Apakah Kata Sandi Anda Benar-Benar Aman? Kesalahan yang Banyak Dilakukan Orang
Mari kita mulai dengan pertanyaan yang tidak nyaman: berapa banyak akun online Anda yang menggunakan kata sandi yang sama?
Jika jawabannya lebih dari satu, Anda tidak sendirian. Berbagai studi secara konsisten menunjukkan bahwa rata-rata orang menggunakan ulang kata sandi di setidaknya lima akun. Banyak orang menggunakan kata sandi yang sama, atau variasinya yang sedikit berbeda, di lusinan layanan. Ini adalah salah satu risiko keamanan terbesar yang dihadapi kebanyakan orang secara online, dan sepenuhnya bisa dicegah.
Bahaya Nyata: Pelanggaran Data dan Credential Stuffing
Kebanyakan orang berpikir peretasan berarti seseorang secara khusus menargetkan mereka, menebak kata sandi mereka, atau memaksanya masuk ke akun mereka. Kenyataannya sangat berbeda.
Sebagian besar kompromi akun terjadi melalui pelanggaran data. Sebuah perusahaan tempat Anda memiliki akun diretas. Database nama pengguna dan kata sandi mereka dicuri dan dipublikasikan secara online atau dijual di dark web. Hal ini terjadi pada perusahaan-perusahaan besar dengan frekuensi yang mengkhawatirkan.
Di sinilah penggunaan ulang kata sandi menjadi bencana. Penyerang mengambil kombinasi email dan kata sandi yang bocor dan secara otomatis mencobanya di ratusan layanan lain: Gmail, Amazon, situs perbankan, media sosial. Ini disebut credential stuffing, dan berhasil karena begitu banyak orang menggunakan kata sandi yang sama di mana-mana.
Peringatan Jika Anda menggunakan kata sandi yang sama untuk forum online kecil yang diretas dan untuk akun email utama Anda, penyerang yang mendapatkan database forum tersebut kini memiliki akses ke email Anda. Dari email Anda, mereka dapat mereset kata sandi di hampir setiap akun lain yang Anda miliki.
Kesalahan Kata Sandi yang Paling Umum
1. Menggunakan Ulang Kata Sandi
Ini adalah dosa terbesar dalam keamanan kata sandi. Saat Anda menggunakan ulang kata sandi, pelanggaran di satu layanan mengkompromikan setiap layanan di mana Anda menggunakan kata sandi tersebut.
2. Menggunakan Kata Sandi yang Lemah
Meskipun telah bertahun-tahun kampanye kesadaran, kata sandi yang paling umum tetap sangat sederhana. "123456," "password," "qwerty," dan "admin" secara konsisten menduduki daftar teratas. Ini bisa dibobol dalam waktu kurang dari satu detik.
3. Pola yang Mudah Ditebak
Banyak orang mengira mereka cerdas dengan pola seperti:
- Menambahkan "1" atau "!" di akhir kata umum
- Hanya mengkapitalkan huruf pertama
- Menggunakan kata sandi dasar dengan nama situs yang ditambahkan (misalnya, "KataSandiKu-facebook")
- Mengganti huruf dengan angka ("p@ssw0rd")
Penyerang mengetahui semua pola ini. Alat mereka dirancang khusus untuk mencoba variasi tersebut. Kata sandi yang tampak kompleks bagi manusia bisa menjadi hal yang sepele bagi alat peretasan otomatis.
4. Menggunakan Informasi Pribadi
Nama hewan peliharaan, tanggal lahir, anniversary, nama anak, tim olahraga favorit. Semua informasi ini seringkali tersedia secara publik di media sosial. Jika kata sandi Anda adalah "fluffy2019" dan Instagram Anda penuh dengan foto kucing bertag #FluffyTheCat, Anda tidak seaman yang Anda kira.
5. Tidak Pernah Mengubah Kata Sandi yang Telah Terkompromi
Bahkan setelah diberitahu tentang pelanggaran, banyak orang tidak mengubah kata sandi mereka. Ini memberikan penyerang jendela waktu yang panjang untuk mengeksploitasi kredensial yang bocor.
Tahukah Anda? Pelanggaran data terbesar yang diketahui mengekspos lebih dari 3,2 miliar kombinasi email dan kata sandi dalam satu kebocoran. Ada kemungkinan signifikan bahwa setidaknya satu kata sandi Anda telah terekspos dalam pelanggaran masa lalu, bahkan jika Anda tidak pernah diberitahu.
Apa yang Membuat Kata Sandi Kuat?
Kata sandi yang kuat memiliki tiga properti utama:
- Panjang. Ini adalah faktor terpenting. Kata sandi 16 karakter secara eksponensial lebih sulit dibobol daripada kata sandi 8 karakter, terlepas dari kompleksitasnya.
- Keacakan. Tidak boleh mengandung kata dari kamus, nama, tanggal, atau pola yang dapat dikenali.
- Keunikan. Harus digunakan untuk satu akun dan hanya satu akun saja.
Berikut bagaimana panjang kata sandi mempengaruhi waktu peretasan untuk kata sandi acak:
| Panjang | Hanya Huruf Kecil | Campuran Huruf Besar + Angka + Simbol |
|---|---|---|
| 6 karakter | Instan | ~5 detik |
| 8 karakter | ~2 menit | ~8 jam |
| 12 karakter | ~200 tahun | ~34.000 tahun |
| 16 karakter | ~3 juta tahun | Praktis tidak bisa dibobol |
Kesimpulannya jelas: panjang mengalahkan kompleksitas. Kata sandi acak 16 karakter dengan hanya huruf kecil jauh lebih kuat daripada kata sandi 8 karakter dengan huruf besar, angka, dan simbol.
Solusinya: Password Manager dan Kata Sandi yang Unik
Cara paling praktis untuk menggunakan kata sandi yang kuat dan unik untuk setiap akun adalah dengan menggunakan password manager. Password manager menyimpan semua kata sandi Anda dalam vault terenkripsi, dilindungi oleh satu kata sandi master. Anda hanya perlu mengingat satu kata sandi; manajer yang mengurus sisanya.
Password manager populer termasuk Bitwarden (gratis dan open source), 1Password, dan KeePass. Sebagian besar browser juga memiliki password manager bawaan yang bekerja dengan cukup baik.
Cara Kerja Password Manager
- Saat Anda membuat akun atau mengubah kata sandi, manajer menghasilkan kata sandi yang panjang dan acak.
- Kata sandi disimpan di vault terenkripsi Anda.
- Saat Anda mengunjungi sebuah situs web, manajer mengisi otomatis kredensial.
- Anda tidak perlu mengingat, mengetik, atau bahkan melihat kata sandi individual.
Ambil Tindakan Hari Ini: Dua Langkah yang Bisa Anda Lakukan Sekarang
Anda tidak perlu merombak seluruh kehidupan digital Anda sekaligus. Mulailah dengan dua tindakan konkret ini.
Langkah 1: Periksa Apakah Kata Sandi Anda Telah Bocor
Sebelum apapun, cari tahu apakah kata sandi Anda yang ada telah terekspos dalam pelanggaran data yang diketahui. Ini memberi tahu Anda akun mana yang berisiko tinggi saat ini.
Tips Anda dapat memeriksa apakah kata sandi Anda muncul dalam database pelanggaran yang diketahui sekarang, secara gratis: Periksa Apakah Kata Sandi Anda Telah Bocor. Pemeriksaan dilakukan dengan aman β kata sandi lengkap Anda tidak pernah dikirim ke mana pun.
Langkah 2: Buat Kata Sandi Kuat untuk Akun Terpenting Anda
Mulailah dengan akun yang paling penting: email utama, bank, dan akun mana pun yang menyimpan informasi pembayaran. Gantilah kata sandi tersebut dengan yang kuat dan dibuat secara acak.
Tips Gunakan generator kata sandi gratis kami untuk membuat kata sandi yang kuat dan unik secara instan: Buat Kata Sandi yang Aman. Anda dapat menyesuaikan panjang dan jenis karakter sesuai persyaratan situs apa pun.
Di Luar Kata Sandi: Aktifkan Autentikasi Dua Faktor
Bahkan kata sandi terkuat pun tidak cukup jika layanan yang menyimpannya diretas. Autentikasi dua faktor (2FA) menambahkan lapisan perlindungan kedua: setelah memasukkan kata sandi, Anda juga harus memberikan kode dari ponsel, aplikasi autentikator, atau kunci keamanan fisik.
Dengan 2FA diaktifkan, kata sandi yang bocor saja tidak cukup bagi penyerang untuk mengakses akun Anda. Aktifkan di setiap akun yang menawarkannya, terutama email, perbankan, dan media sosial.
Peringatan 2FA berbasis SMS (kode yang dikirim melalui pesan teks) lebih baik daripada tidak sama sekali tetapi rentan terhadap serangan SIM-swapping. Aplikasi autentikator (Google Authenticator, Authy) atau kunci perangkat keras (YubiKey) jauh lebih aman.
Membangun Kebiasaan yang Lebih Baik
Keamanan kata sandi bukan solusi sekali jalan. Ini adalah praktik berkelanjutan:
- Gunakan password manager untuk semua akun.
- Buat kata sandi unik untuk setiap akun baru.
- Aktifkan 2FA di mana pun tersedia.
- Periksa kebocoran secara berkala, setidaknya satu atau dua kali setahun.
- Ubah kata sandi yang terkompromi segera ketika diberitahu tentang pelanggaran.
Mulai amankan akun Anda hari ini:
Kedua alat gratis, berjalan di browser Anda, dan tidak pernah mengirim data Anda ke mana pun.