuk ketika pencuri digital menyusupi laptop seorang insinyur untuk mengakses lingkungan pengembangan perusahaan.
Mereka mencuri kode sumber dan dokumen teknis, yang memungkinkan mereka mengakses cadangan data pelanggan. Data ini mencakup Kata Sandi Induk, daftar URL, nama pengguna, dan kata sandi pelanggan yang terenkripsi. Meskipun terenkripsi, hacker mampu melakukan serangan brute-force untuk membuka enkripsi tersebut.
5. Aplikasi Password Manager Palsu
Penjahat siber memanfaatkan popularitas password manager dengan menyebarkan aplikasi palsu yang dirancang untuk mencuri Kata Sandi Induk atau mengunduh malware pencuri informasi ke perangkat pengguna.
Ancaman: Bahkan toko aplikasi yang biasanya aman, seperti Apple App Store, pernah mengizinkan aplikasi password manager jahat diunduh oleh pengguna.
6. Eksploitasi Kerentanan (Vulnerability Exploitation)
Password manager pada dasarnya adalah software, dan software pasti memiliki kerentanan.
Ancaman: Jika penjahat siber berhasil menemukan dan mengeksploitasi bug pada perangkat lunak password manager itu sendiri, mereka dapat mengambil kredensial dari vault Anda.
Selain itu, mereka dapat menargetkan kerentanan pada plugin password manager untuk web browser atau bahkan sistem operasi perangkat Anda.
|
Baca juga: Kartel Hacker dan Kerugian Miliaran Rupiah |
Cara Mengamankan Penggunaan Password Manager Anda
Untuk melindungi diri dari ancaman di atas, terapkan langkah-langkah pencegahan berikut:
- Gunakan frasa sandi (bukan hanya kata sandi) yang panjang, unik, dan mudah Anda ingat (misalnya, empat kata yang dipisahkan oleh tanda hubung). Ini akan menyulitkan serangan brute-force.
- Ini adalah lapisan keamanan terpenting. Bahkan jika hacker mendapatkan kata sandi Anda, mereka tidak akan dapat mengakses akun tanpa faktor kedua (kode dari aplikasi otentikasi atau SMS).
- Selalu pastikan browser, password manager, dan sistem operasi Anda dalam versi terbaru. Ini mengurangi peluang eksploitasi kerentanan.
- Hanya unduh password manager dari toko aplikasi yang sah (Google Play, App Store) dan selalu periksa pengembang serta peringkat aplikasi sebelum mengunduh.
- Pilih password manager dari vendor yang memiliki reputasi baik dan transparan mengenai kebijakan keamanannya.
- Pasang perangkat lunak keamanan dari vendor tepercaya di semua perangkat Anda untuk memitigasi ancaman malware yang dirancang untuk mencuri kata sandi secara langsung dari password manager Anda.
Password manager tetap menjadi bagian kunci dari praktik terbaik keamanan siber. Namun, efektivitasnya hanya optimal jika Anda mengambil tindakan pencegahan ekstra. Waspadai risiko yang terus berkembang untuk memastikan kredensial online Anda tetap aman terkunci.
Sumber berita:
