Waspadai P@55w0rd#! Pun Bisa Mematikan (2)

REPUBLIKA.CO.ID, Seberapa aman sebenarnya kata sandi? "Ini teknologi tua setua peradaban dan anda memiliki rahasia yang menghancurkan diri Anda sendiri. Itulah password," komentar tajam 'empu' teknologi informasi dari Amerika Serikat, yang ironisnya menjadi korban sebuah epik peretasan, Matt Honan.

Pertengahan 2012 lalu, sejumlah hacker menghancurkan seluruh kehidupan digitalnya dalam hitungan Jam. "Kata sandi untuk Apple, Twitter dan Gmail saya yang notabene semua kuat---terdiri dari tujuh, 10 dan 19 karakter, semua mengandung alfanumerik, beberapa juga menggunakan simbol---dibobol. Tiga akun tadi terkait, sehingga begitu peretas mampu menguasai satu, mereka memiliki semuanya," tutur Honan.

"Mereka begitu menginginkan akun Twitter saya, @mat. Akun dengan tiga huruf dianggap prestisius. Dan untuk menghambat saya memperoleh kembali, mereka menggunakan akun Apple saya untuk menghapus setiap orang di seluruh piranti saya, iPhone, dan iPad dan MacBook, menghapus semua pesan-pesan dan dokumen bahkan foto-foto putri saya 18 bulan yang pernah saya ambil!" tuturnya.

Ia menyatakan tegas, "Era penggunaan kata sandi harus berakhir. Kita yang belum menyadarinya. Dan tak seorangpun hingga kini mencari cara bagaimana menggantikan teknologi ini. Ada situasi pasti yakni, akses ke data kita kini tak bisa mengandalkan rahasia---mulai dari sederet karakter, 10 jenis karakter, jawaban terhadap 50 pertanyaan paling aneh---metode yang kita ketahui sejauh ini.

Pada era pembentukan web, begitu juga ketika semua menjadi maya, kata sandi berfungsi cukup baik. Ini tentu saja karena masih sedikit data yang harus dilindungi. Kalau toh orang memiliki kata sandi, hanya terbatas pada sejumlah aplikasi, ISP untuk email dan mungkin satu atau dua situs jual beli, itu saja.

Maklum saja, hampir tidak ada informasi pribadi yang diletakkan di sistem awan. Saat itu sistem awan boleh dibilang cuma 'gumpalan' kecil di udara. Hanya sedikit keuntungan membobol satu akun individual. Para peretas serius masih memburu target sekelas sistem komputer dan awan milik korporat besar.

Tapi yang terjadi kemudian, orang-orang terpikat dan terbuai dengan kepuasan pengamanan. Alamat-alamat surat elektronik kini jamak pula menjadi pintu masuk universal ke layanan lain, plus nama pengguna (username) di mana-mana. Demi alasan kemudahan, orang menggunakan username serupa di sejumlah akun bahkan kata sandi sama persis untuk tiap layanan berbeda! Wow

Praktik ini terus bertahan malah berkembang secara eksponensial. Surat elektronik berbasis web menjadi pintu gerbang menuju aplikasi awan. Orang-orang mulai melakukan transaksi perbankan di awan, melacak aliran dana lewat awan, membayar pajak di awan. Bahkan, mereka mulai menumpuk foto, dokumen dan data di awan.

Ujung-ujungnya---mengingat di luar sana bukan hanya terdiri orang baik--- jumlah epik peretasan meningkat. Orang pun mulai menggunakan kata sandi yang secara psikologis menyulitkan untuk diingat. Bagi sejumlah pakar cara ini menyakitkan.

***

Muncullah istilah strong password atau kata sandi kuat, sebagai bentuk kompromi dar perusahaan web demi membuat orang tetap mendaftar masuk dan mempercayakan data mereka. Tipe kata sandi ini biasanya tak hanya alfabet tetapi juga angka dan simbol seperti !@# atau $. Sayangnya dalam sekejap kata sandi sekuat apa pun bisa dibobol dengan mudah.

Fakta kerasnya, jumlah pembobolan data di AS meningkat menjadi 67 persen pada 2011 dan setiap insiden besar menghasilkan efek luar biasa. Setelah akun pusat data PlayStation Sony dibobol pada 2011 misal, perusahaan itu harus mengeluarkan 171 juta dolar untuk membentengi ulang jaringannya dan melindungi pengguna dari pencuri identitas.

Bila ongkos total dijumlah dengan kerugian dalam bisnis, satu aksi peretasan bisa memetik bencana milyaran dolar!

Bagaimana pengamanan kata sandi online kita roboh? Cara yang paling mudah dibayangkan yakni para hacker menebaknya. Ini betulan.

Mereka memunguti dari sampah kata sandi, mencoba membobol dengan upaya brutal, mencuri lewat teknologi keylogger, atau mengeset ulang sepenuhnya dengan menipu divisi layanan konsumen perusahaan.

Mari mulai dengan peretasan paling sederhana: menebak. Kecerobohan pengguna, itu kuncinya dan risiko keamanan terbesar yang pernah ada. Terlepas telah dikampanyekan berulang kali untuk tidak, orang-orang ternyata masih menggunakan kata sandi yang canggung dan gampang ditebak.

Seorang konsultan keamanan, Mark Burnet, seperti yang dikutip Wired, pernah mengompilasi daftar terdiri 10 ribu kata sandi paling umum berdasar sumber-sumber yang mudah didapat. Betul, macam sampah online yang kerap digali hacker dan pencarian sederhana lewat Google.

Anda tahu kata sandi nomor teratas yang paling sering digunakan orang? "Password" atau turunannya, semacam "p4$$wOrD" atau "P@ßßw0rd" dan versi-versi serupa lainnya. Lalu urutan kedua paling populer? 123456.

Bila anda termasuk pengguna kata sandi 'bodoh' seperti di atas, maka membobol akun anda cuma perkara baca koran sambil tidur-tidur ayam bagi peretas ulung! Software gratisan pemecah kata sandi otomatis seperti Cain dan Abel, atau John the Ripper bisa melakukan mudah, dalam arti harafiah, seperti orang awam bisa melakukan.

Yang dibutuhkan cuma koneksi internet, sederet daftar kata sandi umum, yang bukan kebetulan, mudah didapat online dan kerap berada dalam format database yang mudah dijangkau.

Ironis sekaligus mengejutkan, ternyata masih banyak orang menggunakan kata sandi mengerikan seperti tadi. Sungguh kata sandi tadi membuat para hacker kegirangan dan mudah memanen data penting. Jadi mulai sekarang tinggalkan dan bunuh kata sandi "Password" dengan segala turunan alfanumeriknya.

Kesalahah umum lain yakni penggunaan ulang kata sandi untuk akun berbeda. Fakta di lapangan, selama dua tahun terakhir, lebih dari 280 juta 'hashes' (istilah untuk kata sandi yang masih terenkripsi namun telah dicuri) telah dibuang ke tempat sampah online dan siapa pun bisa melihatnya.

Sempat diulas sebelumnya, situs kakap macam LinkedIn, Yahoo, Gawker, dan eHarmony pernah dibobol hingga username dan kata sandi jutaan orang dicuri lalu dipajang ke web terbuka. Ironisnya, dari dua temuan sampah online, 49 persen orang masih menggunakan nama dan kata sandi yang telah dibobol tadi!

"Penggunaan ulang kata sandi bisa benar-benar membunuh anda," ujar Diana Smetter, insinyur software di Google yang bekerja di bidang sistem otentitikasi. "Mereka yang membuang dan menampangkan daftar kata sandi anda, bisa dibilang masih tergolong orang baik," ujarnya.

Sementara orang jahat akan mencuri dan menjual kata sandi diam-diam ke pasar gelap. "Data login anda bisa jadi telah terkompromikan dan anda tak mengetahuinya, hingga tiba-tiba akun anda, atau akun lain dengan kata sandi serupa, sudah hancur, diacak-acak dan diambil alih." (bersambung)

Inilah Daftar Password Terburuk 2012 versi SplashData

1. password

2, 123456

3. 12345678

4. abc123

5. qwerty

6. monkey

7. letmein

8. dragon

9. 111111

10. baseball

11. iloveyou