'12345' Benar-benar buruk: panduan utama Anda untuk keamanan kata sandi

Kami berulang kali menyarankan Anda bahwa satu-satunya cara aman untuk menyimpan dan menggunakan kata sandi adalah dengan mengandalkan pengelola kata sandi, tetapi beberapa dari Anda tidak mendengarkan. Dalam survei PCMag tentang kata sandi, hanya 24 persen dari Anda yang melaporkan menggunakan pengelola kata sandi. Apa yang kamu lakukan? Menggunakan kata sandi mudah seperti kata sandi atau 12345678? Menghafal satu kata sandi yang rumit dan menggunakannya di mana-mana? Dengar, menjaga keamanan kata sandi bukanlah masalah kecil, tetapi mengingat skala risiko yang sangat besar - ​​seperti yang diilustrasikan dalam pelanggaran Collection # 1 baru-baru ini, yang memaparkan 773 juta alamat email yang diretas - Anda perlu melakukan apa saja untuk menjaga kata sandi Anda aman.

Bahkan jika Anda menggunakan pengelola kata sandi terbaik, itu tidak menjamin keamanan akun Anda - tidak jika Anda menggunakan pengelola kata sandi untuk mengingat kata sandi yang lama dan lelah itu. Anda harus turun di parit dan mengganti kata sandi yang buruk dengan yang baru dan lebih kuat.

Survei yang disebutkan di atas mengungkapkan bahwa 35 persen pembaca PCMag tidak pernah mengubah kata sandi mereka, kecuali dipaksa melakukan pelanggaran. Secara umum, itu bukan hal yang buruk. Institut Nasional Standar dan Teknologi tidak lagi merekomendasikan mengubah kata sandi setiap 90 hari. NIST sekarang merekomendasikan penggunaan kata sandi panjang seperti "Correct-Horse-Battery-Staple" dan mengubahnya hanya jika diperlukan. Tetapi jika Anda menggunakan kata sandi yang mengerikan, "bila perlu" berarti sekarang .

Apa yang membuat kata sandi salah? Kami akan melihat beberapa atribut kata sandi yang mengerikan, dan kemudian kami akan memberi Anda beberapa petunjuk tentang cara melakukan kata sandi dengan cara yang benar.

Jauhi Kamus

Setiap beberapa bulan satu outlet berita atau yang lain memposting daftar kata sandi terburuk. Kami melihat banyak opsi yang mudah diketik, seperti 123456 dan 12345678 dan qwerty. Mudah untukmu Tentu. Tetapi juga mudah bagi peretas untuk melakukan crack. Kata sandi umum (dan buruk) lainnya terdiri dari kata-kata kamus sederhana. Kami telah melihat bisbol, monyet, dan starwars dalam daftar kata sandi terburuk. Ini juga mudah retak.

Beberapa situs web aman terkunci setelah sejumlah upaya kata sandi salah, tetapi banyak yang tidak. Bagi mereka yang tidak memiliki penguncian yang salah, peretas dapat melewati daftar alamat email dengan daftar kata sandi populer dan mengatur proses otomatis untuk terus mencoba kombinasi sampai mereka masuk.

Situs web yang diamankan dengan benar tidak menyimpan kata sandi Anda di mana pun. Alih-alih, ia menjalankan kata sandi melalui algoritma hashing, semacam enkripsi satu arah. Input yang sama selalu menghasilkan output yang sama, tetapi tidak ada cara untuk kembali ke kata sandi asli dari hash yang dihasilkan. Jika kata sandi yang Anda ketikkan hash dengan nilai yang sama dengan yang disimpan, Anda mendapatkan akses. Bahkan jika peretas menangkap data pengguna situs, mereka tidak mendapatkan kata sandi, hanya hash.

Tapi peretas cerdas dapat memecahkan kata sandi yang lemah bahkan ketika mereka hash, jika mereka tahu apa fungsi hashing situs yang digunakan. Mereka mulai dengan menjalankan kamus besar kata sandi umum melalui fungsi hashing. Kemudian mereka mencari hash yang dihasilkan dalam data yang ditangkap. Setiap kecocokan adalah kata sandi yang retak. Situs dengan keamanan terbaik meningkatkan fungsi hash dengan teknik yang disebut salting, yang membuat jenis cracking berbasis tabel ini tidak mungkin, tetapi mengapa mengambil risiko? Tinggal keluar dari kamus.

Berpikir berbeda

Seorang teman pernah memberi tahu saya kata sandinya yang sempurna: 1qaz2wsx3edc4rfv. Dia bisa "mengetik" dengan hanya menggeser jari ke bawah empat kolom miring keyboard. Itu sangat sempurna, dia menggunakannya di mana-mana. Dan itu adalah kesalahan besar.

Hampir tidak ada satu minggu berlalu tanpa berita tentang pelanggaran di beberapa perusahaan atau situs web, memperlihatkan ribuan atau jutaan nama pengguna dan kata sandi. Korban yang cerdas segera mengubah kata sandi mereka. Mereka yang mengabaikan masalah mungkin menemukan diri mereka terkunci dari akun mereka sendiri setelah peretas mereset kata sandi.

Peretas itu tahu bahwa terlalu banyak orang mendaur ulang kata sandi mereka. Setelah mereka menemukan pasangan nama pengguna dan kata sandi yang berfungsi, mereka mencoba kredensial yang sama di situs lain. Anda mungkin tidak begitu khawatir kehilangan akses ke akun Club Penguin Anda, tetapi jika Anda menggunakan login yang sama di situs web bank Anda, Anda punya masalah besar.

Itu semakin buruk. Jika orang lain menguasai akun email Anda, mereka dapat mengunci Anda terlebih dahulu dengan mengubah kata sandi. Kemudian mereka dapat masuk ke akun Anda yang lain dengan meminta tautan setel ulang kata sandi diemail ke akun itu. Sudah khawatir?

Jangan Pribadi

Menggunakan informasi pribadi sebagai dasar kata sandi Anda sangat menggoda, tetapi itu ide yang buruk. Peluangnya bagus. Nama anjing Anda muncul di kamus yang digunakan peretas untuk serangan brute-force. Kemungkinan lain seperti inisial dan tanggal lahir anggota keluarga mungkin tidak akan jatuh ke serangan brute-force, tetapi jika seseorang ingin meretas akun Anda secara khusus, bahwa data pribadi dapat memicu serangan tebak coba-coba.

Jangan berpikir sejenak bahwa detail pribadi Anda bersifat pribadi. Ada lusinan situs yang dapat digunakan orang untuk menemukan detail tentang siapa pun: alamat, tanggal lahir, status perkawinan, dan banyak lagi. Posting media sosial Anda dapat menjadi sumber info pribadi lainnya, terutama jika Anda belum mengamankan akun dengan benar. Peretas yang gigih (atau tetangga yang usil) mungkin dapat menebak kata sandi apa pun yang Anda buat berdasarkan data Anda sendiri.

Tutup Pintu Belakang

Jika Anda tidak menggunakan pengelola kata sandi, Anda pasti pernah lupa kata sandi untuk sebuah situs. Itu semua terlalu umum, itulah sebabnya hampir setiap halaman login menyertakan "Lupa kata sandi Anda?" tautan. Beberapa situs mengirim tautan reset ke alamat email Anda, sementara yang lain membiarkan Anda mengatur ulang kata sandi setelah menjawab pertanyaan keamanan Anda. Dan itu membuka pintu belakang bagi siapa pun yang ingin meretas akun Anda.

Sebagian besar situs menawarkan opsi buruk untuk pertanyaan keamanan. Siapa nama gadis ibumu? Kemana kamu pergi ke sekolah menengah? Apa pekerjaan pertamamu? Sebagaimana dicatat, kehidupan pribadi Anda adalah buku terbuka untuk siapa saja yang memiliki keterampilan pencarian internet. Jika memungkinkan, abaikan pertanyaan yang telah ditetapkan sebelumnya. Buat pertanyaan Anda sendiri, dengan jawaban unik yang akan selalu Anda ingat tetapi tidak bisa ditebak orang lain.

Lebih sulit ketika situs tidak membiarkan Anda menentukan pertanyaan Anda sendiri. Dalam hal ini, taruhan terbaik Anda adalah menggunakan jawaban yang mudah diingat yang merupakan kebohongan total. Nama gadis ibu saya adalah Obama. Saya pergi ke sekolah di Komunis Martir Tinggi. Untuk pekerjaan pertamaku, aku adalah penjinak singa. Ada unsur risiko, karena Anda mungkin lupa kebohongan yang Anda pilih. Saya sarankan menyimpan jawaban aneh ini sebagai catatan aman di pengelola kata sandi Anda… tetapi jika Anda menggunakan pengelola kata sandi itu akan mengingat kata sandi untuk Anda.

Apa yang Harus Dilakukan Sekarang Itu Peduli?

Saya harap saya meyakinkan Anda bahwa menggunakan kata sandi yang umum adalah ide yang busuk, karena membangun kata sandi dari informasi pribadi. Dan bahkan kata sandi acak yang kuat dan terbaik pun menjadi tanggung jawab jika Anda menggunakannya di semua tempat. Jika Anda siap untuk mengambil tindakan, berikut adalah beberapa poin awal:

• Gunakan pengelola kata sandi.
• Beralih ke pengelola kata sandi yang lebih baik.
• Ingat kata sandi master yang sangat aman untuk pengelola kata sandi Anda.
• Manfaatkan penghasil kata sandi acak untuk meningkatkan kata sandi lama Anda yang buruk.
• Anda bahkan bisa membuat generator kata sandi acak Anda sendiri di Excel.
• Aktifkan otentikasi dua faktor di mana pun tersedia.

Jika situs yang aman tidak menjaga keamanan, Anda masih bisa kehilangan kredensial situs itu karena pelanggaran data, tetapi dengan membuat semua kata sandi Anda panjang, kuat, dan unik, Anda telah melakukan apa saja untuk melindungi akun online Anda.

Dan hei! Sekarang Anda siap, menurut keamanan, pertimbangkan untuk menambahkan jaringan pribadi virtual, atau VPN. Menggunakan kata sandi yang kuat untuk situs yang aman berarti orang lain tidak dapat masuk ke akun Anda; menambahkan VPN berarti tidak ada kesempatan bagi siapa pun untuk mencegat koneksi Anda ke situs-situs yang aman itu.