Key Takeaways
- Pakar keamanan siber menyarankan bahwa kata sandi, dengan sendirinya, tidak lagi dianggap memadai untuk mengamankan akun.
- Pengguna harus mengaktifkan otentikasi multi-faktor (MFA) jika memungkinkan.
- Namun, MFA tidak boleh digunakan sebagai alasan untuk membuat kata sandi yang lemah.
Sandi terkuat dan kebijakan sandi paling ketat tidak banyak berguna saat penyedia layanan online Anda membocorkan kredensial Anda karena kesalahan konfigurasi di server mereka.
Jika menurut Anda kemungkinan seperti itu jarang terjadi, ketahuilah bahwa banyak kebocoran data terbesar pada tahun 2021 disebabkan oleh kesalahan teknis oleh penyedia layanan. Faktanya, pada bulan Desember 2021, pakar keamanan siber membantu memasukkan kesalahan konfigurasi seperti itu ke dalam bucket S3 Amazon Web Services milik Sega, yang berisi semua jenis informasi sensitif, termasuk kata sandi.
"Penggunaan kata sandi akan menjadi usang, dan kita harus mencari cara lain untuk masuk ke akun," CEO vendor keamanan Gurucul, Saryu Nayyar, mengatakan kepada Lifewire melalui email.
Masalah Dengan Kata Sandi
Pada bulan Desember, The Sun melaporkan bahwa Badan Kejahatan Nasional Inggris (NCA) memberikan lebih dari 500 juta kata sandi ke layanan Have I Been Pwned (HIBP) yang populer, yang telah ditemukan selama penyelidikan.
HIBP memungkinkan pengguna untuk memeriksa apakah kata sandi mereka telah bocor dalam pelanggaran dan rentan disalahgunakan oleh peretas. Menurut pendiri HIBP, Troy Hunt, lebih dari 200 juta kata sandi yang disediakan oleh NCA belum ada di database.
Meskipun fitur penyimpanan kredensial akun dari browser sangat nyaman… pengguna disarankan untuk tidak menggunakannya.
"Ini menunjuk pada besarnya masalah, masalahnya adalah kata sandi, metode kuno untuk membuktikan bonafida seseorang. Jika pernah ada ajakan bertindak untuk berupaya menghilangkan kata sandi dan menemukan alternatif, maka ini harus baik itu, " Baber Amin, COO pakar identitas digital, Veridium mengatakan kepada Lifewire melalui email, sebagai tanggapan atas kontribusi NCA baru-baru ini untuk HIPB.
Amin menambahkan bahwa kredensial yang bocor tidak hanya membahayakan akun yang ada, karena peretas sekarang menggunakannya dengan alat analitik berbasis AI untuk mengidentifikasi pola bagaimana seseorang membuat kata sandi. Intinya, kredensial yang bocor juga membahayakan keamanan akun lain yang tidak disusupi.
Kata Sandi dan Lainnya
Mendukung mekanisme perlindungan yang lebih baik daripada kata sandi, Nayyar menyarankan agar pengguna yang memiliki opsi untuk mengatur otentikasi multi-faktor di akun mereka harus melakukannya.
Ron Bradley, VP of Shared Assessments, sebuah organisasi keanggotaan yang membantu mengembangkan praktik terbaik untuk jaminan risiko pihak ketiga, setuju. "Aktifkan otentikasi multi-faktor jika memungkinkan, terutama aplikasi yang memindahkan uang."
Mengamankan akun dengan kata sandi saja dikenal sebagai autentikasi satu faktor. Otentikasi multi-faktor atau MFA dibangun di atas itu dan mengamankan akun dengan menambahkan langkah ekstra ke dalam proses masuk dengan meminta informasi lain kepada pengguna. Banyak layanan, termasuk beberapa bank, menerapkan MFA dengan mengirimkan kode verifikasi ke nomor ponsel pengguna yang terdaftar di bank tersebut.
Namun, mekanisme verifikasi ini rentan terhadap mekanisme serangan yang dikenal sebagai serangan pertukaran SIM, di mana penyerang mengambil alih nomor ponsel target dengan menipu operator pemilik agar menetapkan kembali nomor tersebut ke kartu SIM penyerang.
Sementara mengakui serangan yang menargetkan beberapa pelanggannya, T-Mobile mengatakan bahwa serangan pertukaran SIM telah menjadi kejadian umum dan di seluruh industri.
Sebaliknya, opsi yang lebih baik untuk mengaktifkan MFA adalah dengan menggunakan aplikasi seperti Duo Security, Google Authenticator, Authy, Microsoft Authenticator, dan aplikasi MFA khusus lainnya.
Sprawl Kata Sandi
Namun, semua pakar keamanan siber yang kami ajak bicara memperingatkan bahwa menggunakan MFA tidak boleh menjadi alasan untuk tidak mengambil langkah-langkah yang memadai untuk mengamankan kata sandi.
"Jadilah bagian dari one-percenters yang tidak tahu apa password bank mereka karena terlalu panjang dan rumit," saran Bradley.
Dia menambahkan bahwa pengguna harus mempertimbangkan untuk berinvestasi dalam pengelola kata sandi dalam hal kata sandi. Meskipun tidak ada kekurangan pengelola kata sandi gratis, dan ada juga yang terpasang di browser web Anda, para ahli menyarankan bahwa pengelola kata sandi gratis lebih baik daripada tidak memilikinya sama sekali, tetapi pengguna harus berhati-hati saat menggunakannya.
Jadilah bagian dari one-percenters yang tidak tahu apa kata sandi bank mereka karena terlalu panjang dan rumit.
Saat menyelidiki pelanggaran baru-baru ini terhadap jaringan internal satu perusahaan, peneliti keamanan siber dari AhnLab menemukan bahwa akun VPN yang digunakan untuk membobol jaringan perusahaan bocor dari PC karyawan yang bekerja jarak jauh.
PC ini terinfeksi berbagai malware, termasuk yang dirancang khusus untuk mengekstrak kata sandi dari pengelola kata sandi yang ada di peramban web berbasis Chromium seperti Google Chrome dan Microsoft Edge.
"Meskipun fitur penyimpanan kredensial akun browser sangat nyaman, karena ada risiko kebocoran kredensial akun pada infeksi malware, pengguna disarankan untuk tidak menggunakannya, " memperingatkan peneliti AhnLab.
