05 Februari 2013

Bagaimana Merancang Password yang Dapat Menjauhkan Hacker

Saya baru saja membaca artikel di http://www.nytimes.com/2012/11/08/technology/personaltech/how-to-devise-passwords-that-drive-hackers-away.html. Seperti pada judulnya, artikel tersebut berisi tips untuk membuat password yang aman. Berikut ini tips yang saya rangkum dari artikel tersebut.

Jangan gunakan kamus

Apabila password yang anda gunakan mengandung kata-kata yang ada dalam kamus, mungkin sama saja anda tidak memiliki password. Berdasarkan Paul Kocher,

The worst passwords are dictionary words or a small number of insertions or changes to words that are in the dictionary.
Password yang paling buruk adalah kata-kata dalam kamus atau penambahan atau perubahan kecil dari kata yang ada di kamus.
Hacker sering kali mencoba password dari kamus atau kumpulan password yang sudah berhasil ditebak sebelumnya. Jika password tidak termasuk di dalamnya, biasanya hacker akan meninggalkannya.

Jangan pernah gunakan password yang sama dua kali

Kebanyakan dari kita biasanya menggunakan password yang sama untuk beberapa website, sebuah fakta yang sering dieksploitasi oleh para hacker. Melakukan cracking terhadap profesional profil seseorang di LinkedIn mungkin tidak memberikan dampak yang terlalu buruk, tetapi hacker akan menggunakan password yang sama untuk meng-crack, misalnya, akun email, rekening bank, atau akun lainnya dimana memiliki nilai finansial lebih berharga atau tempat data pribadi disimpan. Jangan coba-coba bercanda, password yang sama digunakan dua kali saja tidak boleh, apalagi tiga kali, empat kali, atau seterusnya, tentu saja semakin tidak boleh.

Gunakan password kalimat

Semakin panjang password yang anda gunakan, semakin lama waktu yang diperlukan untuk memecahkannya. Sebuah password ideal, minimal terdiri dari 14 karakter atau lebih, jika anda ingin password tidak dapat dipecahkan oleh attacker dalam waktu kurang dari 24 jam. Karena semakin panjang password, cenderung semakin sulit untuk diingat, anda bisa menggunakan kalimat, misalnya quote dari film favorit, lirik lagu, puisi, atau gabungan kata-kata acak yang mudah anda ingat.

Ketik acak sembarangan

Bagi Jeremiah Grossman, untuk akun yang dirasa sensitif, beliau tidak menggunakan kalimat yang mudah diingat, melainkan secara sembarangan menekan huruf-huruf di keyboard, dan tidak lupa beberapa kali sambil menekan tombol Shift dan Alt. Kemudian hasilnya di-copy ke file text, dan disimpan ke dalam USB flashdisk yang dilengkapi dengan keamanan password, dan dienkripsi.

That way, if someone puts a gun to my head and demands to know my password, i can honestly say i don't know.
Dengan begitu, apabila ada orang yang menodongkan pistol ke kepala saya dan meminta password saya, saya bisa dengan jujur menjawab saya tidak tahu.

Simpan password anda dengan aman

Jangan pernah menyimpan password anda di komputer yang anda gunakan. Jika komputer anda terinfeksi malware, anda celaka. Jeremiah Grossman menyimpan passwordnya dalam sebuah USB flashdisk yang menggunakan password panjang dan kompleks yang diingat olehnya. Beliau meng-copy dan paste-kan password tersebut ke akun yang membutuhkan. Sehingga meskipun penyerangan menggunakan software keylogger dan atau sejenisnya, software tersebut tidak dapat merekam tombol yang ditekan. Paul Kocher menggunakan cara yang lebih konvensional: Beliau menyimpan petunjuk password (password hint), bukan password yang sebenarnya, dalam secarik kertas yang disimpan di dompetnya. Menurut beliau:

I try to keep my most sensitive information off the internet completely,
Saya berusaha menjaga informasi saya yang paling sensitive lepas dari internet sepenuhnya,

Penggunaan password manager

Dengan software perlindungan password, anda bisa menyimpan username dan password dalam satu tempat. Beberapa program bahkan membuatkan anda password yang kuat dan secara otomatis me-Login-kan anda ke situs yang diinginkan, asalkan anda memberikan satu password master. LastPass, SplashData dan AgileBits menawarkan software perlindungan password untuk Windows, Mac, dan perangkat mobile. Tapi Paul Kocher mengingatkan bahwa, beliau tidak menggunakan password manager karena dengan enkripsi sekalipun, password tersebut masih berada di komputer,

If someone steals my computer, I've lost my password.
Jika seseorang mencuri komputer saya, saya juga kehilangan password saya.
Menurut Jeremiah Grossman, beliau tidak mempercayai software password manager karena bukan beliau sendiri yang membuat software itu. Bahkan, dalam sebuah konferensi keamanan di Amsterdam pada bulan Maret 2012, beberapa hacker mendemonstrasikan bagaimana mudahnya memecahkan chryptography yang digunakan oleh banyak mobile password management.

Abaikan pertanyaan keamanan

Jawaban yang ada sangatlah terbatas untuk pertanyaan seperti, "Apa warna favorit anda?" dan jawaban dari pertanyaan "Di SMP manakah anda bersekolah" bisa di cari di internet. Hacker menggunakan informasi-informasi tersebut untuk mereset password kita dan mengambil alih akun kita.Pada bulan Juni 2012, email pribadi dari Mitt Romney telah dibajak dengan menggunakan nama dari binatang peliharaan kesayangan beliau. cara yang lebih baik mungkin dengan memasukan petunjuk password (password hint) yang tidak berhubungan sama sekali dengan pertanyaannya. Sebagai contoh, jika pertanyaan keamanan berupa, "Di rumah sakit manakah anda dilahirkan?"jawaban yang aman mungkin: "Indonesia juara pada tahun 1985."

Gunakan browser yang berbeda

Jeremiah Grossman menekankan penggunaan web browser yang berbeda untuk setiap aktivitas yang berbeda. Menurut beliau:

Pick one browser for 'promiscuous' browsing: online forum, news sites, blog - anything you don't consider important. When you're online banking or checking email, fire up secondary web browser, then shut it down.
Pilih satu browser untuk browsing sembarangan: forum online, situs berita, blog - segala hal yang tidak dianggap penting. Ketika anda sedang online banking, atau check email, buka browser lain yang berbeda, kemudian tutup setelah selesai.
Dengan cara ini, jika browser yang digunakan terkena script malware apabile secara tidak sengaja membuka situs berbahaya, akun bank anda tidak terpengaruh. Sedangkan untuk browser yang digunakan, studi tahun 2011 oleh Accuvant Labs of Web Browser - termasuk Mpzilla Firefox, Google Chrome dan Microsoft Internet Explorer - menemukan Chrome adalah browser yang paling tidak rentan terhadap serangan.

Berbagilah dengan hati-hati

Paul Kocher menekankan,

You are your email address and your password.
Password dan alamat email anda sama berartinya dengan anda.
Kapanpun jika dimungkinkan, beliau tidak akan mendaftarkan akun online menggunakan alamat email miliknya yang asli. Bahkan, beliau akan menggunakan alamat email yang "dapat dibuang", seperti yang ditawarkan oleh 10minutemail.com. User mendaftar dan mengkonfirmasi sebuah akun online, yang kemudian akan terhapus 10 menit kemudian. Jeremiah Grossman sering mengingatkan orang-orang untuk memperlakukan apa yang mereka diketik atau bagikan secara online sebagai catatan umum.


Jeremiah Grossman mengingatkan:
At some point, you will get hacked - it's only a matter of time. If that's unacceptable to you, don't put it online.
Pada titik tertentu, anda pasti kena hack - ini hanyalah masalah waktu. Jika anda tidak dapat menerimanya, jangan di-online-kan.


Tidak ada komentar:

Posting Komentar