Mengecek Kebocoran Kredensial

Dalam banyak insiden, kredensial selalu menjadi incaran utama para penjahat siber, karena itu pengguna harus mawas diri dengan mengetahui cara mengecek kebocoran kredensial data dirinya.

Contoh paling dekat adalah laporan tentang terjadinya pelanggaran atau kebocoran kumpulan besar data yang dicuri selama sejumlah serangan terhadap berbagai perusahaan online, termasuk LinkedIn dan Twitter (X).

Cache data dilaporkan terdiri dari 26 miliar catatan yang berisi berbagai informasi sensitif, termasuk data pemerintah dan kredensial login masyarakat.

Lalu kebocoran data Cam4 yang terkenal pada tahun 2020 mengungkap hampir 11 miliar catatan dari berbagai jenis dan pelanggaran di Yahoo pada tahun 2013 membahayakan ketiga miliar akun pengguna.

Jangan sampai kita lupa: Koleksi No. 1 yang berhasil masuk ke internet terbuka pada tahun 2019, mengungkap 773 juta nama login dan kata sandi yang sebelumnya dicuri dari berbagai perusahaan, sebelum diikuti oleh empat “koleksi” serupa hanya beberapa minggu kemudian. .

Apa dampaknya bagi kita? Mungkin kesimpulan utamanya adalah meskipun Anda menerapkan langkah-langkah keamanan pribadi yang ketat, kredensial akun Anda masih dapat tersangkut dalam pengumpulan tersebut, terutama karena pelanggaran di perusahaan besar.

Hal ini menimbulkan pertanyaan, bagaimana Anda bisa mengetahui apakah kredensial Anda telah disusupi dan bagaimana mengecek kebocoran kredensial, simak lebih lanjut.

Pengungkapan Perusahaan

Bisnis mungkin tunduk pada persyaratan peraturan khusus yang mewajibkan mereka untuk mengungkapkan insiden peretasan dan kerentanan yang belum ditambal.

Di AS, misalnya, perusahaan publik harus melaporkan insiden dunia maya kepada Komisi Sekuritas dan Bursa AS (SEC) dalam waktu 96 jam, atau empat hari kerja, sejak kejadian tersebut.

Transparansi seperti itu tidak hanya membantu membangun kepercayaan pelanggan tetapi juga memberi tahu mereka jika akun atau data mereka telah disusupi.

Perusahaan biasanya memberi tahu pengguna tentang pelanggaran data melalui email, namun karena pengajuan SEC bersifat publik, Anda dapat mengetahui insiden tersebut dari sumber lain, bahkan mungkin laporan berita yang meliputnya.

Have I been pwned

Cara paling sederhana untuk mengecek kebocoran kredensial paling sederhana untuk memeriksa apakah beberapa data Anda, seperti alamat email atau kata sandi Anda telah terekspos dalam kebocoran data adalah dengan mengunjungi hasibeenpwned.com. Situs ini dilengkapi alat gratis yang dapat memberi tahu Anda kapan dan di mana data Anda muncul.

Cukup masukkan alamat email Anda, klik “pwned?” dan voila! Sebuah pesan akan muncul memberitahu Anda tentang status keamanan kredensial Anda serta kebocoran sebenarnya yang terjadi.

Bagi mereka yang beruntung, hasilnya akan berwarna hijau, menandakan tidak ada pwnage, dan bagi mereka yang kurang beruntung, situs tersebut akan berubah menjadi merah, mencantumkan kebocoran data mana yang kredensial Anda muncul.

Peramban Web

Beberapa browser web, termasuk Google Chrome dan Firefox, dapat memeriksa apakah sandi Anda telah disertakan dalam kebocoran data yang diketahui.

Chrome juga dapat merekomendasikan kata sandi yang lebih kuat melalui modul pengelola kata sandinya atau menawarkan fitur lain untuk meningkatkan keamanan kata sandi Anda.

Pengelola Kata Sandi

Pengelola kata sandi sangat berharga dalam menangani kumpulan besar kredensial login, karena mereka tidak hanya dapat menyimpannya dengan aman.

Namun juga menghasilkan kata sandi yang rumit dan unik untuk setiap akun online Anda. Namun, sudah jelas bahwa Anda perlu menggunakan kata sandi utama yang kuat namun mudah diingat yang menyimpan kunci kerajaan Anda.

Di sisi lain, brankas kata sandi ini tidak kebal terhadap kompromi dan tetap menjadi target menarik bagi pelaku kejahatan, misalnya sebagai akibat dari serangan pengisian kredensial atau serangan yang mengeksploitasi kerentanan perangkat lunak.

Meski begitu, manfaatnya termasuk pemeriksaan kata sandi bawaan yang bocor dan integrasi dengan skema otentikasi dua faktor (2FA) yang tersedia di banyak platform online saat ini – lebih besar daripada risikonya.

Bagaimana Mencegah Dampak Kebocoran Kredensial

Sekarang, bagaimana dengan mencegah kebocoran? Bisakah rata-rata pengguna internet melindungi diri mereka dari kebocoran kredensial? Jika ya, bagaimana caranya? Memang benar, bagaimana Anda bisa menjaga keamanan akun Anda?

Pertama-tama, dan kami sangat menekankan hal ini, jangan hanya mengandalkan kata sandi saja. Sebaliknya, pastikan akun Anda dilindungi oleh dua bentuk identifikasi.

Untuk itu, gunakan autentikasi dua faktor (2FA) pada setiap layanan yang mengaktifkannya, idealnya dalam bentuk kunci keamanan khusus untuk 2FA atau aplikasi autentikator seperti Microsoft Authenticator atau Google Authenticator.

Hal ini akan mempersulit penyerang untuk mendapatkan akses tidak sah ke akun Anda – bahkan jika mereka berhasil mengetahui kata sandi Anda.

Mengenai keamanan kata sandi, hindari menuliskan login Anda di atas kertas atau menyimpannya di aplikasi pencatat. Sebaiknya hindari juga menyimpan kredensial akun Anda di browser web, yang biasanya hanya menyimpannya sebagai file teks sederhana, sehingga rentan terhadap penyelundupan data oleh malware.

Tip keamanan akun dasar lainnya melibatkan penggunaan kata sandi yang kuat, yang mempersulit penjahat untuk melakukan serangan brute force. Hindari kata sandi yang sederhana dan pendek, seperti kata dan angka. Jika ragu, gunakan alat ESET ini untuk membuat kata sandi Anda, atau periksa kekuatan kata sandi Anda sendiri.

Ini juga merupakan praktik yang baik untuk menggunakan frasa sandi, yang lebih aman dan mudah diingat. Alih-alih kombinasi huruf dan simbol acak, mereka terdiri dari serangkaian kata yang diberi huruf kapital dan mungkin karakter khusus.

Demikian pula, gunakan kata sandi yang berbeda untuk setiap akun Anda untuk mencegah serangan seperti penjejalan kredensial, yang memanfaatkan kecenderungan orang untuk menggunakan kembali kredensial yang sama di beberapa layanan online.

Pendekatan autentikasi yang lebih baru mengandalkan login tanpa kata sandi, seperti kunci sandi, dan ada juga metode login lain seperti token keamanan, kode satu kali, atau biometrik untuk memverifikasi kepemilikan akun di beberapa perangkat dan sistem.

Pencegahan di Pihak Perusahaan

Perusahaan perlu berinvestasi pada solusi keamanan, seperti perangkat lunak pendeteksi dan respons, yang dapat mencegah pelanggaran dan insiden keamanan. Selain itu, organisasi perlu secara proaktif memperkecil tingkat serangan mereka dan bereaksi segera setelah sesuatu yang mencurigakan terdeteksi.

Manajemen kerentanan juga penting, karena selalu mengetahui celah perangkat lunak yang diketahui dan memperbaikinya secara tepat waktu akan membantu mencegah eksploitasi oleh penjahat dunia maya.

Sementara itu, faktor manusia yang selalu ada juga dapat memicu kompromi, misalnya setelah seorang karyawan membuka lampiran email yang mencurigakan atau mengklik sebuah link. Inilah sebabnya mengapa pentingnya pelatihan kesadaran keamanan siber dan keamanan endpoint/mail tidak bisa dianggap remeh.

Perusahaan mana pun yang serius menangani keamanan data juga harus mempertimbangkan solusi pencegahan kehilangan data (DLP) dan menerapkan kebijakan pencadangan yang kuat.

Selain itu, menangani data klien dan karyawan dalam jumlah besar memerlukan praktik enkripsi yang ketat. Enkripsi kredensial lokal dapat melindungi data sensitif tersebut, sehingga menyulitkan penyerang untuk mengeksploitasi informasi yang dicuri tanpa akses ke kunci enkripsi yang sesuai.

Secara keseluruhan, tidak ada solusi yang bisa diterapkan untuk semua hal, dan setiap perusahaan perlu menyesuaikan strategi keamanan datanya dengan kebutuhan spesifiknya dan beradaptasi dengan lanskap ancaman yang terus berkembang. Namun demikian, kombinasi praktik terbaik keamanan siber akan sangat membantu dalam mencegah pelanggaran dan kebocoran data.

Demikian pemaparan tentang cara mengecek kebocoran kredensial atau data personal Anda, semoga informasi di atas dapat bermanfaat dan menambah wawasan.

Sumber berita:

WeLiveSecurity