Waspadai P@55w0rd#! Pun Bisa Mematikan (1)

REPUBLIKA.CO.ID, Seruan itu tidak main-main. Password atau kata sandi, terdiri dari serangkaian huruf, angka dan simbol, selama ini menjadi dipercaya sebagai gerbang pertama benteng pertahanan digital. Namun bila masih ada yang menganggap kata sandi cukup aman untuk melindungi kehidupan digital seseorang, sebaiknya jangan terlalu yakin.

Jejaring sosial sekelas LinkedIn, Twitter dan Google bahkan tak selalu digdaya mengahadapi para peretas. Situs sekaliber mereka pun pernah dibuat bertekuk lutut.

Pada Juni lalu LinkedIn menginvestigasi klaim dari peretas Rusia yang bertamu tanpa diundang ke jaringan perusahaan dan menyatakan mencuri hampir 4,5 juta kata sandi akun para penggunanya. Pengumuman itu disampaikan lewat Twitter resmi perusahaan.

Tak sekadar bertamu, sang peretas juga mempublikasikan satu file berisi algoritma kata sandi LinkedIn ke Internet. Salah satu pengguna yang malang, lewat Twitter pula, mengeluhkan telah menemukan algoritma miliknya dalam daftar tersebut.

Memang file yang ditayangkan tidak menyertakan nama pengguna dan pemilik akun. Tapi informasi semacam itu tentu sudah bikin kecut siapa saja.

Perlu dicatat, pengaman LinkedIn bukan kelas remeh temeh. Layanan ini mengenkripsi kata sandi dengan teknologi algoritma SHA-1. Ini adalah sistem algoritma yang mengubah satu kata sandi menjadi serangkaian mantra berupa deret angka dan huruf semacam ini: abf26a4849e5d97882fcdce5757ae6028281192.

Perkaranya, karena semakin banyak orang teledor dan menggunakan tipe kata sandi yang mudah ditebak, seperti '1234' atau 'password' juga 'P@5ßw0rd' atau kata-kata umum kerap ditemukan di kamus, hacker yang dari sononya kerap dan gampang mengenali tipe algoritma untuk mengungkap kata sandi, kian enteng saja saat melakukan aksinya.

Berdasarkan laporan PC World, sudah lebih dari 200 ribu kata sandi LinkedIn yang dibobol tahun ini. Seorang konsultan keamanan cyber, Per Thorsheim dari Norwegia, dalam publikasi media menyatakan ia dan sedikitnya 12 orang dalam komunitas keamanan telah menemukan substansi kata sandi asli dalam file yang diposting si peretas asal Rusia itu.

Selain Facebook dan LinkedIn, Twitter pun memiliki permasalah keamanan yang dianggap rentan. Menurut TheNextWeb, pada awal Desember lalu ditemukan celah berbahaya dalam desain laman Twitter.

Laman ini memungkinkan kata sandi dalam teks apa adanya dikirimkan dari pengguna ke server Twitter. Dalam kalimat lain, hacker cukup berleha-leha untuk mencegat informasi login rahasia anda.

Kerentanan ini terdeteksi pertama kali oleh CEO perusahaan keamanan sistem awan Dome9, Zohar Alon. Twitter sepertinya lupa mengenkripsi halaman masuknya, hingga merisikokan kata sandi pengguna rentan disikat pencuri. Masalah ini sudah diatasi, namun menunjukkan betapa Twitter masih memiliki banyak pekerjaan rumah.

Masalah itu bersumber dari kealpaan tim Twitter menggunakan protokol HTTPS pada laman menu login. Bila anda pengguna Twitter dan lebih sering keluar masuk lewat halaman web, maka anda masuk dengan mengirim teks kata sandi apa adanya tanpa terenkripsi ke server Twitter. Proses yang tidak aman.

HTTPS, tidak seperti HTTP, menfasilitasi proses masuk aman yang menghalangi sergapan di tengah jalan. Metode ini membuat hacker tak bisa mencegat informasi login di antara waktu ketika penggunan mengklik 'Sign In' atau 'Masuk' hingga server Twitter menerima permintaan masuk.

Facebook mulai beralih ke HTTPS pada November lalu sebagai upaya meningkatkan prosedur keamanan, dengan risiko sedikit jeda pada kinerja web. Jeda itu tak terlalu terasa bagi pengguna dan yang pasti membuat akun pemilik lebih aman.

Beberapa hari kemudian, TheNextWeb melaporkan lagi bahwa Twitter sudah 'melihat potensi kerentanan’ dan mengatasinya. Anda boleh mengasumsikan tim mereka sudah menambal lubang tersebut.

Yang tak jelas, saat celah itu belum ditambal apakah sudah ada orang di seberang sana yang memanen kata sandi pengguna. Twitter pun tidak yakin berapa lama celah itu sudah diendus dan digarap para hacker. (bersambung)