'12345' Benar-benar Buruk: Panduan Utama Anda untuk Keamanan Kata Sandi

Kami telah menasihati Anda berulang kali bahwa satu-satunya cara aman untuk menyimpan dan menggunakan kata sandi adalah dengan mengandalkan pengelola kata sandi, tetapi beberapa dari Anda tidak mendengarkan. Dalam survei PCMag tentang kata sandi, hanya 24 persen dari Anda yang melaporkan menggunakan pengelola kata sandi. Apa yang kalian lakukan? Menggunakan kata sandi yang mudah seperti kata sandi atau 12345678? Menghafal satu kata sandi yang rumit dan menggunakannya di mana-mana? Dengar, menjaga keamanan kata sandi bukanlah masalah kecil, tetapi mengingat skala risiko yang sangat besar—seperti yang diilustrasikan dalam pelanggaran Collection #1 baru-baru ini, yang mengungkap 773 juta alamat email yang diretas—Anda perlu melakukan semua yang Anda bisa untuk menjaga kata sandi Anda. aman.

Bahkan jika Anda menggunakan pengelola kata sandi terbaik, itu tidak menjamin keamanan akun Anda—tidak jika Anda menggunakan pengelola kata sandi untuk mengingat kata sandi lama yang sama. Anda harus turun ke parit dan mengganti kata sandi yang buruk dengan kata sandi baru yang lebih kuat.

Survei yang disebutkan di atas mengungkapkan bahwa 35 persen pembaca PCMag tidak pernah mengubah kata sandi mereka, kecuali dipaksa melakukannya oleh pelanggaran. Secara umum, itu bukan hal yang buruk. Institut Nasional Standar dan Teknologi tidak lagi merekomendasikan mengubah kata sandi setiap 90 hari. NIST sekarang merekomendasikan penggunaan frasa sandi yang panjang seperti "Correct-Horse-Battery-Staple" dan mengubahnya hanya jika diperlukan. Tetapi jika Anda menggunakan kata sandi yang buruk, "bila perlu" berarti sekarang .

Apa yang membuat kata sandi buruk? Kami akan melihat beberapa atribut kata sandi yang buruk, dan kemudian kami akan memberi Anda beberapa petunjuk tentang cara membuat kata sandi dengan cara yang benar.

Tetap Keluar dari Kamus

Setiap beberapa bulan satu outlet berita atau yang lain memposting daftar kata sandi terburuk. Kami melihat banyak opsi yang mudah diketik, seperti 123456 dan 12345678 dan qwerty. Mudah bagi Anda? Tentu. Tetapi juga mudah bagi peretas untuk diretas. Kata sandi umum (dan buruk) lainnya terdiri dari kata-kata kamus sederhana. Kami telah melihat baseball, monkey, dan starwars dalam daftar kata sandi terburuk. Ini juga mudah retak.

Beberapa situs web aman terkunci setelah sejumlah upaya kata sandi yang salah, tetapi banyak yang tidak. Bagi mereka yang tidak menebak-nebak lockout, peretas dapat melewati daftar alamat email dengan daftar kata sandi populer dan mengatur proses otomatis untuk terus mencoba kombinasi sampai mereka masuk.

Situs web yang diamankan dengan baik tidak akan menyimpan kata sandi Anda di mana pun. Sebaliknya, itu menjalankan kata sandi melalui algoritma hashing, semacam enkripsi satu arah. Input yang sama selalu menghasilkan output yang sama, tetapi tidak ada cara untuk kembali ke kata sandi asli dari hash yang dihasilkan. Jika kata sandi yang Anda ketik memiliki hash dengan nilai yang sama dengan yang disimpan, Anda mendapatkan akses. Bahkan jika peretas menangkap data pengguna situs, mereka tidak mendapatkan kata sandi, hanya hash.

Tetapi peretas yang cerdas dapat memecahkan kata sandi yang lemah bahkan ketika kata sandi itu di-hash, jika mereka tahu fungsi hashing apa yang digunakan situs tersebut. Mereka mulai dengan menjalankan kamus besar kata sandi umum melalui fungsi hashing. Kemudian mereka mencari hash yang dihasilkan dalam data yang diambil. Setiap pertandingan adalah kata sandi yang retak. Situs dengan keamanan terbaik meningkatkan fungsi hash dengan teknik yang disebut salting, yang membuat cracking berbasis tabel semacam ini tidak mungkin dilakukan, tetapi mengapa mengambil risiko? Hanya tinggal keluar dari kamus.

Berpikir berbeda

Seorang teman pernah memberi tahu saya kata sandinya yang sempurna: 1qaz2wsx3edc4rfv. Dia bisa "mengetik" hanya dengan menggeser jari ke bawah empat kolom miring keyboard. Itu sangat sempurna, dia menggunakannya di mana-mana. Dan itu adalah kesalahan besar.

Hampir seminggu berlalu tanpa berita tentang pelanggaran di beberapa perusahaan atau situs web, memperlihatkan ribuan atau jutaan nama pengguna dan kata sandi. Korban cerdas segera mengubah kata sandi mereka. Mereka yang mengabaikan masalah ini mungkin mendapati diri mereka terkunci dari akun mereka sendiri setelah peretas mereset kata sandi.

Peretas itu tahu bahwa terlalu banyak orang yang mendaur ulang kata sandi mereka. Begitu mereka menemukan pasangan nama pengguna dan kata sandi yang berfungsi, mereka mencoba kredensial yang sama di situs lain. Anda mungkin tidak begitu khawatir kehilangan akses ke akun Club Penguin Anda, tetapi jika Anda menggunakan login yang sama di situs web bank Anda, Anda mendapat masalah besar.

Ini menjadi lebih buruk. Jika orang lain mendapatkan kendali atas akun email Anda, mereka dapat mengunci Anda terlebih dahulu dengan mengubah kata sandi. Kemudian mereka dapat membobol akun Anda yang lain dengan mengirimkan tautan setel ulang sandi melalui email ke akun tersebut. khawatir belum?

Jangan Menjadi Pribadi

Menggunakan informasi pribadi sebagai dasar kata sandi Anda sangat menggoda, tapi itu ide yang buruk. Kemungkinan besar nama anjing Anda muncul di kamus yang digunakan peretas untuk serangan brute force. Kemungkinan lain seperti inisial dan tanggal lahir anggota keluarga mungkin tidak akan terkena serangan brute force, tetapi jika seseorang ingin meretas akun Anda secara khusus, data pribadi tersebut dapat memicu serangan tebak-tebakan coba-coba.

Jangan berpikir sejenak bahwa detail pribadi Anda bersifat pribadi. Ada lusinan situs yang dapat digunakan orang untuk menemukan detail tentang siapa pun: alamat, tanggal lahir, status perkawinan, dan banyak lagi. Postingan media sosial Anda dapat menjadi sumber informasi pribadi lainnya, terutama jika Anda belum mengamankan akun Anda dengan benar. Peretas yang gigih (atau tetangga yang usil) mungkin dapat menebak kata sandi apa pun yang Anda buat berdasarkan data Anda sendiri.

Tutup Pintu Belakang

Jika Anda tidak menggunakan pengelola kata sandi, Anda pasti pernah mengalami lupa kata sandi untuk sebuah situs. Ini terlalu umum, itulah sebabnya hampir setiap halaman login menyertakan "Lupa kata sandi Anda?" tautan. Beberapa situs mengirim tautan reset ke alamat email Anda, sementara yang lain mengizinkan Anda mengatur ulang kata sandi setelah menjawab pertanyaan keamanan Anda. Dan itu membuka pintu belakang bagi siapa pun yang ingin meretas akun Anda.

Sebagian besar situs menawarkan opsi buruk untuk pertanyaan keamanan. Siapa nama gadis ibumu? Di mana Anda pergi ke sekolah tinggi? Apa pekerjaan pertama Anda? Sebagaimana dicatat, kehidupan pribadi Anda adalah buku terbuka bagi siapa saja yang memiliki keterampilan mencari di internet. Jika memungkinkan, abaikan pertanyaan yang telah ditetapkan sebelumnya. Buat pertanyaan Anda sendiri, dengan jawaban unik yang akan selalu Anda ingat tetapi tidak dapat ditebak oleh orang lain.

Lebih sulit ketika situs tidak membiarkan Anda menentukan pertanyaan Anda sendiri. Dalam hal ini, taruhan terbaik Anda adalah menggunakan jawaban yang mudah diingat yang benar-benar bohong. Nama gadis ibuku adalah Obama. Saya pergi ke sekolah di Komunis Martir Tinggi. Untuk pekerjaan pertama saya, saya adalah penjinak singa. Ada unsur risiko, karena Anda mungkin lupa kebohongan mana yang Anda pilih. Saya akan menyarankan untuk menyimpan jawaban eksentrik ini sebagai catatan aman di pengelola kata sandi Anda ... tetapi jika Anda menggunakan pengelola kata sandi, itu akan mengingat kata sandi untuk Anda.

Apa yang Harus Dilakukan Sekarang Karena Anda Peduli

Saya harap saya telah meyakinkan Anda bahwa menggunakan kata sandi umum adalah ide yang buruk, karena membuat kata sandi dari informasi pribadi. Dan bahkan kata sandi acak terbaik yang kuat menjadi kewajiban jika Anda menggunakannya di semua tempat. Jika Anda siap untuk mengambil tindakan, berikut adalah beberapa titik awal:

• Gunakan pengelola kata sandi.
• Beralih ke pengelola kata sandi yang lebih baik.
• Ingat kata sandi utama yang sangat aman untuk pengelola kata sandi Anda.
• Manfaatkan pembuat kata sandi acak untuk meningkatkan kata sandi lama Anda yang buruk.
• Anda bahkan dapat membuat pembuat kata sandi acak Anda sendiri di Excel.
• Aktifkan otentikasi dua faktor di mana pun tersedia.

Jika situs yang aman tidak menjaga keamanan, Anda masih bisa kehilangan kredensial situs tersebut karena pelanggaran data, tetapi dengan membuat semua kata sandi Anda panjang, kuat, dan unik, Anda telah melakukan semua yang Anda bisa untuk melindungi akun online Anda.

Dan hei! Sekarang setelah Anda siap, dari segi keamanan, pertimbangkan untuk menambahkan jaringan pribadi virtual, atau VPN. Menggunakan kata sandi yang kuat untuk situs yang aman berarti orang lain tidak dapat membobol akun Anda; menambahkan VPN berarti tidak ada kemungkinan siapa pun dapat mencegat koneksi Anda ke situs-situs aman tersebut.