Data breach dan segudang kasus cyberattack lainnya semakin mewarnai pemberitaan di berbagai belahan dunia terlebih sejak tahun 2014. Tidak sedikit upaya pengamanan yang di ikuti dengan peningkatan awareness kerap di lakukan organisasi dan pemerintah di berbagai negara. Upaya ini masih di rasakan belum menunjukkan hasil yang cukup dalam menekan dampak negatif financial. Peran serta pemilik akun ternyata juga memiliki peran yang tidak kecil disini. Salah satu peran yang paling sangat membantu dan di rasakan tidak terlalu sulit untuk di lakukan adalah dengan memperhatikan “kualitas” password yang dipergunakan pada setiap online account.

Mengapa demikian?

Karena pada prakteknya, password merupakan pintu pertama untuk mendapatkan akses. Puluhan atau bahkan ratusan juta perangkat perlindungan yang dipergunakan tidak akan memberikan manfaat jika password yang di gunakan oleh end-user kurang berkualitas atau lemah. Bagaimana dengan penggunaan biometric sebagai layer tambahan dalam proses autentikasi? Ya, ini boleh jadi merupakan sebuah solusi yang lebih baik dari penggunaan password. Namun sayangnya ini belum dapat di terapkan untuk semua aplikasi, apalagi aplikasi web online. Jadi tidak ada salahnya kita mempelajari tips dan cara untuk meningkatkan kompleksitas password untuk aplikasi yang kita pergunakan.
Dua metoda penyerangan yang di pergunakan hacker dalam mengambil alih akses dan kasus yang paling banyak terjadi adalah pada content management aplikasi web atau blog, yaitu: dictionary dan brute-force attack. Kedua mekanisme ini melakukan proses log-in yang berulang-ulang mempergunakan semua kombinasi yang ada. Kombinasi bisa di siapkan terlebih dahulu melalui file text (dictionary) maupun dengan mencoba seluruh kombinasi huruf dan angka (brute-force). Meski boleh di katakan secara teori terdapat kemungkinan pada akhirnya password bisa di dapat, kita tidak boleh menyerah pada kemungkinan ini. Nah, untuk itulah di bawah ini saya mencoba memberikan saran untuk mempersulit hacker untuk mendapatkan password akses kita.

Tips 1: Gunakan alphabet mixed-case (upper dan lower case), numeric, dan simbol

Kekuatan password bukan hanya terletak dari jumlah karakter yang dipergunakan, melainkan pada kompleksitasnya. Kompleksitas disini maksudnya adalah penggunaan mixed-case alphabet, angka, dan juga simbol (tanda %, {, }, /, dst). Dalam sebuah simulasi yang saya dapatkan dari situs Password-depot, password dengan:
  • Panjang 5 karakter, terdiri dari: 3 huruf kecil dan 2 angka, dapat di tembus dalam waktu 0.03 detik.
  • Panjang 7 karakter, terdiri dari: 1 huruf besar dan 6 huruf kecil, dapat di tembus dalam waktu 9 menit.
  • Panjang 8 karakter, terdiri dari: 4 huruf kecil, 2 simbol, dan 2 angka, dapat di tembus dalam waktu 2.6 hari.
  • Panjang 9 karakter, terdiri dari: 2 huruf besar, 3 huruf kecil, 2 angka, dan 2 simbol, baru dapat di tembus dalam setelah 9.1 tahun.
  • Panjang 12 karakter, terdiri dari: 3 huruf besar, 4 huruf kecil, 3 simbol, dan 2 angka, membutuhkan waktu 7.5 juta tahun untuk dapat di tembus.
Untuk rekan-rekan yang tetap lebih memilih password yang pendek, boleh-boleh saja. Asalkan rutin menggantinya. Kalau password 8 karakter di atas dapat di tembus dalam 2 hari, maka setidaknya kita ganti password tersebut setiap hari. Repot? Sesuaikan antara durasi password dapat di tembus dengan periode rutin penggantian password yang nyaman untuk rekan-rekan. Dalam proses penyerangan, hacker tidak akan pernah mendapat informasi kapan terakhir kita mengganti password. Jika kompleksitas password di tambah dengan rutinitas mengganti password, kedua hal ini akan membuat password kita semakin susah untuk di tembus dengan penyerangan brute-force maupun dictionary.

Tips 2: Frase mudah untuk di ingat, tapi …

Mengingat password yang merupakan frase memang lebih mudah. Karena disebut frase, tentunya akan memiliki jumlah karakter yang tidak sedikit. Kadang ada yang terdiri dari 12 karakter atau lebih. Contohnya: frase “makan coklat”, terdiri dari 12 karakter. Untuk frase ini, Brute-force attack akan membutuhkan waktu setidaknya dua abad, tapi dengan dictionary attack bisa saja lebih cepat dari itu. Karena dictionary attack ini menyimpan potongan kata untuk di gabungkan dan di check sebagai satu kesatuan, sehingga tidak perlu mencheck kombinasi dari huruf satu demi satu. Jadi penggunaan frase memang baik, tapi perlu ada triknya sehingga metoda attack melalui dictionary tidak akan mempan.
Mari kita bahas triknya di sini. Sebagai contoh kita mempergunakan frase “makan coklat”. Kembangkanlah dengan menambah frase lain sebanyak mungkin. Misalnya: brand coklat, lokasi pembelian, hingga waktu dan lokasi yang paling disukai untuk konsumsi coklat. Sehingga frasenya berkembang menjadi: “makan coklat merk X beli di pasar buat makan besok jam 7:15 di rumah” … wah panjang… betul. Kini kita sederhanakan dengan mengambil huruf awal dari masing-masing kata sehingga menjadi “mcmXbdpbmbj715dr” dengan panjang 16 karakter. Selanjutnya kata “di pasar” bisa di rubah menjadi “@p” sehingga kini password kita mengandung simbol. Bisa juga dengan menambahkan colon “:”. Hasil finalnya menjadi¬†“mcmXb@pbmbj7:15dr” menjadi 17 karakter. Kalau sudah seperti ini, maka password attack dengan mempergunakan dictionary sudah hampir di pastikan bisa gagal.

Tips 3: Gunakan Two-factor Authentication (2FA)

Dengan menerapkan dua tips di atas menjaminkan tingkat kompleksitas yang tinggi serta mengurangi kemungkinan password di tembus dengan brute-force maupun dictionary attack. Namun kita tetap dapat kembali menambah tingkat kesulitan hacker untuk mengakses akun kita dengan meng-enable fitur multi-factor authentication. Two-factor authentication (2FA) tidak hanya berguna untuk verifikasi, namun juga untuk notifikasi bilamana ada pihak-pihak yang mencoba meretas akun kita. Jika kita mendapatkan notifikasi yang berisi angka token verifikasi, sementara kita tidak sedang akan login. Ini bisa di jadikan awareness untuk mengambil langkah perlindungan ataupun me-notifikasi provider aplikasi bahwa terjadi un-authorized access terhadap akun kita.

Tips 4: Buatlah Perbedaan

Publikasi yang di lakukan oleh McAfee pada May 2018, menemukan bahwa rata-rata setiap orang memiliki 23 akun online namun hanya mempergunakan 13 password yang unik. Ini artinya tidak seluruh akun tersebut mempergunakan password yang berbeda satu sama lainnya. Penggunaan satu password kepada lebih dari satu akun online dapat memperbesar kemungkinan akun tersebut di retas bersamaan sebagai akibat penggunaan password yang sama. Hacker akan berupaya mencari seluruh akun (email dan social media) yang kita miliki untuk kemudian di coba untuk di retas dengan lebih dahulu mempergunakan password yang sudah di dapatkan sebelumnya. Jadi jika ketiga tips sebelumnya sudah di jalankan, alangkah lebih baik lagi jika membuat password berbeda untuk setiap akun yang kita miliki. Buatlah perbedaan itu.

Tips 5: Password Manager bisa membantu

Jika kompleksitas dan panjang password serta penggantian secara berkala di anggap mengganggu aktifitas, maka tidak ada salahnya mulai mempergunakan password manager. Aplikasi password manager yang umumnya di install pada perangkat mobile dipercaya bisa sangat membantu. Varian aplikasi ini pun makin kesini semakin banyak ragam dan juga fitur-fitur yang di tawarkan. Hampir semuanya memberikan kemudahan dalam administrasi password, tapi perlu jeli memperhatikan tingkat perlindungan terhadap database dari aplikasi ini. Sebab database ini menyimpan seluruh data situs, nama login, dan password yang kita miliki. Jika database ini berhasil di unduh oleh hacker dan di retas malah akibatnya sangat fatal terhadap keseluruhan akun yang kita miliki. Lakukan review dan pilihlah yang paling aman dan sesuai dengan anggaran yang kita miliki.
Kelima tips di atas di harapkan dapat membantu meningkatkan kualitas password yang kita miliki. Karena yang namanya security adalah sesuatu yang dinamis, jadi tetap perlu di cermati apakah ada langkah atau tips lainnya yang sejalan. Peran serta kita di perlukan untuk turut aktif membantu menjaga dan terus meningkatkan tingkat keamanan atas aset dan identitas digital yang kita miliki. Jangan sampai apa yang kita miliki di kuras oleh hacker dan di manfaatkan untuk merugikan kita.
Be vigilant!