Bahaya password ‘lemah’

April 25, 2019

Mengapa kekuatan dan keamanan password itu penting?

Proses otentikasi memiliki peran yang sangat penting dalam suatu sistem, baik perbankan, email, sosial media, portal internal kantor, dan lainnya. Identitas pengguna berupa username dan password umumnya digunakan sebagai elemen identifikasi apakah kita berhak mendapatkan akses yang telah ditentukan oleh sistem untuk kita. Kebocoran dan penggunaan password yang lemah akan memudahkan penyerang untuk menebak dan menggunakan password tersebut untuk mengambil alih penggunaan akun kita. Sekuat apapun mekanisme otentikasi pada suatu sistem, akan menjadi lemah ketika password yang digunakan lemah, mudah di tebak atau bahkan telah bocor.

 

Bagaimana penyerang mencari kelemahan password yang kita gunakan sebagai personal atau admin dari sebuah sistem?

Menebak Secara Manual

Ketika penyerang mendapatkan akses halaman login dari suatu sistem, penyerang akan menebak segala kemungkinan username dan password yang berkaitan dengan target. Bagi penyerang, informasi pribadi seperti nama lengkap, tempat tanggal lahir, tempat bekerja, kota tempat tinggal, nama pasangan bahkan tanggal pernikahan adalah sesuatu yang sangat berharga.

Brute-Force Attack

Apabila dengan menebak secara manual berdasarkan informasi berharga tadi tidak berhasil, penyerang akan mulai mencoba tools yang mampu menciptakan kata duga yang lebih banyak yang mungkin merupakan password yang tepat untuk bisa masuk kedalam sistem, teknik ini umum di sebut brute-force attack. Dengan kemampuan komputasi perangkat computer yang ada saat ini, bukan hal yang sulit menjalankan teknik ini apalagi untuk password yang memiliki panjang kurang dari 8 karakter.

Phising dan Penyadapan

Password akan mudah didapatkan oleh penyerang dengan melakukan teknik Man-In-The-Middle Attack. Dengan teknik ini, penyerang berupaya untuk melakukan intersepsi antara halaman login yang digunakan dengan sistem utama yang dituju. Sesi login sistem pada halaman login yang tidak menggunakan protokol HTTPS akan jauh lebih mudah disadap. Halaman login palsu yang dikirimkan melalui teknik phising dapat juga menjadi cara yang paling mudah agar penyerang mendapatkan password kita.

Key-Logger

Berbagai aplikasi berbahaya seperti key-logger akan memungkinkan penyerang dapat mengetahui semua input aktifitas keyboard pada laptop/PC kita. Aplikasi key-logger mudah untuk diinstall pada perangkat komputer yang umum digunakan seperti Warnet atau fasilitas PC pada ruang bisnis di Hotel.

Pencurian password

Umumnya, setiap orang memiliki banyak akun untuk masuk ke setiap sistem yang berbeda. Beberapa diantaranya bahkan menggunakan password yang sama untuk banyak akun, yang lainnya menggunakan password yang berbeda untuk setiap akun. Ketika kita merasa sulit untuk mengingat password-password tersebut, secara tidak sadar kita biasanya menuliskan password tersebut dalam suatu notes, kemudian menempelkannya pada layar PC atau tembok diruangan kita bekerja. Perilaku ini jelas sangat berbahaya, karena baik penyerang atau teman kantor kita akan dengan mudah mengetahui password yang kita gunakan.

 

 

Bagaimana memperkuat dan mengamankan password yang kita miliki?

Agar terhindar dari bahaya kebocoran password di atas, berikut tips yang dapat kita lakukan :

  • Idealnya, gunakan password dengan lebih dari 8 karekter dan merupakan kombinasi dari huruf besar, huruf kecil, symbol typografi dan tanda baca lainnya. Apabila susah mengingat password ideal seperti ini, gunakan passphrase yang merupakan kumpulan dari kata dari hal-hal yang mudah kita bayangkan dengan sedikit kombinasi symbol typografi sebagai penguat dari passprahse

Contoh :

           4kus3l4lus4y4ngKamuh!

           monasbuswayjalan2kilolangsungsampaiBG!

(Sumber gambar : https://www.nist.gov/blogs/taking-measure/easy-ways-build-better-p5w0rd)
  • Selalu ganti password secara berkala atau periodic (1 bulan, 6 bulan, dll).
  • Jangan gunakan password yang sama untuk semua akun.
  • Jangan menyimpan password yang sulit diingat pada notes yang ditempel di laptop/PC atau tembok di ruangan, atau bahkan menyimpan disembarang tempat lembar password suatu akun yang bersifat rahasia.

(Sumber gambar : https://securityintelligence.com/news/despite-major-data-breaches-users-bad-password-security-habits-havent-improved/)
  • Gunakan password manager apabila sulit mengingat banyak password untuk banyak akun, dengan begitu kita hanya cukup mengingat password master yang digunakan untuk mengunci password manager tersebut.

Contoh : Keepass, F-Secure Key

  • Gunakan pengunci akun (Account Lockout) sehingga upaya penebakan dari penyerang dapat dikenali dan dihentikan oleh sistem.
  • Gunakan fitur ­multi-factor authentication pada sistem yang menyediakan fitur tersebut. Fitur ini akan meningkatkan keamanan otentikasi dengan menggunakan minimal 2 faktor otentikasi, umumnya merupakan kombinasi dari password, biometric atau dengan token yang dikirimkan pada nomor telfon yang telah terdaftar.
  • Apabila terpaksa harus menggunakan fasilitas laptop/PC umum untuk mengakses halaman yang memerlukan login, gunakan On-Screen Keyboard sebagai upaya untuk menghindari aplikasi key-logger.