Kata Sandi: Bagaimana Melakukannya dengan Benar: 10 Langkah

2024 Pengarang: John Day | [email protected]. Terakhir diubah: 2024-01-30 09:57

Awal tahun ini, istri saya kehilangan akses ke beberapa akunnya. Kata sandinya diambil dari situs yang dilanggar, lalu digunakan untuk masuk ke akun lain. Baru setelah situs mulai memberi tahu dia tentang upaya login yang gagal, dia menyadari ada sesuatu yang sedang terjadi.

Saya juga telah berbicara dengan sejumlah orang yang mengatakan bahwa mereka menggunakan kata sandi yang sama untuk setiap situs. Dua hal ini sudah cukup memacu saya untuk menulis Instructable ini.

Keamanan kata sandi adalah bagian yang sangat kecil dari keamanan online secara keseluruhan. Hampir setiap akun memerlukan semacam login untuk memungkinkan akses ke apa pun yang dilindunginya. String tunggal itu sering kali menjadi penghalang antara penyerang dan informasi pribadi Anda, uang, foto pribadi, atau poin perjalanan yang telah Anda kumpulkan selama bertahun-tahun.

Instruksi ini bertujuan untuk mencakup beberapa praktik terbaik untuk membuat kata sandi. Jika Anda adalah seseorang yang memiliki kata sandi yang sama untuk setiap situs web, yang kata sandinya adalah pola di keyboard, atau Anda memiliki kata "kata sandi" di kata sandi Anda, instruksi ini cocok untuk Anda.

Penafian

Saya bukan ahli keamanan. Informasi ini telah dipelajari dan diteliti dari waktu ke waktu dan hanya merupakan rekomendasi dan ringkasan dari subjek yang sangat kompleks. Tutorial ini ditulis pada awal tahun 2018 dan mungkin sudah ketinggalan zaman pada saat Anda membacanya.

TL;DR

Jika Anda tidak peduli dengan semua alasan dan penjelasan saya di balik kata sandi dan hanya ingin cara mudah untuk membuat kata sandi yang aman, lewati ke langkah terakhir.

Langkah 1: Buatlah Panjang

Panjang adalah salah satu komponen yang sangat penting untuk keamanan kata sandi. Dengan kecepatan komputer yang semakin cepat, kata sandi dapat dicoba dengan kecepatan luar biasa. Ini disebut peretasan kata sandi "brute-force". Ini mengikat setiap kemungkinan kombinasi karakter sampai Anda menemukan yang cocok.

Secara teori, ini membuat kata sandi apa pun dapat dipecahkan, dengan waktu yang cukup. Untungnya, semakin panjang kata sandinya, semakin lama waktu yang dibutuhkan untuk jenis serangan ini. Setiap karakter yang Anda tambahkan ke panjangnya membuat kesulitannya jauh lebih sulit. Jika cukup lama, bisa memakan waktu puluhan tahun untuk menemukannya dengan cara ini, yang membuatnya tidak layak untuk penyerang.

Contoh

Katakanlah Anda memiliki kata sandi yang hanya huruf kapital. Ini bukan ide yang bagus, tetapi ini hanya untuk tujuan ilustrasi. Setiap kali Anda menambahkan karakter lain ke kata sandi, itu mengalikan jumlah kemungkinan kata sandi dengan 26. Jika Anda memiliki kata sandi 1 karakter, itu akan memiliki 26 kemungkinan kata sandi, 2 karakter akan memiliki 676 kemungkinan kata sandi, dll. Ini mulai berkembang pesat dengan cepat.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Seperti yang Anda lihat, setiap huruf yang Anda tambahkan membuat serangan ini jauh lebih sulit, dan praktis tidak mungkin dilakukan dengan cukup banyak karakter. Ingat, ini hanya dengan huruf kapital. Begitu mereka menjadi lebih kompleks, efek ini menjadi lebih besar.

Langkah 2: Buatlah Kompleks

Kompleksitas adalah faktor besar lainnya dalam keamanan kata sandi. Jika sebuah situs web pernah dilanggar, kemungkinan nama pengguna dan kata sandi akan ditarik keluar. Sebagai tingkat keamanan dasar, semoga situs web memiliki hash kata sandi (mirip dengan enkripsi) sebelum disimpan. Ini berarti bahwa mereka kacau sebelum mereka masuk ke database, dan tidak ada cara untuk membalikkan kekacauan ini.

Ini semua terdengar bagus. Tidak masalah apa kata sandi Anda karena itu kacau, bukan? Itu tidak terjadi jika kata sandi Anda tidak rumit. Ada algoritma hashing standar yang digunakan (SHA1, MD5, SHA512, dll) dan mereka akan selalu hash hal yang sama dengan cara yang sama. Misalnya, jika Anda menggunakan SHA1 dan kata sandi Anda adalah "kata sandi", itu akan disimpan dalam database sebagai "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8", selalu.

Membuat hash membutuhkan waktu dan keuletan komputer, dan menghitung semua kemungkinan hash untuk semua kemungkinan kata sandi secara praktis tidak mungkin. Apa yang dilakukan orang adalah membuat "kamus" kata sandi umum. Hal-hal seperti "kata sandi" atau "qwerty" tentu saja akan ada di sana, serta yang kurang umum. Akan ada jutaan kata sandi dalam kamus ini dan hanya perlu beberapa detik untuk menelusuri setiap entri dan membandingkan hash yang diketahui dengan hash kata sandi Anda. Ini disebut "serangan kamus". Jika milik Anda adalah salah satu yang telah dihitung, garbling tidak akan melindungi kata sandi Anda, dan kata sandi itu dapat digunakan di situs lain.

Juga, mengubah huruf menjadi angka tidak menambah kerumitan. Mungkin tampak lebih rumit mengubah E ke 3 atau I ke 1, tetapi itu adalah praktik umum yang tidak menambah keamanan lagi. Program cracking memiliki opsi yang secara otomatis akan mencoba variasi tersebut.

Langkah 3: Jadikan Unik

Mengingat kata sandi itu sulit. Dengan kehidupan kita yang semakin online, tidak jarang setiap orang memiliki 50+ akun online, masing-masing dengan login mereka sendiri. Ini bisa sangat sulit untuk dilacak.

Cara paling umum orang menangani ini adalah dengan memilih satu kata sandi "baik" dan menggunakannya di banyak situs web yang berbeda. Ini adalah ide yang mengerikan. Yang diperlukan hanyalah satu pelanggaran keamanan, atau satu situs web phishing untuk mendapatkan nama pengguna dan kata sandi Anda untuk memulai permainan. Penyerang dapat mencoba nama pengguna dan kata sandi itu di ratusan situs web dalam hitungan detik. Ini akan secara otomatis memasukkan mereka ke setiap situs web dengan nama pengguna yang sama dengan yang disusupi.

Saya tahu memiliki kata sandi yang berbeda untuk setiap situs tampak seperti tugas yang menakutkan, tetapi kami akan membahas cara menanganinya nanti.

Langkah 4: Tidak Ada yang Pribadi

Informasi Anda tidak sepribadi yang Anda pikirkan. Pencarian cepat online dapat dengan mudah menemukan tanggal atau alamat lahir Anda. Jika akun lain telah dilanggar, lebih banyak informasi dapat diperoleh dengan mudah. Jika ada penyerang yang mencoba masuk ke akun Anda, ini akan menjadi kata sandi yang jelas untuk dicoba. Itu juga membiarkan entri terbuka untuk anggota keluarga, teman, atau bahkan kenalan.

Langkah 5: Perlakukan Semua Kata Sandi Dengan Perawatan Yang Sama

Saat berurusan dengan situs web, Anda harus memperlakukan keamanan semuanya dengan tingkat perhatian yang sama. Misalnya, jika Anda memiliki login ke situs web kucing favorit Anda, Anda harus mengambil tindakan pencegahan yang sama seperti login bank Anda. Tampaknya tidak banyak kehilangan akses ke semua kumis yang menggemaskan itu, tetapi itu bisa menjadi batu loncatan bagi penyerang. Melanggar situs web "tidak penting" itu dapat memberi penyerang lebih banyak informasi tentang Anda, seperti nama pengguna berbeda yang Anda gunakan, email berbeda yang Anda gunakan untuk masuk, atau informasi aktual yang dapat digunakan untuk membuka kunci situs web lain.

Juga, jika itu adalah situs web yang tidak penting, ada kemungkinan besar mereka tidak mengikuti praktik keamanan yang tepat, yang berarti jika kata sandi Anda panjang dan rumit, tetapi tidak unik, dan kata sandi tidak di-hash dengan benar saat disimpan, kata sandi itu dapat dengan mudah digunakan di situs web lain. Sekali lagi, hanya karena situs itu "tidak penting", bukan berarti keamanan Anda penting.

Langkah 6: Tetap Tersembunyi

Bagus - Penyimpanan Offline

Penyimpanan offline bisa menjadi pilihan yang baik jika Anda adalah orang yang pelupa. Memiliki stik USB yang Anda simpan dengan kata sandi di dalamnya melindungi dari sebagian besar serangan, kecuali keluarga dan teman. Untuk berjaga-jaga jika Anda kehilangan stik ini, pastikan file kata sandi atau seluruh drive dienkripsi dan stik tersebut dicadangkan di tempat yang sangat aman.

Metode ini memiliki banyak keamanan, tetapi dengan mengorbankan kenyamanan.

Alasan mengapa itu harus offline dijelaskan lebih detail di bawah ini. Perlu diingat bahwa banyak perangkat yang secara otomatis dicadangkan ke cloud sekarang, meskipun Anda tidak bermaksud demikian. Juga, jika Anda pernah mencolokkan tongkat ini ke perangkat yang memiliki virus atau disusupi, data dapat dengan mudah disalin.

Lebih baik - Ingat Semuanya

Ingat semua kata sandi Anda. Jika Anda sangat berbakat, ini mungkin pilihan. Tidak ada cara bagi seseorang untuk menemukannya, dan Anda selalu membawanya. Beberapa sisi negatifnya adalah kebanyakan dari kita tidak pandai mengingat hal-hal rumit, dan cenderung berbicara terlalu banyak setelah satu atau dua minuman. Terutama dengan lusinan kata sandi yang harus diingat, kemungkinan ini bahkan bukan pilihan bagi orang awam.

Terbaik - Tanpa Penyimpanan

Skenario kasus terbaik adalah Anda tidak menyimpannya sama sekali. Entah bagaimana mengingat semua kata sandi Anda yang unik, panjang, dan rumit, atau memiliki cara untuk membuatnya kembali dengan cepat. Jika Anda mengetahui bahan-bahan yang diperlukan untuk membuatnya kembali, maka tidak mungkin penyerang dapat "menemukan" mereka karena bahan tersebut tidak ada sampai dibutuhkan. Ini mungkin terdengar rumit, tetapi sebenarnya tidak. Lebih lanjut tentang ini nanti.

Pentingnya Offline

Situs web dikelola oleh orang-orang. Untuk sebagian besar situs web, mungkin aman untuk berasumsi bahwa orang-orang ini umumnya memiliki niat baik, tetapi bahkan orang-orang terbaik pun dapat membuat kesalahan. Tahun lalu saja, ada sejumlah pelanggaran keamanan situs web besar dari perusahaan besar yang umumnya aman seperti Linked-In, Yahoo, Equifax, Apple, dan Uber, hanya untuk beberapa nama. Ini adalah perusahaan besar dengan departemen keamanan dan mereka dilanggar.

Penyimpanan cloud terdengar mewah, dan menawarkan kemudahan, tetapi sebenarnya "cloud" itu adalah komputer orang lain yang Anda gunakan untuk menyimpan file Anda. Seperti yang saya katakan di atas, orang bisa membuat kesalahan. Jika itu terjadi, kata sandi Anda bisa tersedia untuk dunia. Situs cloud adalah target raksasa bagi penyerang karena jumlah data yang mereka pegang. Hancurkan situs cloud, dapatkan akses ke semua informasi yang berpotensi disimpan jutaan orang.

Saya yakin beberapa di antaranya adalah paranoia, tetapi dengan sebagian besar hidup Anda tersembunyi di balik kata sandi ini, lindungi mereka seperti itu.

Langkah 7: Rekomendasi Saya

Ini adalah pembukaan yang sangat panjang untuk menjelaskan pilar utama keamanan kata sandi. Jika Anda mengikuti 6 pedoman tersebut, Anda akan memiliki masalah keamanan online minimal, dan jika terjadi sesuatu, itu harus berhenti di sumbernya, tidak menyebar ke seluruh kehidupan online Anda.

Ada banyak cara berbeda untuk menyelesaikan tantangan ini. Beberapa lebih baik dari yang lain dan memberikan manfaat yang berbeda. Solusi favorit saya adalah SuperGenPass (SGP). Saya tidak berafiliasi dengan cara apa pun, saya hanya seorang penggemar.

Mudah Digunakan

SGP memiliki aplikasi untuk ponsel Anda, dan tombol yang dapat Anda tambahkan ke browser Anda. Ketika Anda pergi ke sebuah situs web dan meminta Anda untuk login, klik tombolnya. Sebuah jendela kecil akan muncul. Masukkan kata sandi utama Anda. SGP akan membuat kata sandi untuk situs ini dan memasukkannya ke dalam kotak kata sandi untuk Anda!

Panjang

Anda dapat memilih panjang password yang dibuat. Ini akan menghasilkan kata sandi hingga 24 karakter, yang cukup aman, tetapi Anda dapat memilih yang lebih pendek jika beberapa situs web membatasi panjang kata sandi Anda.

Kompleks

Huruf besar, huruf kecil, dan angka digunakan, yang cukup aman. Mereka tidak mengikuti pola yang dapat dikenali tanpa kata atau frasa. Tidak ada URL atau kata sandi utama Anda dalam string ini.

Unik

Setiap situs web akan memiliki kata sandi yang benar-benar unik. Kata sandi untuk example1.com dan example2.com benar-benar berbeda, meskipun hanya ada satu karakter yang berbeda di "bahan" awal. Seperti yang Anda lihat pada contoh di bawah, tidak ada hubungan antara "bahan" dan kata sandi yang dihasilkan dan keduanya SANGAT berbeda satu sama lain.

masterpassword:example1.com -> zVNqyKdf7Fmasterpassword:example2.com -> eYPtU3mfVw

Penyimpanan

Ini menyimpan dan tidak mengirimkan data. Ini dapat dijalankan sepenuhnya offline jika Anda khawatir dan tidak ada cara bagi seseorang untuk menemukan atau mencurinya.

Langkah 8: SGP: Pengaturan

Menyiapkan SGP sangat sederhana. Pertama, Anda mungkin ingin menambahkannya ke bilah bookmark. Untuk melakukannya, buka:

chriszarate.github.io/supergenpass/

Akan ada 2 tombol untuk dipilih. Untuk menyiapkan komputer yang biasa Anda gunakan, seret tombol kiri ke bilah bookmark. Ini akan memberi Anda tombol baru untuk digunakan.

Jika Anda menggunakan komputer orang lain di masa mendatang, Anda dapat memilih tombol di sebelah kanan. Ini akan memungkinkan Anda menggunakan SGP tanpa mengubah apa pun di browser mereka. Ini juga merupakan opsi untuk peramban seluler.

Setelah ditambahkan ke bilah bookmark Anda, klik tombolnya. Ini akan membuka jendela kecil di sudut halaman web Anda. Mengklik roda gigi kecil akan membuka pengaturan.

Panjang

Angka di sebelah kiri adalah panjang kata sandi yang akan dihasilkan. Saya sarankan untuk melihat-lihat situs yang paling sering Anda gunakan dan atur ke jumlah tertinggi yang diizinkan oleh situs-situs ini. Lebih dari 12 dianjurkan, tetapi lebih lama lebih baik, terutama karena Anda tidak perlu mengingatnya.

Jenis Hash

Ada dua opsi untuk jenis hash yang digunakan, MD5 dan SHA. Keduanya akan menghasilkan kata sandi dengan huruf besar, huruf kecil, dan angka. Mengubah ini adalah cara sederhana untuk mengubah semua kata sandi Anda sambil mempertahankan kata sandi utama yang sama.

Kata Sandi Rahasia

Bagian kata sandi rahasia adalah cara tambahan untuk memastikan bahwa semuanya aman. Ketika applet dijalankan, jika Anda memiliki kata sandi rahasia, itu akan menampilkan gambar kecil di kotak kata sandi. Kata sandi ini harus SELALU sama saat dimulai. Jika dimulai dan gambar ini tidak seperti biasanya, ada kemungkinan seseorang mencoba mendapatkan kata sandi utama Anda.

Password master

Ini tidak diperlukan selama penyiapan, tetapi ini sangat penting. Pastikan untuk memilih kata sandi yang kuat. Ini adalah satu kata sandi yang selalu Anda masukkan di setiap situs. Pastikan itu adalah sesuatu yang dapat Anda ingat, tetapi rumit, panjang, dan tidak bersifat pribadi.

Penghematan

Setelah Anda memilih semua pengaturan Anda, klik ikon simpan dan ikon roda gigi lagi untuk menutup pengaturan

Langkah 9: Gunakan SGP

Untuk menggunakan SGP, jelajahi situs web seperti biasa. Saat Anda perlu memasukkan kata sandi, klik tombol SGP yang Anda tambahkan ke bilah bookmark. Jika Anda menggunakan kata sandi rahasia saat mengatur SGP, pastikan gambar yang muncul di kotak kata sandi cocok dengan gambar saat Anda mengaturnya.

Ketik Kata Sandi Utama Anda dan tekan Enter. Ini akan menghitung kata sandi unik Anda untuk situs web ini dan mengisinya untuk Anda! Saat Anda mengetik Kata Sandi Utama, ikon akan diperbarui. Jika gambar tidak sesuai dengan ikon yang biasanya Anda miliki, Anda salah mengetik Kata Sandi Utama, atau seseorang mencoba mendapatkan kata sandi Anda.

Tergantung pada cara penulisan situs, SGP mungkin tidak dapat memasukkan sandi untuk Anda, atau situs mungkin tidak menyadari bahwa sandi telah dimasukkan. Jika demikian, Anda dapat mengklik ikon salin di sebelah kotak kata sandi yang dibuat dan menempelkannya secara manual.

Setelah kata sandi Anda masuk, klik Masuk dan Anda di sana!

Langkah 10: Pikiran Terakhir

SGP mungkin tidak bekerja untuk semua orang, dan itu tidak masalah. Ini bukan solusi sempurna karena tidak ada hal seperti itu. Jika Anda memiliki layanan atau metode lain yang ingin Anda gunakan untuk kata sandi, ingatlah 6 langkah untuk kata sandi yang aman. Jika metode Anda saat ini gagal dalam beberapa area ini, mungkin sudah waktunya untuk mencari solusi lain. Ya, mungkin perlu setengah hari untuk mengubah semua akun Anda, tetapi itu mungkin tidak terlalu memusingkan daripada akun Anda dilanggar.

Catatan tentang penyimpanan online: Jika layanan menyimpan kata sandi Anda secara online/di "cloud", periksa praktik keamanannya untuk memastikannya baik. Situs tersebut kemungkinan akan memberi tahu Anda apa yang mereka lakukan untuk melindungi kata sandi Anda jika mereka melakukannya dengan benar. Jika Anda tidak yakin, kirim email kepada mereka dan tanyakan. Jika mereka tidak dapat memberikan jawaban yang baik/ringkas/akurat, berhati-hatilah saat menggunakan layanan itu.