Punya Pengelola Kata Sandi? Bagus, Tapi Anda Salah Menggunakannya
Diterbitkan: 2022-01-29Selamat! Anda mengikuti saran kami dan memasang pengelola kata sandi! Mungkin Anda bahkan melatihnya untuk mengingat semua kata sandi Anda. Tetapi apakah Anda mengganti kata sandi yang buruk dengan kata sandi yang kuat dan unik? Apakah Anda melindungi semua kata sandi itu dengan kata sandi utama yang kuat yang tidak dapat ditebak orang lain? Singkatnya: apakah Anda menggunakan pengelola kata sandi dengan benar?
Stuart Schechter, Dosen dan Pemimpin Kursus untuk jalur Privasi dan Keamanan yang Dapat Digunakan UC Berkeley, khawatir Anda tidak melakukannya. Sedemikian rupa sehingga dia mendorong mahasiswa pascasarjananya untuk mencari tahu apa yang Anda lakukan. Pada konferensi keamanan RSA virtual 2021, Schechter dan mahasiswa pascasarjana David Ng mengungkapkan temuan mereka.
Kata Sandi Sudah Mati, Hidup Kata Sandi
Schechter memperkenalkan dirinya sebagai pria yang mengenakan topeng N95 di RSAC tahun lalu, seorang eksentrik di antara lautan wajah telanjang. Dia mencatat ini bukan karena praduga apa pun tentang pandemi virus corona, melainkan keengganan untuk membuat asumsi optimis tanpa adanya data. Demikian juga, tanpa data apa pun, dia tidak dapat berasumsi bahwa konsumen menggunakan pengelola kata sandi sebagaimana mestinya.
Schechter mengingat kembali prediksi tahun 2004 dari Bill Gates, yang mengatakan bahwa kita akan semakin jarang menggunakan kata sandi. "Microsoft berbicara tentang menghapus kata sandi, seolah-olah itu penyakit, seperti cacar," kata Schechter. “Tapi kamp terpisah bertaruh pada kata sandi yang berlipat ganda, tidak akan hilang.” Dia mendalami evolusi pengelola kata sandi, bersama dengan acara seperti rilis Microsoft 2006 dari CardSpace yang dimaksudkan untuk mengakhiri kata sandi (tidak), dan pernyataannya bahwa Windows 10 berarti akhir kata sandi (tidak).
Menggunakan pengelola kata sandi memiliki satu risiko intrinsik—Anda telah meletakkan semua telur Anda dalam satu keranjang. Jika tidak mungkin kru peretas memecahkan pengelola kata sandi Anda, Anda berada dalam masalah. Manfaat menggunakan pengelola kata sandi sangat banyak, di antaranya perlindungan terhadap penipuan phishing.
“Anda mengandalkan pengelola kata sandi Anda untuk memasukkan kata sandi yang bahkan tidak Anda ketahui. Jika Anda masuk ke situs phishing, pengelola kata sandi tidak akan mengisinya,” kata Schechter. “Anda harus mencarinya di pengelola kata sandi, dan itu saja merupakan petunjuk besar bahwa Anda sedang ditipu.”
Pengelola Kata Sandi Teratas kami
Dalam studi sebelumnya, Schechter dan rekannya mengevaluasi kemampuan individu untuk mengingat kata sandi yang kuat. Berita bagus? Mereka memutuskan bahwa hampir semua orang dapat mengingat kata sandi yang sangat kuat. Namun, kabar buruknya, untuk melakukannya diperlukan 20-30 sesi pelatihan yang berjarak tidak kurang dari setengah jam, dan kata sandinya dapat dilupakan jika tidak digunakan secara teratur.
Semua manfaat menggunakan pengelola kata sandi bergantung pada tiga asumsi: Kami berasumsi bahwa pengguna akan mengingat kata sandi yang kuat; bahwa mereka akan mengandalkan kemampuan pengelola kata sandi untuk menghasilkan kata sandi acak; dan bahwa mereka akan mengubah kata sandi yang lemah, digunakan kembali, atau disusupi. Tapi apakah asumsi itu akurat? Alih-alih memilih optimisme dalam ketiadaan data, Schechter mendorong mahasiswa pascasarjananya untuk mencari kebenaran.
Data, Data, Data
Mahasiswa pascasarjana David Ng menjelaskan dengan sangat rinci tentang bagaimana grup menemukan peserta mereka, mengumpulkan hampir 2.500 orang menjadi sekitar 100 yang telah menggunakan pengelola kata sandi selama lebih dari lima bulan; mengelola setidaknya lima kata sandi; dan bersedia memberikan tangkapan layar dasbor keamanan pengelola kata sandi mereka.
Jadi, apakah para peserta menggunakan kata sandi utama yang kuat? Sangat sedikit yang membuat pengelola kata sandi yang kemudian mereka hafal. Kelompok yang jauh lebih besar menyusun kata sandi menggunakan perangkat mnemonic, seperti yang sering kami sarankan di PCMag. Sayangnya, kelompok terbesar mengaku menggunakan kembali kata sandi yang sudah dikenal sebagai kunci utama untuk pengelola kata sandi mereka.
Anda dapat menggunakan pengelola kata sandi untuk menyimpan penekanan tombol sambil membiarkan semua kata sandi Anda disetel ke 12345678 atau kata sandi buruk lainnya. Penggunaan yang tepat, tentu saja, mengharuskan Anda mengubah kata sandi yang lemah itu menjadi sesuatu yang dihasilkan oleh utilitas kata sandi. Studi ini menemukan bahwa hampir seperlima dari mereka yang mengandalkan pengelola kata sandi bawaan Chrome pernah membiarkannya menghasilkan kata sandi. Sekitar setengah dari mereka yang mengandalkan utilitas pihak ketiga memanfaatkan fitur ini.
Studi selanjutnya memeriksa bagaimana (dan apakah) peserta menggunakan kemampuan fitur dasbor keamanan untuk mengidentifikasi kata sandi yang lemah, duplikat, dan disusupi. Hasilnya mengecewakan. Bahkan para peserta yang setuju bahwa alat kata sandi mengidentifikasi kata sandi yang perlu diganti dengan benar tidak sering melakukan apa pun untuk mengatasi masalah tersebut. Alasannya termasuk terlalu banyak pekerjaan, atau mereka khawatir memperbarui kata sandi dapat menyebabkan masalah.
Jangan Asumsikan Orang Tahu Apa yang Mereka Lakukan
Ng mengakhiri presentasi dengan peringatan kepada pakar keamanan dan individu. Hanya karena orang memiliki pengelola kata sandi tidak berarti mereka terlindungi sepenuhnya.
"Jangan berasumsi bahwa orang akan memilih kata sandi utama yang kuat," katanya. "Jangan berasumsi bahwa mereka akan menggunakan kata sandi yang dibuat oleh pengelola kata sandi. Dan jangan berasumsi bahwa mereka akan mengganti kata sandi yang lemah, digunakan kembali, atau disusupi, bahkan ketika diingatkan.”
Direkomendasikan oleh Editor Kami
Bagaimana Melakukan Kata Sandi dengan Benar
Anda telah melihat bahwa terlalu banyak orang menginstal pengelola kata sandi dan kemudian tidak menggunakannya dengan benar. Jangan seperti mereka! Biarkan kesalahan mereka menjadi momen yang bisa Anda ajarkan.
Mulailah dengan kata sandi utama itu. Seperti disebutkan, ini melindungi harta karun Anda dari kredensial login, jadi itu harus menjadi sesuatu yang dapat Anda ingat, tetapi tidak ada yang akan menebaknya. Ikuti saran kami untuk mengubah puisi atau lagu favorit menjadi kata sandi, atau pilih sesuatu yang tidak dapat dipahami dari kehidupan pribadi Anda.
Jangan berhenti di situ! Tingkatkan perlindungan kata sandi Anda yang berharga dengan mengaktifkan otentikasi multifaktor. Semua pengelola kata sandi terbaik memilikinya. Sekarang bahkan seorang penjahat yang mencuri kata sandi Anda yang tidak dapat ditebak tidak dapat masuk, karena hanya Anda yang memiliki faktor otentikasi lainnya. Faktor itu bisa berupa biometrik, atau bisa bekerja melalui aplikasi di ponsel di saku Anda (dan bukan milik orang lain).
Banyak pengelola kata sandi menilai kata sandi Anda yang tersimpan, menandai kata sandi yang lemah, yang telah Anda gunakan berkali-kali, atau yang telah terungkap dalam pelanggaran data. Saya tahu ini membosankan, tetapi Anda harus mengatasinya dan mengganti semuanya dengan kata sandi baru yang panjang dan kuat. Mulailah dengan yang terburuk dan lakukan beberapa pada satu waktu, sampai semua kata sandi Anda sempurna. Anda tidak perlu memikirkan kata sandi baru itu; pengelola kata sandi Anda akan membuatnya untuk Anda.
Mungkin Anda menolak menggunakan kata sandi yang rumit karena Anda tidak ingin mengetiknya di keyboard kecil ponsel Anda? Tidak menolak lagi! Instal aplikasi seluler pengelola kata sandi Anda dan tautkan ke akun Anda. Sekarang masuk di telepon sangat mudah.
Terima tantangannya dan pelajari cara menggunakan pengelola kata sandi Anda dengan benar. Jika cukup banyak dari Anda yang melakukannya, mungkin studi berikutnya akan menunjukkan bahwa beberapa orang cukup pintar untuk mendapatkan manfaat penuh dari program yang bermanfaat ini.