Password yang Efektif (Advanced)

617 416 Dian Boyke

Penggunaan password sebagai bentuk pengamanan data dan hak akses tetap menjadi yang terpopuler dan umum digunakan  saat ini. Kita mengenal PIN, retina, sidik jari, voice, kartu akses tetapi hanya penggunaan password yang efektif lah yang paling cocok dan paling banyak diadopsi di teknologi digital.

Mungkin sudah sering kali kita di edukasi oleh website-website tentang kriteria membuat password yang efektif. Beberapa cotoh diantaranya seperti:

  • Panjang minimum password adalah 6 karakter.
  • Semakin panjang password semakin baik.
  • Kombinasikan password dengan menggunakan karakter alfabet (a,b,c), numerik (1,2,3) dan symbol (!@#).
  • Tidak menggunakan kata-kata yang umum dan sering digunakan pada password (admin123, p@ssword, 123456).
  • Gunakan kombinasi Upper-case dan Lower-case
  • Hindari penggunaan karakter pengulangan (123123, lkjlkj)
  • Jangan gunakan password yang sama dengan username (admin/admin, boy/boy)

Kriteria-kriteria yang disebut diatas sudah cukup untuk membuat password yang efektif dan baik. Tetapi tidak cukup baik untuk jangka panjang. Gambarannya seperti ini, untuk melihat seberapa kuat password kita sampai bisa dibobol hacker kita bisa nge-test-nya di situs https://howsecureismypassword.net/.

Misalkan saya menggunakan password yang sesuai dengan kriteria-kriteria seperti diatas, yakni “T@n4bAnG!”. Dari web tersebut memperkirakan dibutuhkan waktu sekitar 4 minggu untuk sebuah komputer membobol password tersebut. Dan waktu untuk membobol password akan semakin lama dengan terus menambah karakter kedalam password.

Walaupun terbilang mingguan, tahunan atau ribuan tahun waktu yang dibutuhkan sampai password terbobol, tetapi ada satu hal yang perlu kita ingat disini. Pertumbuhan komputasi terus tumbuh dua kali lipat pertahun sesuai dengan moore’s law, sejalan dengan berkembangnya teknologi tanpa henti setiap waktu. Kita bicara Cloud, Super computer, Big data dan semua teknologi yang mendukung komputasi dan manajemen data secara masif dan distribute.

Dari semua kemajuan teknologi tersebut yang menjadikan waktu untuk membongkar password akan semakin singkat. Disini saya tidak akan berbicara alternatif penggunaan password, melainkan bagaimana membuat sebuah password yang efektif dan tetap mempertahankan rasio waktu sampai terbobol akan selalu tinggi.

Cara Mereka Membobol

Untuk membuat password yang efektif ada baiknya kita mulai dengan memahami bagaimana cara Cracker bekerja. Terdapat bermacam teknik untuk melakukan tugasnya tetapi satu hal yang pasti adalah, sebagian besar teknik tersebut membutuhkan tools tambahan untuk membantu tugasnya seperti Cain and Abel, John the Ripper, Hashcat, Hydra, DaveGrohl:

Beberapa metode yang biasa digunakan adalah:

  • Brute force attack: Teknik ini melakukan kombinasi semua atau beberapa karakter untuk menebak-nebak password. Kombinasi yang dilakukan biasanya dilakukan secara sekuensial, misalkan dimulai dengan karakter A, B, C… AA, AB, AC dan seterusnya.
  • Dictionary: Apa yang dilakukan metode ini adalah dengan mencoba password berdasarkan kumpulan “kamus” password yang biasa digunakan user sebagai password. Metode ini telah mengalami pengembangan dengan melakukan pendekatan menggunakan kamus yang lebih fokus pada target. Semua informasi yang relevan terhadap target baik yang langsung maupun yang tidak langsung, semua dikumpulkan menjadi sebuah kamus tersendiri. Pengumpulan informasi dapat dilakukan melalui penggalian data di social media atau dengan cara offline.
  • Hash Table: Kebanyakan website menyimpan data kredensial seperti password dengan melakukan one-way-encryption atau hashing. Artinya walaupun kita memiliki password yang efektif dan sudah di hash, tetapi tidak dimungkinkan bagi kita untuk melakukan decrypt menjadi password. Yang cracker lakukan adalah mereka membuat database hashing yang sangat besar, dan mencoba membandingkan password yang sudah di hash dengan database hash yang mereka miliki.
  • Snifing: Teknik yang melakukan pendekatan dari sisi network ini bekerja dengan cara “mengintip” lalu lalang paket data yang melintas di network, kemudian dipisahkan antara data kredensial dengan data yang tidak informatif.
  • Keylogger: Ada dua macam bentuk keylogger ini, ada yang software dan hardware. Tujuan utama dari teknik ini adalah mencatat setiap aktifitas yang terjadi pada device input, terutama keyboard.
  • Social engineering: Teknik yang lebih banyak unsur humanisnya (bugs in the human hardware) dalam melakukan pekerjaannya. Contoh sederhananya seperti mengamati dari belakang pada saat target sedang mengetikan password, Phising dengan website tiruan melalui email yang meminta untuk memasukan password.

Password yang efektif - source: https://idevangelist.com/2016/01/beberapa-jenis-password-yang-identik-dengan-orang-indonesia-idv/

Aturan Tambahan Membuat Password yang Efektif

Disini kita akan lebih memperketat aturan-aturan yang telah disebutkan diatas, dengan cara membandingkannya dengan metode dan tools yang digunakan untuk meng-crack password.

  • Selain mengkombinasikan karakter password dengan alfabet, numerik dan karakter simbol, urutan penggunaan karakter-karakter tersebut dapat membantu mempersulit teknik brute-force attact. Urutan penggunaan karakter berikut mewakili bobot nilai kesukaran password. Urutannya adalah Simbol > Numerik > Huruf Kapital > Huruf Kecil. Dengan menggunakan karakter simbol di awal password dapat mengulur waktu sampai password dapat dipecahkan. Jadi password “$boi” lebih efektif ketimbang “bUd!”. Tambahkan satu atau dua karakter simbol di depan password yang digunakan sekarang agar sulit dibobol
  • Hindari menggunakan password yang memiliki hubungan langsung terhadap personal kita. Contohnya seperti tanggal lahir anak, nama hewan peliharaan, band favorite, nama kekasih, merk mobil kesayangan dan semua informasi relevan lainnya. Data-data tersebut dapat dengan mudah digali dengan tools seperti Maltego.
  • Gunakan password yang melibatkan penggunaan dua tangan dan lebih dari dua jari pada saat mengetik di keyboard. Misalkan kombinasi “lkjlkj”, “ponny”, “swe@r”, “f1r3d” semua password ini hanya menggunakan sebelah tangan saja untuk mengetiknya pada keyboard dengan layout QWERTY. Penggunaan password yang kurang menggunakan kombinasi tangan kanan dan kiri akan memudahkan orang menebak password, dengan hanya melihatnya pada saat kita mengetikan password tersebut.
  • Penggunaan bahasa alay (menggantikan karakter dengan karakter yang serupa, seperti 4dm1n, jH0n, j4K@rtA) tidak selamanya efektif, karena kamus password yang digunakan sudah ditambah dengan semua kemungkinan ini. Contoh standarnya adalah menggantikan huruf “i” dengan “1” atau “l”, huruf “a” digantikan dengan “@” atau “4”, huruf “f” digantikan dengan “v”, huruf “u” digantikan dengan “oo” atau “oe”. Tidak ada masalah apabila ingin menggunakan password alay, tetapi pastikan apabila digunakan karakter dasarnya tidak akan menjadi password yang general, seperti yang telah dijelaskan di point sebelumnya.
  • Gunakan password yang berbeda antara account pribadi dengan account kantor. Karena kita cenderung lebih lengah untuk penggunaan password di account pribadi. Dan hal ini yang akan menjadi target empuk dari cracker. Mereka mencoba membobol password di komputer pribadi untuk mendapatkan akses di perusahaan tempat si target bekerja.
  • Pakailah password yang mudah diingat secara pribadi (tanpa mengabaikan aturan-aturan sebelumnya). Karena dengan menggunakan password generator atau password yang sulit diingat akan membuat kita untuk menyimpannya kedalam file. Dengan menyimpan password ke dalam file akan membuka peluang password kita untuk dicuri orang yang tidak berwenang.
  • Usahakan gunakan password yang berbeda-beda antar service dan account. Apabila kita memiliki account di google dan juga di yahoo, direkomendasikan untuk menggunakan password yang berbeda antar keduanya. Karena ada saat kita lengah dengan mendaftarkan diri ke website yang tidak aman (bahkan spoofing), dan apabila password kita bocor dari website tersebut, maka hanya masalah waktu account kita yang lain akan ikut terbobol.
  • Apabila password sudah terlalu banyak untuk diingat dan di manage, maka pilihan nya adalah menyimpan password-password tersebut ke sebuah file yang terenkripsi, atau menggunakan tools untuk penyimpanan password seperti Keepass dan Password save. Dan gunakan password master yang memenuhi kriteria-kriteria diatas.

Kesimpulan

Sudah lebih dari satu dekade penggunaan password menjadi pegangan kita dalam mengamankan data-data kredensial, entah apakah satu atau dua dekade kedepan penggunaan password akan tetap efektif seperti sekarang. Hal penting yang kita bisa lakukan adalah memastikan bahwa password yang kita gunakan adalah password yang efekif dan hanya diketahui oleh kita sendiri saja, dan mendekati mustahil untuk dibobol.

Beberapa website besar sudah mulai merasakan kekurangan dari penggunaan password. Mereka mulai menawarkan mekanisme ganda untuk authorisasi, atau lebih dikenal dengan istilah two way authentication. Metode ini mencoba menyempurnakan proses autentikasi dengan cara menggabungkan antara metode berbasis personal-memory (password) dengan metode berbasis personal-things (handphone, token).

Ketahuilah dan berhati-hatilah dalam memperlakukan sebuah password. Karena dengan password inilah data finansial kita tetap aman, data pribadi tidak terekspos ke publik dan data perusahaan tidak akan sampai ke kompetitor bisnis. Paling tidak untuk saat ini.

Leave a Reply

Your email address will not be published.