Kebanyakan dari orang-orang awam memahami bahwa kekuatan dari kata sandi (password) itu ditentukan dari berapa banyak jenis karakter yang ada didalam kata sandi tersebut. Dan banyak yang beranggapan bahwa “kompleksitas adalah sebuah keamanan”, karena saya melihat begitu banyak form-form pendaftaran online yang mungkin berpikir seperti itu dengan memaksa penggunanya menggunakan sebuah kombinasi antara huruf kapital, angka, dan beberapa karakter unik seperti tanda baca, dll. Tapi jika saya menjadi seorang attacker (penyerang yang akan mencuri kata sandi) saya tidak setuju dengan pernyataan seperti itu. Karena kompleksitas sudah tidak lagi bisa digunakan untuk melawan model ancaman modern saat ini. Terus apa yang membuat kata sandi menjadi kuat dan tahan terhadap serangan hacker? Pertama-tama kita perlu mengetahui dan melakukan analisis terhadap model ancaman aktual yang dihadapi oleh kebanyakan orang.

Kompleksitas dari Kata Sandi

Kekuatan dari kata sandi seringkali hanya merupakan fungsi dari kompleksitas, atau jumlah karakter dalam kata sandi tersebut, diukur dengan penggunaan simbol, angka, dan huruf kapital dan huruf kecil. Tetapi menambahkan beberapa karakter berbeda ke kata sandi teman-teman tidak secara signifikan meningkatkan kekuatan dari kata sandi itu sendiri, terlepas dari apa yang disarankan oleh notifikasi hijau di sebelah kata sandi saat mengisi form khususnya bagian kata sandi. Sebenarnya kompleksitas meningkatkan kesulitan saat serangan brute force, tetapi serangan semacam itu sangat jarang terjadi khususnya pada tahun 2019 ini.

Sebaliknya, banyak kasus pencurian credential terjadi dalam pencurian data besar-besaran atau kebocoran dari organisasi-organisasi besar. Kekuatan kata sandi ini tidak akan membantu jika seorang attacker sudah memiliki kata sandi teman-teman dalam bentuk plain text atau teks biasa tanpa adanya encryption.

Gunakan Kata Sandi yang Unik

Kebanyakan orang sangat rentan terhadap sesuatu yang disebut “credential stuffing“. Dimana orang-orang sangat cenderung untuk menggunakan kembali kata sandi tersebut yang artinya setiap akun menggunakan kata sandi yang sama baik itu kata sandi email dengan kata sandi akun sosial medianya. Misalnya pada akun email gmail, facebook dan instagram. Padahal itu sangat bahaya bahkan akan jauh lebih berbahaya daripada kata sandi yang lemah seperti “tanggal jadian dengan pacar”. Kata sandi yang sama kemudian digunakan kembali pada setiap platform akan menjadi bencana yang sangat besar setelah terjadi kebocoran terhadap kata sandi.

Menggunakan kata sandi yang unik jauh lebih aman, jadi mulailah dengan kata sandi yang unik hari ini jika teman-teman belum melakukannya.

Jumlah Karakter Lebih Penting daripada Kompleksitas

Selama bertahun-tahun kita telah diberi penahanan untuk menganggap kompleksitas sebagai faktor yang terpenting pada kata sandi. Dan sementara untuk serangan brute force sangat jarang terjadi, kompleksitas bahkan bukan pertahanan terbaik terhadap serangan brute force. Jumlah atau panjang karakter lah yang sebenarnya jauh lebih penting.

Jumlah karakter pada kata sandi memiliki hubungan eksponensial dengan waktu yang dibutuhkan untuk memecahkan kode dari kata sandi itu sendiri (cracking), jadi dengan menambah jumlah karakter pada kata sandi dapat menambah waktu dalam pemecahan kata sandi (cracking). Sedangkan kompleksitas memiliki hubungan yang linier dengan cracking.

Contoh

Sebuah komputer untuk melakukan cracking dengan performa yang sangat tinggi dapat memecahkan kata sandi yang terlihat kompleks seperti @ZuLfA98_ hanya dalam 80 menit saja. Dengan menambah panjang karakter dengan satu huruf katipal dapat menambah waktu itu menjadi hampir ke 36 jam, sementara mengubah huruf menjadi simbol tidak memberikan perubahan yang begitu berarti dalam cracking password.

Lupakan tentang kompleksitas. Kata sandi terbaik sebenarnya adalah pass-phrases. Teman-teman mungkin bisa membuat sebuah cerita singkat yang berkesan, jadi itu tidak akan terkesan seperti sebuah kata sandi yang dibuat secara acak, bahkan teman-teman akan sulit untuk melupakannya.

Aktifkan Sistem Two-Factor Authentication

Jika terjadi kebocoran pada sistem. Kekuatan dari sebuah kata sandi tidak akan lagi menyelamatkan teman-teman. Jadi bagaimana teman-teman bisa mengamankan diri dari kebocoran sistem ini? Jawabannya adalah Two-Factor Authentication (2FA). Dengan 2FA server akan menghasilkan kode-kode unik kemudian mengirimkan kode aktif tersebut kepada pengguna saat melakukan login.

Sayangnya, seorang attacker dapat dengan mudahnya mendapatkan kode SMS tersebut hanya dengan melakukan kloning kartu SIM. Untuk mencegah penyadapan seperti ini, teman-teman bisa menggunakan aplikasi 2FA seperti Google Authenticator, atau pengelola kata sandi yang sudah mendukung 2FA seperti 1Password.

Kesimpulan

Kebocoran dan pencurian data pasti akan terjadi. Oleh karena itu penting untuk mengaktifkan sistem Two-Factor Authentication (2FA) agar akun dan data menjadi lebih aman jika terjadinya kebocoran dan pencurian data yang tidak disengaja. Dan jangan lupa selalu gunakan kata sandi unik (tidak sama satu dengan lainnya)