Jika ada satu hal yang diasosiasikan orang dengan teknologi modern, itu adalah kata sandi. Mereka ada di mana-mana, dan kebanyakan dari kita menggunakannya untuk banyak hal setiap hari. Namun kebanyakan orang sangat acuh tak acuh tentang keamanan kata sandi mereka. Sebagian besar dari kita mungkin mengenal seseorang yang menggunakan kata sandi yang sama untuk semuanya, dari komputer dan email mereka ke Facebook dan rekening bank mereka — dan kata sandi itu mungkin sesuatu yang sejelas hari ulang tahun mereka atau nama jalan tempat mereka dibesarkan. Dan kita juga mungkin mengenal seseorang yang memiliki catatan tempel di sisi monitor mereka berlabel "Passwords" (dalam merah, bergaris bawah ganda) dengan daftar segalanya mulai dari Twitter hingga Netflix yang terbuka bagi siapa saja membaca.
Praktik ini mungkin terdengar seperti sesuatu dari generasi kakek-nenek kita, tetapi itu tidak sepenuhnya benar: Minggu lalu saya menonton a anggota penuh Generasi D mencoba beralih dari Samsung Galaxy S (eh, Fascinate) ke HTC Rezound melalui notebook-nya komputer. Bagaimana dia memindahkan semua kata sandinya? Dia memiliki selembar kertas di dompetnya dengan "semua kata sandinya" - dan seterusnya
semua maksudnya tiga. Satu untuk email dan jejaring sosial, satu untuk email bibinya yang hebat ("Saya memeriksanya untuknya"), dan satu lagi untuk yang lainnya. Melihat dari balik bahunya, ketiganya adalah kata-kata sehari-hari: gelandangan,penggumam, Dan lillian. Tebak yang mana bibinya?Video yang Direkomendasikan
Untungnya, ada cara sederhana untuk membuat kata sandi yang sulit ditebak dan mudah diingat. Sayangnya, industri teknologi terkadang menghalangi penggunaannya. Berikut adalah ikhtisar kelemahan umum kata sandi dan beberapa cara untuk meningkatkan kata sandi dan keamanan online Anda.
Ketidakjelasan versus kompleksitas
Sebuah disangkal umum tentang password adalah bahwa mereka harus tidak pernah mudah ditebak. Sebagian besar orang yang paham teknologi setuju bahwa tidak seorang pun boleh menggunakan detail tentang diri mereka sendiri sebagai kata sandi: Itu termasuk ulang tahun, alamat, dan nama teman dan keluarga (termasuk orang tua, saudara kandung, pasangan, anak, dan bahkan hewan peliharaan). Demikian pula, kata sandi membuat kata sandi yang sangat buruk - seperti halnya yang lainnya kata sandi sekali pakai yang umum digunakan.
Nasihat abadi ini sering ditafsirkan sebagai kata sandi yang seharusnya samar, atau istilah yang tidak akan pernah Anda pikirkan jika mereka memiliki satu juta tahun. Ya, ketidakjelasan bisa berhasil — dan ini jauh lebih baik daripada memilih kata sandi yang jelas. Namun, kata sandi yang tidak jelas hanya melindungi Anda dari orang yang mengetahui sesuatu tentang Anda. Kemungkinan besar, kebanyakan orang mencoba memecahkan kata sandi Anda jangan kenal kamu.
Sebagian besar peretasan kata sandi tidak terjadi seperti yang digambarkan dalam film, di mana Our Hero (atau The Penjahat) duduk di depan keyboard, mencoba satu atau dua frasa, menggosok dagunya, lalu melihat foto masa kecilnya meja. Aha! Ketik kata ajaib dan presto, keamanan dielakkan. Di dunia nyata, sebagian besar peretasan kata sandi dilakukan secara otomatis, dengan komputer secara harfiah melemparkan setiap kata dalam kamus (dan kemudian beberapa) pada suatu sistem dengan harapan tersandung istilah yang benar. Pendekatan ini dapat berhasil karena komputer dapat mencoba kata sandi jauh lebih cepat daripada manusia mengetiknya, dan mereka dapat bekerja 24 jam sehari, tujuh hari seminggu, tanpa istirahat di kamar mandi. Peretas kata sandi otomatis tidak tahu apa-apa tentang pengguna yang mereka coba kompromikan: Ini adalah pendekatan kasar.
Jadi, ternyata kunci kata sandi yang kuat bukan itu ketidakjelasan tapi itu kompleksitas — hal-hal yang membuatnya tidak mudah ditebak oleh cracker kata sandi otomatis. Namun, membuat kata sandi kompleks yang bagus berarti mengetahui sedikit tentang bagaimana kata sandi dapat dibobol.
Melanggar kata sandi
Dalam istilah yang sangat umum, cracker kata sandi biasanya memiliki dua pendekatan. Salah satunya adalah dengan benar-benar mencoba daftar kemungkinan kata sandi yang telah dikompilasi sebelumnya. Ini biasanya dimulai dari kata sandi yang sangat umum (seperti kata sandi atau qwerty) dan turun ke istilah yang kurang umum, dan akhirnya menggunakan daftar kata yang disusun dari kamus online dan sumber lainnya. Pendekatan ini lebih cenderung menemukan kata sandi yang merupakan kata atau varian yang valid, meskipun tidak jelas.
Pendekatan peretasan kata sandi lainnya adalah mencoba urutan huruf, angka, dan simbol yang valid, apa pun artinya. Pemecah kata sandi yang menggunakan pendekatan ini mungkin dimulai dengan aaaaaa untuk kata sandi delapan karakter, lalu coba aaaaaab Kemudian aaaaaac dan seterusnya ke atas alfabet, melalui campuran huruf besar dan kecil, dan memasukkan angka dan simbol. Pendekatan ini lebih cenderung menemukan kata sandi yang “ramah mesin” atau dibuat secara acak. Kode sandi seperti 4De78Hf1 tidak lebih sulit untuk menemukan cara ini daripada remaja akan menjadi.
Jadi, apa kemungkinan kata sandi dapat ditebak? Sebagian besar sistem saat ini memungkinkan pengguna membuat kata sandi menggunakan huruf (huruf besar dan kecil), angka, dan pilihan simbol. Simbol yang diizinkan sering kali berbeda di antara sistem (beberapa mengizinkan hampir semua hal, yang lain hanya mengizinkan segelintir), tetapi untuk tujuan kita, mari kita anggap itu berarti setiap karakter dalam kata sandi dapat menjadi salah satu dari sekitar 80 nilai - dua huruf masing-masing 26 huruf, sepuluh angka, dan 18 simbol. (Secara teori, setidaknya 127 nilai harus tersedia untuk setiap karakter, tetapi dalam praktiknya jumlahnya lebih kecil.)
Menggunakan pendekatan brute force murni, itu berarti dibutuhkan maksimal 80 tebakan untuk secara acak menemukan kata sandi satu karakter. Kata sandi empat karakter dapat mengambil lebih dari 40 juta tebakan (80 × 80 × 80 × 80 = 40.960.000) dan kata sandi delapan karakter dapat mengambil lebih dari 1,6 kuadriliun tebakan (1.677.721.600.000.000).
Jika seorang cracker kata sandi mampu membuat 1.000 tebakan per detik, dibutuhkan sekitar satu bulan untuk menjalankan semua kombinasi kata sandi empat karakter, dan lebih dari 53.000 bertahun-tahun untuk menjalankan semua kombinasi kata sandi 8 karakter. Tampaknya cukup aman, bukan?
Yah, tidak juga. Dalam istilah statistik murni, seorang cracker memiliki peluang 50/50 untuk menemukan kata sandinya setengah waktu itu. Lebih meresahkan, orang-orang yang membuat password cracker memiliki cara lain untuk meningkatkan peluang mereka. Ingat bagaimana kata sandi apakah salah satu kata sandi terburuk untuk digunakan? Tebak apa juga kata sandi yang sangat buruk? kata sandi, mengganti angka nol dengan huruf O. Sementara cracker kata sandi menjalankan kata-kata umum mereka dari kamus, mereka juga mencoba varian umum pada kata-kata itu kata-kata, mengganti nol untuk O, tanda @ dan 4 untuk A, 3 untuk E, 1 dan! untuk I, 7 untuk T, 5 untuk S, dan segera. Demikian pula, 0qww294e adalah kata sandi yang buruk - itu saja kata sandi digeser satu baris ke atas pada keyboard bahasa Inggris standar. Teknik ini memangsa preferensi pengguna untuk kata sandi yang mudah diingat. Sayangnya, dengan mengganti (atau menggunakan huruf kapital) satu atau dua karakter dalam istilah yang mudah diingat, kebanyakan orang membuat kata sandi mereka lebih tidak jelas, tetapi tidak jauh lebih aman. Faktanya, kata sandi delapan karakter pilihan pengguna biasa dengan campuran huruf besar-kecil, angka, dan simbol biasanya hanya memiliki sekitar 30 bit entropi, atau sedikit lebih dari satu miliar kemungkinan kombinasi. Mengapa? Karena daftar istilah orang yang menjadi dasar kata sandi mereka jauh lebih kecil daripada total kemungkinan kombinasi huruf, angka, dan simbol.
Seberapa cepat kata sandi dapat dipecahkan? Mencoba 1.000 kata sandi per detik mungkin tampak mustahil — lagipula, sebagian besar layanan cenderung mengunci akun kita sendiri jika kita salah ketik kata sandi tiga atau empat kali, sering kali menyetel ulang kata sandi dan mengharuskan kami menjawab pertanyaan keamanan untuk membuat yang baru satu. Teknik "gerbang" ini Mengerjakan meningkatkan keamanan akun, dan kebetulan, juga merupakan cara mudah yang sangat menyilaukan untuk mengganggu orang. (Saya tidak dapat memberi tahu Anda berapa kali saya telah dikunci dari akun iTunes saya oleh serangan kata sandi, tetapi mungkin lebih dari seratus.)
Namun, penyerang yang bermaksud memecahkan kata sandi tidak mengetuk pintu depan layanan dan mencoba (secara harfiah) jutaan kali untuk masuk ke akun yang sama. Mereka menggunakan metode autentikasi yang tidak terlalu publik yang tidak tunduk pada penguncian (seperti API pribadi untuk mitra atau aplikasi), menyebarkannya serangan di berbagai akun untuk menghindari periode penguncian, atau (skenario kasus terbaik) menerapkan teknik peretasan kata sandi untuk kata sandi yang dicuri data. Sebagian besar sistem mengenkripsi data kata sandi yang mereka simpan, tetapi file terenkripsi tersebut hanya seaman sistem itu sendiri. Jika penyerang bisa mendapatkan file kata sandi terenkripsi (melalui lubang keamanan, disusupi mesin, atau rekayasa sosial, sebagai permulaan) mereka dapat menyerangnya dengan sangat cepat setelah menyerang sendiri sistem. Itu sebabnya cerita tentang penyerang mendapatkan informasi akun (seperti Stratfor, Epsilon, Sony, Dan Zappos) mengganggu. Setelah data terenkripsi dilepaskan, penyerang dapat menerapkan alat yang jauh lebih kuat untuk membukanya.
Di dunia nyata, itu berarti angka 1.000 kata sandi per detik sangatlah konservatif. Perangkat keras komputasi desktop biasa saat ini dapat diuji jutaan kata sandi sedetik terhadap teknologi enkripsi umum. Demikian pula, sekarang ada alat pembobol kata sandi yang memanfaatkan prosesor grafis, dan operator botnet kriminal juga berkecimpung dalam bisnis pembobolan kata sandi. Mereka dapat menyebarkan beban kerja ke ribuan komputer. Gabungkan kekuatan mentah ini dengan heuristik canggih (seperti mencoba varian angka dan huruf kata-kata umum) dan bukan hal yang aneh untuk memecahkan kata sandi pengguna delapan karakter biasa dalam waktu kurang dari setengah jam.
Menembak diri kita sendiri di kaki
Kami mencatat di atas bagaimana kata sandi delapan karakter, dengan huruf besar, huruf kecil, angka, dan simbol, memiliki lebih dari satu kuadriliun kemungkinan kombinasi, tetapi sebagian besar kata sandi delapan karakter yang digunakan saat ini berada dalam kumpulan hanya sekitar satu miliar kombinasi. Itu karena manusia bukanlah mesin. Di mana komputer puas untuk digunakan kura-kura darat atau Y&4nS0\2 sebagai kata sandi, tebak mana yang lebih mudah diingat oleh manusia? Sekarang, tebak mana yang lebih aman.
Beberapa sistem menerapkan persyaratan kata sandi yang dimaksudkan untuk memastikan pengguna tidak menggunakan kata sandi yang mudah diretas. Pendekatan yang umum adalah meminta kata sandi pengguna untuk memiliki setidaknya satu huruf besar, satu angka, satu simbol, dan panjangnya setidaknya delapan karakter. (Beberapa sistem tidak menerapkan persyaratan, tetapi menawarkan ukuran "kekuatan kata sandi" sebagai ukuran seberapa efektif menurutnya kata sandi dapat be.) Beberapa sistem juga mengharuskan pengguna untuk mengubah kata sandi mereka sesering mungkin (katakanlah, setiap 30 atau 45 hari) dan mencegah mereka menggunakan kembali kata sandi.
Persyaratan semacam ini Mengerjakan meningkatkan keamanan kata sandi, tetapi juga membuat kata sandi jauh lebih sulit untuk diingat orang. Itu berarti sebagian besar pengguna akan segera menemukan cara untuk menumbangkan keamanan sistem demi kenyamanan mereka sendiri. Tentu, beberapa orang dapat mengatasi kata sandi seperti 9.3nDs(# tetapi banyak orang lain yang akan menanggapi dengan catatan tempel berisi kata sandi di sisi monitor, catatan di dompet, atau dokumen Microsoft Word di desktop mereka diberi label "Kata Sandi" sehingga mereka dapat menyalin dan menempel saat diperlukan. Persyaratan pembuatan kata sandi juga cenderung mengganggu produktivitas dan meningkatkan biaya dukungan (baik untuk karyawan maupun pelanggan), karena lebih banyak orang akan lupa kata sandi mereka atau terkunci dari akun mereka, membutuhkan manual intervensi.
Membuat kata sandi yang rumit
Cawan Suci kata sandi kemudian akan tampak seperti kata sandi kompleks cukup sehingga tidak praktis untuk meretas menggunakan teknik otomatis, namun cukup mudah untuk diingat bahwa pengguna tidak membahayakan keamanan dengan menyimpan atau mengelolanya secara tidak aman.
Berikut beberapa tip untuk membuat kata sandi yang rumit dan mudah diingat:
- Gunakan password yang panjang. Jika kata sandi delapan karakter dapat memiliki 1,6 kuadriliun kemungkinan kombinasi, bayangkan berapa banyak kata sandi 16 karakter yang dapat dimiliki? (Sekitar 2,8 miliar, atau 2,830.) Namun, mungkin yang lebih penting, kumpulan nilai untuk kata sandi 16 karakter menggunakan istilah umum dan variasinya hanya di bawah 1,2 triliun, di mana hanya lebih dari satu miliar dengan delapan karakter kata sandi. Menggunakan kata sandi yang lebih panjang adalah cara termudah untuk membuat kata sandi lebih rumit dan lebih aman.
- Gunakan kata gabungan. Bagaimana cara membuat kata sandi panjang yang mudah diingat? Salah satu teknik yang umum adalah dengan menggunakan rangkaian tiga sampai lima sederhana, tidak terkait ketentuan. Ini umumnya mudah diingat seperti nomor PIN; secara kognitif, orang cenderung mengingat seluruh kata sebagai satu kesatuan. Namun, kata sandi ini bisa sangat rumit, setidaknya dari sudut pandang peretasan kata sandi. Dan kata sandi ini mudah dibuat hanya dengan melihat-lihat atau membalik buku ke halaman acak. Melirik ke luar jendela saya, saya melihat mainan katak, mobil, dan jendela dapur seseorang. Kata sandi baru: FrogHubcapCupboard — itu 18 karakter, tapi hanya tiga kata yang perlu diingat. Melihat ke kanan: RunnerCameraGlueString — empat kata pendek, 22 karakter. Saya hanya menggunakan huruf besar untuk membantu mengeluarkan kata-kata. Menambahkan lebih banyak karakter atau substitusi dapat meningkatkan kerumitan — jangan terlalu rumit sehingga Anda menjadi sasaran kelemahan kata sandi yang sulit.
- Gunakan frase atau lirik. Cara lain untuk membuat kata sandi yang panjang adalah dengan menggunakan bagian dari frasa atau lirik. Untuk lirik, lagu yang relatif umum mungkin lebih baik daripada lagu yang sangat penting bagi Anda: sekali lagi, Anda tidak mau orang yang mengenal Anda dengan baik dapat menebak kata sandi Anda hanya karena Anda adalah penggemar berat Michael Bolton (atau bukan). Contoh kata sandi yang dibuat dari fase atau lirik mungkin Anda Bukan JackKennedy (19 karakter), iShotaManinReno (15 karakter), impeepinandimcreepin (20 karakter).
- Gunakan mnemonik. Kelemahan dari kata sandi yang panjang adalah sulit untuk diketik, terutama pada perangkat seluler. Trik lain yang menurut beberapa orang berguna untuk menghasilkan kata sandi kompleks yang lebih pendek adalah menggunakan karakter pertama dari setiap kata dalam frasa atau lirik. "Berapa banyak jalan yang harus dilalui seseorang" bisa jadi HmrmamwD—hanya delapan karakter, tetapi relatif rumit dari sudut pandang program pembobol kata sandi. Demikian pula, "Kocok, kocok seperti gambar polaroid" bisa menjadi SiSiLapp - mungkin tidak bagus, tapi lebih baik dari kura-kura darat. Trik ini juga dapat membantu menghasilkan kata sandi yang baik untuk sistem yang masih memiliki batasan berapa lama kata sandi dapat dibuat.
Pedoman ini umumnya akan membantu Anda membuat kata sandi yang rumit dan mudah diingat. Tentu saja, ketika berurusan dengan sistem kata sandi dengan persyaratan komposisi (artinya, mereka mengharapkan huruf campuran, angka, atau simbol) Anda masih harus membuat kata sandi yang funky untuk memenuhinya persyaratan. Ingatlah bahwa dengan kata sandi yang lebih panjang, Anda dapat membuat penggantian dan perubahan di tempat yang jelas — biasanya, kata sandi yang panjang ini lebih mudah diingat bahkan dengan persyaratan daripada kata sandi yang pendek dan tidak masuk akal kata sandi.
Beberapa petunjuk lainnya
Hal-hal lain yang perlu dipikirkan saat memilih sandi:
- Gunakan kata sandi terpisah untuk layanan terpisah. Jangan gunakan kata sandi jejaring sosial Anda untuk perbankan online. Jika kata sandi dikompromikan pada satu layanan, yang lain harus aman.
- Pilih kata sandi penting dengan hati-hati. Sistem masuk tunggal mungkin sangat nyaman, tetapi juga menciptakan satu titik kegagalan untuk beberapa layanan. Contohnya adalah kata sandi untuk akun di Google, Yahoo, dan layanan Microsoft, di mana satu kata sandi yang diretas dapat diberikan seseorang mengakses email, dokumen, gambar, jejaring sosial, blog, perpustakaan foto, daftar kontak, buku alamat, dan lagi. Demikian pula, dengan begitu banyak situs (bahkan Tren Digital) menerima login Facebook dan Twitter, kata sandi jejaring sosial yang dikompromikan dapat memiliki dampak yang luas.
- Ubah kata sandi Anda. Sangat menggoda untuk berpikir bahwa jika salah satu kata sandi Anda dibobol, Anda akan langsung tahu: email Anda akan hilang, blog Anda akan hilang menjadi satu set grafik lulz, daftar hadiah Amazon Anda mungkin diisi dengan opsi yang memalukan, akun PayPal Anda mungkin dihapus keluar. Namun, tidak selalu demikian: Jika seseorang meretas kata sandi Anda, mungkin tidak ada tanda yang jelas, setidaknya tidak langsung. Dengan mengubah kata sandi Anda secara teratur, Anda memastikan bahwa meskipun seseorang menerobos masuk, peluang mereka untuk mengeksploitasi Anda terbatas. Frekuensi Anda harus mengubah kata sandi bervariasi dengan cara Anda menggunakan layanan online. Untuk apa pun yang melibatkan uang sungguhan, saya biasanya menyarankan pengguna mengubah kata sandi mereka setiap 30 hingga 90 hari — semakin banyak uang, semakin sering.
Tidak ada kata sandi yang aman
Mungkin hal yang paling penting untuk diingat tentang kata sandi adalah itu setiap kata sandi dapat diretas: Ini hanya pertanyaan tentang berapa banyak waktu dan upaya yang bersedia dilakukan seseorang untuk itu. Kiat di sini akan membantu mengurangi kemungkinan kata sandi Anda di-root oleh penyerang acak dan bahkan teman dan keluarga, tetapi tidak ada kata sandi yang benar-benar aman. Jika akses aman ke suatu layanan sangat penting bagi Anda, pertimbangkan untuk mencari berbagai bentuk autentikasi multi-faktor untuk lebih mengurangi kemungkinan akses tidak sah.
Kredit gambar: Shutterstock / jamdesign / Tatyana Popova / Pedro Miguel Sousa
Rekomendasi Editor
- Kata sandi yang memalukan ini membuat selebritas diretas
- Tidak, 1Password tidak diretas – inilah yang sebenarnya terjadi
- Cara melindungi folder dengan kata sandi di Windows dan macOS
- LastPass mengungkapkan bagaimana itu diretas — dan itu bukan kabar baik
- Reddit diretas — inilah cara menyiapkan 2FA untuk melindungi akun Anda
