Mengetik kata sandi untuk mengakses salah satu dari puluhan atau ratusan layanan yang kita gunakan telah menjadi bagian dari kehidupan sehari-hari sehingga terkadang bukan suatu hal yang perlu dipikirkan secara serius.
Seringkali kita mencoba untuk membuat kata sandi menjadi sederhana dan mudah diingat sehingga dapat bergerak cepat saat login dan melanjutkannya ke tahap yang lebih pentng. Tapi ini merupakan salah satu dari banyak kesalahan yang kita buat ketika begitu mengandalkan keamanan dari identitas digital kita.
Karena hari ini adalah Hari Kata Sandi Dunia, ini adalah kesempatan yang sangat baik untuk melihat lebih jelas lima kesalahan paling umum yang biasa dilakukan ketika menyangkut penggunaan kata sandi.
Daur ulang kata sandi
Salah satu kesalahan paling umum dan lazim adalah daur ulang kata sandi. Masalahnya sering dimulai dengan pembuatan kata sandi itu sendiri. Orang cenderung membuat kata sandi yang mudah diingat, yang biasanya berarti pendek dan sederhana, meskipun sekarang sebagian besar layanan memiliki persyaratan untuk panjang minimum dan jenis karakter yang harus dimasukkan.
Setelah menghafalkan kata sandi dan mendaftar untuk layanan lain, biasanya enggan membuat yag baru untuk layanan lain dan menggunakan kata sandi yang sama secara berulang. Pengguna umumnya malas harus mengingat kata sandi yang lain, apalagi jika memiliki akun di banyak layanan.
Menurut survei Google, 52% responden menggunakan kembali kata sandi yang sama untuk banyak akun, sementara 13% secara mengejutkan menggunakan kata sandi yang sama untuk semua akun mereka. Mengganti huruf untuk angka atau huruf kecil untuk huruf besar dan sebaliknya juga dianggap daur ulang kata sandi, meskipun beberapa orang mungkin menganggapnya sedikit perbaikan.
Masalah yang paling parah dengan daur ulang kata sandi adalah bahwa hal tersebut berisiko pada serangan kredensial, yaitu serangan pengambilalihan akun yang memanfaatkan bot dengan upaya login menggunakan kredensial akses curian dari pelanggaran data di situs lain sampai mereka menemukan kombinasi yang tepat dari situs baru dan kredensial lama. Seperti yang Anda lihat, diversifikasi kata sandi Anda adalah demi kepentingan terbaik Anda.
Kata sandi sederhana
Seperti yang telah ESET sebutkan, banyak masalah dimulai ketika kata sandi dibuat. Yang sederhana cenderun banyak penggemarnya, Anda mungkin pernah melihat film Wrongfully Accused, di mana Leslie Nielsen mencoba meretas komputer dengan menebak kredensial login, yang ternyata adalah Login dan Kata Sandi.
Jika kemudian berpikir bahwa dalam kehidupan nyata orang lebih berhati-hati dengan pilihan kata sandi mereka, sayangnya pikiran itu salah. Daftar yang dikompilasi setiap tahun menunjukkan bahwa ketika bicara kata sandi, orang membuat pilihan kata sandi yang sama dan sederhana terus berulang, seperti contohnya “12345” dan “password” masuk dalam lima kata sandi paling populer.
Selain pola sederhana dan kata-kata yang jelas, kesalahan yang sering dibuat pengguna saat membuat kata sandi adalah memasukkan rincian ke dalam kata sandi dari kehidupan pribadi kita yang dapat dengan mudah ditebak atau ditemukan. Enam dari sepuluh orang dewasa AS telah memasukkan nama (nama mereka, pasangan mereka, nama anak-anak atau hewan peliharaan) atau ulang tahun ke dalam kata sandi mereka.
Idealnya beralih ke pass phrase yang lebih kuat daripada menggunakan kata sandi. Otentikasi dua faktor (2FA) juga harus diaktifkan jika memungkinkan, karena memberikan tambahan lapisan keamanan terhadap berbagai jenis serangan yang bertujuan untuk mengungkapkan kredensial login.
Menyimpan kata sandi dalam teks biasa
Kesalahan lain yang sering terjadi adalah menuliskan kata sandi, seperti mencatatnya di atas kertas atau catatan tempel, atau menyimpannya dalam spreadsheet atau dokumen teks di komputer atau smartphone kita. Dalam kasus yang pertama, kecuali pelaku menerobos masuk dan merekamnya, karena tidak ada cara untuk mengaksesnya.
Tapi itu bukan berarti dengan menulisnya menjadi lebih aman, jika Anda benar-benar melakukannya (tapi jangan!), itu seharusnya lebih berupa petunjuk yang membantu untuk mengingat, dan harus disimpan di tempat yang aman dari intaian mata.
Jika kemudian menyimpannya dalam perangkat, maka risiko yang harus dihadapi adalah apabila seorang peretas berhasil meretas perangkat Anda dan menggeledahnya, mereka akan memiliki akses ke seluruh kumpulan data sensitif, termasuk kata sandi yang Anda simpan dalam teks biasa.
Atau, jika perangkat Anda dikompromikan oleh malware yang menyalin data dan mengirimkannya ke server jauh, pelaku dapat mengakses semua akunsebelum Anda memiliki kesempatan untuk memperhatikan.
Atau dalam beberapa kasus, mereka dapat menyisir seluruh data dalam perangkat untuk mencari adakah data yang dapat mereka eksploitasi di dalamnya, termasuk file dengan kata sandi. Dengan kasus seperti disebutkan tersebut sudah menjadi cukup bukti bahwa menyimpan kata sandi dalam teks biasa pada perangkat yang terhubung adalah ide yang buruk.
Berbagi kata sandi
“Sharing is caring” memang berlaku untuk banyak bidang dalam kehidupan, tetapi kata sandi merupakan pengecualian. Namun tetap saja ada orang-orang yang menganggap itu perlu, seperti 43% responden AS yang mengaku berbagi kata sandi mereka di masa lalu dengan orang lain.
Kata sandi tersebut termasuk kata sandi untuk layanan streaming, akun email, akun media sosial, dan bahkan akun belanja online. Lebih dari setengah dari mereka mengatakan bahwa mereka membagikan kata sandi mereka dengan orang lain secara signifikan. Meskipun berbagi kata sandi ke akun layanan streaming adalah fenomena yang tersebar luas, itu tidak terlalu berbahaya dibandingkan pilihan lain yang disebutkan di atas.
Setelah membagikan kata sandi Anda dengan orang lain, keamanan akun berada dalam ancaman besar, karena Anda kehilangan kendali terhadapnya. Anda tidak dapat memastikan bagaimana penanganannya dan jika orang yang Anda percayai tidak akan membagikannya dengan orang lain.
Banyak hal tentang bagaimana Anda membagikan kata sandi: apakah Anda mengetikkan kata sandi itu ke dalam akun Anda dan menyimpannya? Atau mungkin Anda mengirimnya melalui email atau melalui aplikasi pesan instan dalam bentuk teks biasa? Dalam kasus yang terakhir, Anda berada di bawah kekuasaan kebijaksanaan mereka dan berharap bahwa perangkat mereka aman, dan risiko seperti yang kita bahas sebelumnya tentang implikasi menyimpan kata sandi dalam bentuk teks biasa.
Hal penting lain yang perlu diingat adalah bahwa jika Anda membagikan kata sandi ke platform komunikasi apa pun yang digunakan, orang yang diberikan kata sandi tersebut bisa menjadi masalah bagi Anda, merusak hubungan, baik itu bisnis atau pribadi, karena sekarang mereka dapat masuk dengan identitas Anda.
Jika membagikan kredensial salah satu platform belanja online Anda dan metode pembayaran Anda disimpan, maka orang yang memiliki kredensial tersebut dapat dengan mudah membuat tagihan pada kartu kredit yang bisa menjadi masalah besar dalam finansial Anda. Bahkan jika orang yang mendapat kredensial adalah pasangan Anda.
Mengubah kata sandi secara berkala
Beberapa perusahaan memaksa penggunanya untuk mengubah kata sandi mereka setiap dua atau tiga bulan untuk alasan keamanan. Tetapi mengubah kata sandi secara teratur tanpa bukti pelanggaran kata sandi tidak secara otomatis membuat akun lebih aman atau lebih sulit untuk diretas.
Carnegie Mellon computer science Profesor Lorrie Cranor mengatakan bahwa penelitian menunjukkan bahwa ketika orang dipaksa untuk sering mengubah kata sandi mereka, mereka tidak banyak memikirkannya.
Selain itu, para peneliti di University of North Carolina (UNC) menemukan bahwa pengguna akan cenderung membuat kata sandi yang mengikuti pola yang dapat diprediksi yang mereka sebut “transformasi”.
Profesor Cranor mencantumkan beberapa contoh: “Seperti menambah angka, mengubah huruf menjadi simbol yang mirip (misalnya mengubah S menjadi $), menambah atau menghapus karakter khusus (misalnya, beralih dari tiga titik seru di akhir kata sandi menjadi dua), atau mengalihkan urutan angka atau karakter khusus (misalnya memindahkan angka ke awal dan bukan ke akhir).”
Dia melanjutkan dengan menambahkan bahwa dia mendengar contoh di mana pengguna akan memasukkan bulan dan pada beberapa kesempatan tahun perubahan kata sandi sebagai perbaikan mudah untuk mengingat perubahan yang sering terjadi.
Ini memudahkan para peretas untuk melakukan pekerjaan mereka karena, seperti yang ditunjukkan oleh para peneliti UNC, begitu para peretas mengetahui satu kata sandi, mereka dapat menebak yang berikutnya hanya dengan sedikit usaha.
Perlu juga dicatat bahwa sekali para penjahat dunia maya mendapatkan akses ke perangkat Anda, mereka dapat memasang keylogger yang akan memungkinkan mereka untuk melacak kata sandi Anda setiap kali mengubahnya. Tentu saja, jika Anda memiliki solusi titik akhir keamanan tingkat atas yang diinstal pada perangkat, ada kemungkinan jauh lebih besar bahwa keylogger akan terdeteksi dan ditangkal.
Ulasan penutup
Membuat kata sandi yang kuat mungkin tampak seperti tugas yang menakutkan, tetapi ada beberapa cara untuk membuatnya lebih mudah untuk Anda sendiri. Seperti yang telah ESET sebutkan sebelumnya, membuat Pass phrase lebih lebih baik daripada kata sandi sederhana, dan menambahkan lapisan keamanan tambahan dengan mengaktifkan 2FA jika tersedia harus menjadi kebiasaan.
Jika mengingat semua kata sandi unik yang Anda buat bisa sangat menyulitkan atau merepotkan, maka password manager bisa menjadi jawaban untuk kebutuhan tersebut, dengan cara itu Anda hanya harus mengingat satu kata sandi, tetapi pastikan itu adalah kata sandi yang mengikuti saran bagus yang ESET berikan di atas.
Sumber berita:
https://www.welivesecurity.com/