Dengan semua manfaatnya, internet bisa menjadi sesuatu yang merepotkan dalam hal mengingat password untuk surel, perbankan, jaringan sosial dan belanja online.
Banyak orang hanya menggunakan password tunggal di web. Itu ide yang buruk, kata pakar keamanan online.
"Memiliki password yang sama untuk semuanya seperti memiliki kunci yang sama untuk rumah, mobil, lemari, dan kantor anda," kata Michael Barrett, kepala petugas keamanan informasi layanan pembayaran online PayPal, sebuah unit eBay Inc.
Pak Barrett memiliki password yang berbeda untuk surel dan akun Facebook, dan itu hanya bagian pembuka saja. Dia memiliki password ketiga untuk situs keuangan yang ia gunakan, misalnya untuk bank dan kartu kredit, dan password keempat untuk situs perbelanjaan besar seperti Amazon.com. Dia membuat password kelima untuk situs yang jarang dikunjungi atau tidak dipercaya, seperti blog dan toko online yang menjual alat-alat kebun.
Pihak berwenang mengatakan sebuah rentetan serangan barusan menggarisbawahi bagaimana hacker menghabiskan lebih banyak waktu mencoba untuk membobol basis data besar untuk mendapatkan password. Misalnya pada bulan April hacker memperoleh password dan informasi lain dari 77 juta pengguna di Jaringan PlayStation Sony Inc., sedangkan Google mengatakan bulan ini bahwa hacker masuk ke sistem surel dan memperoleh password pejabat pemerintah AS.
Serangan brute force, di mana hacker mencoba untuk menebak password individu, juga tampaknya meningkat, kata pak Barrett.
PayPal mengatakan dua dari tiga orang menggunakan hanya satu atau dua password di seluruh situs, dengan pengguna web rata-rata 25 akun online. Sebuah survei 2009 di Inggris oleh perusahaan perangkat lunak keamanan PC Tools menemukan bahwa para pria cenderung menjadi pelanggar, 47% hanya menggunakan satu password, dibandingkan dengan 26% perempuan.
Survei satunya lagi dari PC Tools tahun lalu menunjukkan bahwa 28% pemuda Australia 18-38 tahun memiliki password yang mudah ditebak, seperti nama orang yang dicintai atau bintang peliharaan, yang dengan gampang dapat diperoleh oleh pelaku kriminal lewat Facebook atau situs publik lainnya. Password lain juga dapat ditebak dengan mudah. Tahun lalu hacker memposting sebuah daftar password yang paling populer dari pengguna Gawker Media, termasuk "password", "12345", "qwerty", "letmein" dan "baseball".
"Jika kata sandi anda ada dalam daftar itu, silahkan mengubahnya," kata Brandon Sterne, manajer keamanan di Mozilla Corp., yang membuat peramban Firefox dan perangkat lunak lain. Hacker "akan mengambil 100 password pertama pada daftar dan akan berkeliling di seluruh basis pengguna" sebuah situs untuk membobol beberapa akun, katanya.
Orang biasanya mulai mengubah password online setelah mereka telah dihack, kata Dave Cole, manajer umum PC Tools. Namun, "setelah waktu yang relatif singkat, semua kecuali pengguna paranoid, mundur ke perilaku sebelumnya sebelum pelanggaran keamanan," katanya. Dia beserta ahli keamanan lain merekomendasikan orang mengubah atau merotasi password beberapa kali setahun.
Untuk membuat password yang aman, beberapa pejabat keamanan merekomendasikan mengambil frase yang gampang diingat dan menggunakan setiap huruf dari tiap kata. Misalnya, "sekali mendayung dua tiga pulau terlewati," menjadi "smdtpt". Orang lain mencampuradukkan pasangan kata tidak mungkin menjadi satu. Semakin panjang passwordnya, setidaknya delapan karakter, kata para ahli, maka semakin aman.
Begitu orang mengetahui suatu frase untuk password, mereka dapat membuatnya lebih rumit dengan mengganti huruf dengan karakter khusus atau angka. Mereka juga dapat membuat huruf besar, katakanlah karakter kedua dari tiap password untuk menambah keamanan. Maka "smdtpt" menjadi "sMDtpt".
Tidak peduli seberapa baik password, tidak aman hanya menggunakan satu. Pak Barrett merekomendasikan mengikuti langkahnya dan memiliki password aman untuk empat situs berbeda, surel, jejaring sosial, lembaga keuangan, dan situs belanja online, dan yang kelima untuk situs yang jarang dikunjungi atau tidak dapat dipercaya.
Namun, sekalipun password teraman tidak ada gunanya jika pelaku kriminal menginstal malware pada komputer yang memungkinkan mereka untuk melacak penekanan tombol seseorang. Ahli keamanan mengatakan orang dapat menghindari ini dengan menjaga agar antivirus dan antispyware selalu diperbarui dan menghindari download file dari situs serta pengirim surel yang tidak dikenal.
Beberapa ahli keamanan merekomendasikan sedikit memodifikasi password dalam setiap kategori situs. Perusahaan seperti Microsoft Corp. menawarkan pengecekan keamanan password, tapi pengguna tidak harus bergantung sepenuhnya pada pengecekan itu karena tes keamanan tersebut tidak mengukur apakah password berisi informasi pribadi yang mudah didapat, seperti tanggal lahir atau nama hewan peliharaan.
Penting untuk memiliki password terpisah dari akun surel, kata Pak Sterne dari Mozilla. Banyak situs memiliki tombol "lupa password" yang ketika diklik akan memulai proses pemulihan password melalui surel. Hacker yang membobol akun surel kemudian dapat mengambil surel tersebut dan mengambil alih setiap akun yang terdaftar menggunakan alamat surel itu.
Beberapa situs web seperti Google dan Facebook sekarang memperkenankan orang mendaftarkan nomor telepon bersama akun mereka. Jika seseorang lupa passwordnya, situs akan mengatur ulang password dengan menelpon atau mengirim pesan teks ke orang itu.
Pak Barret mengatakan bahwa orang harus mampu mengingat empat atau lima password yang baik. Jika tidak, mereka dapat menuliskannya di selembar kertas dan menempelkannya di dompet mereka, dan kemudian membuang lembar contekan tersebut jika semua password telah dihafal.
Orang-orang yang masih berjuang untuk mengingat semuanya bisa menggunakan password manager. Beberapa di antaranya gratis, seperti LastPass. LastPass meminta pengguna untuk membuat password master dan kemudian menghasilkan dan menyimpan password acak untuk situs yang berbeda. Beberapa ahli keamanan memperingatkan tentang penggunaan password manager yang menyimpan password dari jarak jauh, tapi SEO LastPass Joe Siegrist mengatakan hacker tidak dapat mengakses password karena semua data dienkripsi.
Tweet |
Informasi/Berita tentang Apa Yang Membuat Password Lebih Aman? ini dipublikasikan pada hari Minggu, 26 Juni 2011