Tips Melindungi Kata Sandi/Password

Tips Melindungi Kata Sandi/Password | Teknologi.info

 

navyletech.net – Di tahun 2023, sebagian besar dari kita masih berpikir bahwa kata sandi adalah metode autentikasi yang paling umum untuk layanan online. Namun bagi penjahat dunia maya, kata sandi adalah jalan pintas untuk mengakses kehidupan orang lain, alat penting, dan barang dagangan yang dapat dijual. Dengan mengetahui kata sandi, penjahat dunia maya dapat memperoleh akun, data, uang, bahkan identitas pribadi. Mereka juga dapat memanfaatkan Anda untuk menyerang teman online, kerabat, atau bahkan perusahaan tempat Anda bekerja atau milik (sering ada kasus akun teman tiba-tiba meminjam uang tetapi nomor akunnya bukan milik teman kita).

Untuk mencegah hal ini, Kaspersky ingin menyegarkan ingatan pengguna untuk melindungi identitas pribadi dan memahami bagaimana orang asing dapat mengetahui kata sandi sejak awal.

Bagaimana Kata sandi Bisakah Anda jatuh ke tangan penjahat dunia maya?

Ada beberapa cara, antara lain melalui phishing dan malware.

Pengelabuan

Pengelabuan adalah salah satu metode pengumpulan kredensial yang sebagian besar bergantung pada kesalahan manusia. Ratusan situs phishing, dibantu oleh ribuan email yang mengarah ke sana, muncul setiap hari. Namun, jika Anda berpikir bahwa Anda tidak akan pernah tertipu oleh phishing, Anda salah. Cara ini hampir setua internet yang kita gunakan saat ini, sehingga penjahat dunia maya memiliki banyak waktu untuk mengembangkan berbagai trik rekayasa sosial dan taktik kamuflase. Bahkan para profesional terkadang tidak dapat membedakan email phishing dari yang asli secara sekilas.

Malware

Malware juga merupakan cara umum untuk mencuri info kredensial. Menurut statistik Kaspersky, sebagian besar malware aktif terdiri dari pencuri Trojan, yang tujuan utamanya adalah menunggu pengguna masuk ke beberapa situs atau layanan, dan menyalin kata sandi mereka dan mengirimkannya kembali ke pembuatnya. Jika Anda tidak menggunakan solusi keamanan, Trojan dapat bersembunyi di komputer Anda tanpa terdeteksi selama bertahun-tahun – Anda tidak akan tahu ada yang salah, karena tidak menyebabkan kerusakan yang terlihat, ia hanya melakukan tugasnya secara diam-diam.

Dan pencuri Trojan bukan satu-satunya malware pemburu kata sandi. Terkadang penjahat dunia maya menyuntikkan skimmer web di situs dan mencuri apa pun yang dimasukkan oleh pengguna, termasuk kredensial, nama, detail kartu pembayaran, dan sebagainya.

Kebocoran Data dari Pihak Ketiga

Anda tidak selalu harus membuat kesalahan sendiri untuk mencuri kata sandi. Menjadi pengguna suatu layanan internet juga bisa menjadi penyebab bocornya data password dari pengguna. Terutama di perusahaan dengan sistem keamanan yang lemah. Namun, perusahaan yang menganggap serius keamanan dunia maya tidak akan menyimpan kata sandi pengguna sama sekali, atau setidaknya, jika mereka melakukannya, mereka akan melakukannya dalam bentuk terenkripsi.

Broker Akses Awal

Sumber kata sandi curian lainnya adalah pasar gelap. Penjahat dunia maya modern lebih suka berspesialisasi dalam bidang tertentu. Mereka mungkin mencuri kata sandi pengguna, tetapi tidak selalu menggunakannya; lebih menguntungkan untuk menjualnya secara grosir. Membeli basis data kata sandi semacam itu sangat menarik bagi penjahat dunia maya, karena memberi mereka akses ke sejumlah akun korban. Pengguna cenderung menggunakan kata sandi yang sama di sejumlah platform dan akun, seringkali mengikat semuanya ke email yang sama. Dengan demikian, hanya dengan memiliki kata sandi dari satu platform, penjahat dunia maya dapat memperoleh akses ke banyak akun korban lainnya, mulai dari akun game hingga email pribadi atau bahkan akun pribadi di situs web dewasa.

Kami pernah melihat “iklan” dari forum peretas yang berbunyi seperti:

seseorang menawarkan 280.000 nama pengguna dan kata sandi untuk beberapa platform game seharga $4.000

Basis data perusahaan yang bocor, yang mungkin mengandung atau tidak mengandung kredensial, juga dijual di pasar gelap. Harga basis data bergantung pada jumlah data dan industri organisasi: beberapa data kata sandi dapat dijual seharga ratusan dolar. Ada layanan tertentu di darknet yang mengumpulkan kata sandi dan basis data yang bocor, kemudian mengaktifkan akses satu kali atau langganan berbayar ke koleksi mereka.

Misalnya, pada Oktober 2022, grup ransomware terkenal LockBit meretas perusahaan perawatan kesehatan dan mencuri basis data pengguna mereka yang berisi informasi medis. Mereka tidak hanya menjual langganan informasi ini di darknet, tetapi juga dapat membeli akses awal di pasar gelap yang sama. Ada juga layanan darknet yang menyediakan akses berbayar ke database dengan data yang dicuri.

Serangan membabi buta

Dalam beberapa kasus, penjahat dunia maya bahkan tidak memerlukan basis data yang dicuri untuk mengetahui kata sandi Anda dan meretas akun Anda. Mereka dapat menggunakan serangan brute-force, dengan kata lain mencoba ribuan varian kata sandi umum hingga salah satunya berfungsi. Kedengarannya tidak meyakinkan, tetapi mereka tidak perlu mengulang semua kemungkinan kombinasi karena ada alat khusus yaitu Generator Daftar Kata yang dapat menghasilkan daftar kemungkinan kata sandi umum (yang disebut kamus brute-force) berdasarkan informasi pribadi korban.

Program semacam itu terlihat seperti kuesioner mini tentang pengguna yang ditargetkan. Mereka menanyakan nama, nama belakang, tanggal lahir, informasi pribadi tentang pasangan, anak, bahkan hewan peliharaan. Penyerang bahkan dapat menambahkan kata kunci tambahan yang mereka ketahui tentang target yang dapat dimasukkan ke dalam kombinasi. Menggunakan campuran kata, nama, tanggal, dan data lainnya, generator daftar kata menghasilkan ribuan varian kata sandi, yang kemudian dicoba oleh penyerang saat login.

Untuk menggunakan metode ini, penjahat dunia maya perlu melakukan penelitian terlebih dahulu — dan saat itulah basis data yang bocor mungkin berguna. Mereka mungkin berisi informasi seperti tanggal lahir, alamat, atau jawaban atas “pertanyaan rahasia”. Sumber data lainnya adalah berbagi secara berlebihan di jejaring sosial. Sesuatu yang tampaknya sama sekali tidak penting, seperti foto tanggal 6 Desember dengan tulisan “hari ini adalah hari ulang tahun anjing kesayanganku”.

Kemungkinan konsekuensi dari kata sandi yang bocor

Ada beberapa konsekuensi yang jelas: penjahat dunia maya dapat mengambil alih akun dan menahannya untuk tebusan, menggunakannya untuk menipu kontak online dan teman Anda, atau, jika mereka dapat memperoleh kata sandi ke situs atau aplikasi perbankan, paling buruk mengosongkan akun Anda. Namun, terkadang niat mereka tidak sesederhana itu.

Misalnya, karena semakin banyak game memperkenalkan mata uang dalam game dan transaksi mikro, semakin banyak pengguna yang metode pembayarannya ditautkan ke akun mereka. Hal ini membuat gamer menjadi target yang menarik bagi para peretas. Dengan mendapatkan akses ke akun game, mereka dapat mencuri barang berharga dalam game seperti skin, item langka, atau mata uang game internal, hingga menyalahgunakan data kartu kredit korban.

Basis data dan informasi yang bocor yang dapat diperoleh saat mencari akun Anda dapat digunakan tidak hanya untuk keuntungan finansial tetapi juga untuk kerusakan reputasi dan jenis kerusakan sosial lainnya, termasuk doxing. Jika Anda seorang selebritas, Anda dapat diperas dan menghadapi pilihan: pengungkapan informasi pribadi (yang dapat memengaruhi reputasi Anda) atau kehilangan uang.

Bahkan jika Anda bukan selebritas, Anda bisa menjadi korban doxing — tindakan mengungkap informasi identitas pribadi seseorang secara online — seperti nama asli, alamat rumah, tempat kerja, telepon, keuangan, dan informasi pribadi lainnya. Serangan doxing dapat berkisar dari yang relatif tidak berbahaya, seperti mendaftar ke milis yang tak terhitung jumlahnya atau pesanan pengiriman pizza palsu atas nama Anda, hingga yang jauh lebih tidak berbahaya, seperti berbagai bentuk cyberbullying, pencurian identitas, atau bahkan penguntitan langsung.

Baca juga: Cara Meretas Facebook

Terakhir, jika Anda menggunakan kata sandi yang sama untuk akun pribadi dan kantor, penjahat dunia maya dapat mengambil alih email perusahaan Anda dan menggunakannya untuk skema kompromi email bisnis atau bahkan serangan yang ditargetkan.

Bagaimana melindungi akun Anda dari akses yang tidak diinginkan

  1. Jangan menggunakan kembali kata sandi yang sama untuk banyak akun;
  2. Buat kata sandi Anda panjang dan kuat dan simpan dengan aman;
  3. Ubah segera setelah Anda mendengar berita pertama tentang pelanggaran data pada layanan atau situs web yang Anda gunakan.
  4. Menggunakan Pembuat Kata Sandi, pengaturan 20 karakter, gunakan huruf besar, huruf kecil, angka dan simbol. Penghasil Kata Sandi ini tersedia gratis sebagai bagian dari solusi keamanan untuk UMKM dan pengguna rumahan.
  5. Aktifkan autentikasi dua faktor jika memungkinkan. Ini memberikan lapisan keamanan ekstra dan akan mencegah peretas mengakses akun Anda — bahkan jika seseorang berhasil mendapatkan info masuk dan kata sandi Anda.
  6. Siapkan jejaring sosial untuk privasi yang lebih baik. Ini akan membuat lebih sulit untuk menemukan informasi tentang Anda, dan karenanya mempersulit penggunaan kamus brute force untuk menyerang akun Anda.
  7. Berhenti berbagi terlalu banyak informasi pribadi, meskipun hanya dapat dilihat oleh teman. Teman hari ini bisa menjadi musuh besok.

Leave a Reply

Your email address will not be published. Required fields are marked *

Back To Top