Kecewa dengan dampak dari Heartbleed? Kamu tidak sendiri. Bug kecil di perpustakaan SSL terpopuler di dunia membuat lubang besar pada keamanan yang membungkus kami komunikasi dengan semua jenis situs web, aplikasi, dan layanan berbasis cloud — dan tidak semua lubang tersebut ada belum ditambal.
Bug Heartbleed memungkinkan penyerang mengupas lapisan OpenSSL yang tahan pengintaian dan mengintip komunikasi antara klien dan server. Hal ini memberi peretas gambaran tentang hal-hal seperti kata sandi dan cookie sesi, yang merupakan bagian kecil dari data yang dimiliki server mengirimi Anda setelah Anda masuk dan browser Anda mengirimkannya kembali setiap kali Anda melakukan sesuatu untuk membuktikannya Anda. Dan jika bug mempengaruhi situs keuangan, informasi sensitif lainnya yang Anda lewati di Internet, seperti informasi kartu kredit atau pajak, mungkin telah terlihat.
Video yang Direkomendasikan
Bagaimana cara terbaik Internet melindungi dirinya dari kesalahan besar seperti ini? Kami punya beberapa ide.
Ya, Anda memerlukan kata sandi yang lebih aman: Berikut cara membuatnya
Oke, jadi kata sandi yang lebih baik tidak akan mencegah Heartbleed berikutnya, tapi kata sandi itu mungkin menyelamatkan Anda dari peretasan suatu hari nanti. Banyak orang yang tidak pandai membuat kata sandi yang aman.
Anda pernah mendengar semuanya sebelumnya: jangan gunakan “password1”, “password2”, dll. Kebanyakan kata sandi tidak memiliki cukup entropi—tentu saja demikian bukan acak dan mereka akan dapat ditebak jika penyerang mendapat kesempatan untuk membuat banyak tebakan, baik dengan melakukan servis atau (lebih mungkin) mencuri hash kata sandi—turunan matematis dari kata sandi yang dapat diperiksa tetapi tidak dapat dikembalikan ke kata sandi aslinya kata sandi.
Apa pun yang Anda lakukan, jangan gunakan kata sandi yang sama di lebih dari satu tempat.
Perangkat lunak atau layanan pengelolaan kata sandi yang menggunakan enkripsi ujung ke ujung juga dapat membantu. KeePass adalah contoh yang baik dari yang pertama; Lulus Terakhir dari yang terakhir. Jagalah email Anda dengan baik, karena dapat digunakan untuk mengatur ulang sebagian besar kata sandi Anda. Dan apa pun yang Anda lakukan, jangan gunakan kata sandi yang sama di lebih dari satu tempat—Anda hanya akan menimbulkan masalah.
Situs web perlu menerapkan Kata Sandi Sekali Pakai
OTP adalah singkatan dari “kata sandi satu kali”, dan Anda mungkin sudah menggunakannya jika Anda memiliki situs web/layanan yang mengharuskan Anda untuk menggunakannya. Google Otentikator. Sebagian besar pengautentikasi ini (termasuk Google) menggunakan standar Internet yang disebut TOTP, atau Kata Sandi Satu Kali Berbasis Waktu, yang dijelaskan di sini.
Apa itu TOTP? Singkatnya, situs web yang Anda buka menghasilkan nomor rahasia, yang diteruskan satu kali ke program pengautentikasi Anda, biasanya melalui a Kode QR. Dalam variasi berbasis waktu, enam digit angka baru dihasilkan dari nomor rahasia tersebut setiap 30 detik. Situs web dan klien (komputer Anda) tidak perlu berkomunikasi lagi; nomor hanya ditampilkan pada pengautentikasi Anda dan Anda memberikannya ke situs web seperti yang diminta bersama dengan kata sandi Anda, dan Anda masuk. Ada juga variasi yang berfungsi dengan mengirimkan kode yang sama kepada Anda melalui pesan teks.
Kelebihan TOTP : Meskipun Heartbleed atau bug serupa mengakibatkan terungkapnya kata sandi dan nomor pengautentikasi Anda, situs web tempat Anda berada berinteraksi dengan hampir pasti sudah menandai nomor itu sebagai digunakan dan tidak dapat digunakan lagi—dan nomor itu akan menjadi tidak valid dalam waktu 30 detik. Jika situs web belum menawarkan layanan ini, mungkin situs tersebut dapat melakukannya dengan relatif mudah, dan jika Anda memiliki hampir semua ponsel cerdas, Anda dapat menjalankan pengautentikasi. Memang agak merepotkan untuk berkonsultasi dengan ponsel Anda untuk masuk, tetapi manfaat keamanan untuk layanan apa pun yang Anda pedulikan membuatnya sepadan.
Risiko TOTP: Membobol server a berbeda cara ini dapat mengakibatkan terungkapnya nomor rahasia, memungkinkan penyerang membuat pengautentikasinya sendiri. Namun jika Anda menggunakan TOTP bersama dengan kata sandi yang tidak disimpan oleh situs web—sebagian besar penyedia yang baik menyimpan a hash yang sangat tahan terhadap rekayasa balik—maka di antara keduanya, risiko Anda sangat besar diturunkan.
Kekuatan sertifikat klien (dan apa adanya)
Anda mungkin belum pernah mendengar tentang sertifikat klien, namun sebenarnya sertifikat tersebut sudah ada sejak lama (tentu saja di tahun-tahun Internet). Alasan Anda mungkin belum pernah mendengarnya adalah karena hal itu merupakan tugas yang sulit. Jauh lebih mudah untuk meminta pengguna memilih kata sandi, jadi hanya situs dengan keamanan tinggi yang cenderung menggunakan sertifikat.
Apa itu sertifikat klien? Sertifikat klien membuktikan bahwa Anda adalah orang yang Anda klaim. Yang harus Anda lakukan adalah menginstalnya (dan dapat digunakan di banyak situs) di browser Anda, lalu memilih untuk menggunakannya saat situs ingin Anda mengautentikasinya. Sertifikat ini adalah sepupu dekat sertifikat SSL yang digunakan situs web untuk mengidentifikasi dirinya di komputer Anda.
Cara paling efektif yang bisa dilakukan situs web untuk melindungi data Anda adalah dengan tidak pernah memilikinya terlebih dahulu.
Keuntungan dari sertifikat klien: Tidak peduli berapa banyak situs yang Anda masuki dengan sertifikat klien, kekuatan matematika ada di pihak Anda; tidak ada seorang pun yang dapat menggunakan sertifikat yang sama untuk berpura-pura menjadi Anda, meskipun mereka mengamati sesi Anda.
Risiko sertifikat klien: Risiko utama sertifikat klien adalah seseorang dapat membobolnya milikmu komputer dan mencurinya, namun ada mitigasi untuk risiko tersebut. Masalah potensial lainnya adalah sertifikat klien pada umumnya membawa beberapa informasi identitas yang mungkin tidak ingin Anda ungkapkan ke setiap situs yang Anda gunakan. Meskipun sertifikat klien telah ada selamanya, dan dukungan kerja ada di server Web perangkat lunak, masih banyak pekerjaan yang harus dilakukan baik dari sisi penyedia layanan maupun browser mereka bekerja Sehat. Karena jarang sekali digunakan, maka pengembangannya hanya mendapat sedikit perhatian.
Yang paling penting: Enkripsi ujung ke ujung
Cara paling efektif yang bisa dilakukan situs web untuk melindungi data Anda adalah dengan tidak pernah memiliki data tersebut sejak awal — setidaknya, versi yang tidak dapat dibaca oleh situs tersebut. Jika situs web dapat membaca data Anda, penyerang dengan akses yang memadai dapat membaca data Anda. Inilah mengapa kami menyukai enkripsi ujung ke ujung (E2EE).
Apa itu enkripsi ujung ke ujung? Ini artinya kamu mengenkripsi data di pihak Anda, dan itu tetap dienkripsi hingga mencapai orang yang Anda tuju, atau dikembalikan kepada Anda.
Keuntungan E2EE: Enkripsi ujung ke ujung sudah diterapkan di beberapa layanan, seperti layanan pencadangan online. Ada juga versi yang lebih lemah di beberapa layanan pesan, terutama yang muncul setelah pengungkapan Snowden. Sulit bagi situs web untuk melakukan enkripsi end-to-end, karena dua alasan: mereka mungkin perlu melihat data Anda untuk menyediakan layanannya, dan browser Web sangat buruk dalam melakukan E2EE. Namun di era aplikasi ponsel pintar, enkripsi end-to-end adalah sesuatu yang bisa dan harus dilakukan lebih sering. Saat ini sebagian besar aplikasi tidak menggunakan E2EE, namun kami harap kami akan melihat lebih banyak lagi aplikasi tersebut di masa mendatang. Jika aplikasi Anda tidak menggunakan E2EE untuk data sensitif Anda, Anda harus mengeluh.
Risiko E2EE: Agar enkripsi end-to-end dapat berfungsi, hal ini harus dilakukan secara menyeluruh—jika aplikasi atau situs web hanya melakukannya dengan setengah hati, keseluruhan sistem dapat runtuh. Sepotong data yang tidak terenkripsi terkadang dapat digunakan untuk mendapatkan akses ke data lainnya. Keamanan adalah permainan yang paling lemah; hanya satu mata rantai dalam rantai yang gagal memutusnya.
Jadi sekarang bagaimana?
Tentu saja, tidak banyak hal yang dapat Anda, sebagai pengguna, kendalikan. Anda akan beruntung menemukan layanan yang menggunakan kata sandi satu kali dengan pengautentikasi. Namun Anda harus menghubungi situs web dan aplikasi yang Anda gunakan dan memberi tahu mereka bahwa Anda menyadari adanya bug dalam perangkat lunak terjadi, dan menurut Anda mereka harus lebih memperhatikan keamanan dan tidak hanya mengandalkan kata sandi.
Jika lebih banyak orang di Internet yang menggunakan metode keamanan tingkat lanjut ini, mungkin di lain waktu akan terjadi bencana perangkat lunak berskala Heartbleed—dan disanalah akan pada akhirnya—kita tidak perlu terlalu panik.
[Gambar milik sabit5/stok foto]
