Membuat dan Mengelola Kata Sandi yang Kuat

Termutakhir22 March 2018

Daftar Isi

...Loading Table of Contents...

    Banyak aplikasi dan layanan membutuhkan kata sandi. Kata sandi mengizinkan kita untuk merasa aman menggunakan teknologi digital untuk mengerjakan sesuatu yang seharusnya hanya kita yang bisa lakukan: masuk ke komputer dan mengirim surel, misalnya, atau mengenkripsi data sensitif. Kata rahasia ini, kalimat, atau barisan tanpa arti seringkali menjadi satu-satunya penghalang antara informasi kita dengan mereka yang mungkin mau membaca, menyalin, memodifikasi, atau merusaknya tanpa izin kita. Kita juga tergantung pada kata sandi untuk mencegah orang lain menyamar sebagai kita di media sosial dan platform daring lainnya. Penyerang menggunakan beragam trik ketika mencoba mempelajari kata sandi kita, tetapi kita bisa mempertahankan diri melawan mereka dengan menerapkan taktik khusus dan menggunakan pengelola kata sandi yang aman.

    Apa yang bisa Anda pelajari dari panduan ini

    • Elemen-elemen kata sandi yang aman
    • Sedikit trik untuk mengingat kata sandi yang panjang dan rumit
    • Alasan kenapa Anda harus menggunakan pengelola kata sandi yang aman dari sekedar mengingatnya
    • Apa yang Anda bisa lakukan selain mengatur kata sandi yang kuat untuk melindungi akun dan informasi Anda

    Memilih dan mengelola kata sandi yang aman

    Ketika Anda melindungi sesuatu, Anda menggemboknya dengan kunci. Gembok sepeda memiliki anak kunci, kartu dari bank memiliki nomor PIN, akun surel memiliki kata sandi, dan berkas terlindungi memiliki anak kunci enkripsi. Baik fisik maupun virtual, mereka membuka gemboknya masing-masing dengan efektif di tangan orang lain. Anda bisa mencegah malware, mengenkrispi berkas, berkomunikasi dengan aman, dan menyembunyikan lalulintas daring Anda, tetapi semua itu kurang berarti jika kata sandi Anda lemah atau jatuh ke tangan yang salah.

    Elemen-elemen kata sandi yang kuat

    Kata sandi sebaiknya susah ditebak program komputer.

    • Buatlah panjang: Makin panjang kata sandi Anda, makin kecil kemungkinan program komputer bisa menebaknya dalam rentang waktu masuk akal. Beberapa orang menggunakan kalimat sandi atau passphrases yang memiliki beberapa kata, dengan atau tanpa spasi. Kalimat sandi merupakan ide bagus untuk layanan yang memperbolehkan kata sandi panjang.

    • Buatlah rumit: Selain panjang, kerumitan kata sandi juga mencegah perangkat lunak “pembobol kata sandi” untuk menebak kombinasi katakter. Jika bisa, Anda sebaiknya menggunakan huruf kapital, huruf kecil, angka, atau simbol di kata sandi. Baca bagian matematika kata sandi di bawah untuk informasi lebih lanjut.

    Kata sandi sebaiknya susah dipecahkan orang lain.

    • Jangan buat personal: Kata sandi Anda sebaiknya tidak terkait hal-hal personal. Jangan gunakan kata atau kalimat berdasarkan informasi seperti nama, tanggal lahir, nomor telepon, nama kecil, nama binatang peliharaan, atau sesuatu yang bisa dipelajari orang lain tentang Anda. Ide bagus juga untuk menyediakan jawaban palsu pada “pertanyaan keamanan” yang digunakan beberapa layanan untuk memverifikasi Anda ketika lupa kata sandi. Ini juga mencegah orang lain membuat akun samaran Anda dengan cara melihat informasi personal Anda di Internet. Pengelola kata sandi aman berguna untuk merekam jawaban-jawaban palsu ini.

    • Jagalah sebagai rahasia: Jangan membagi kata sandi dengan orang lain kecuali Anda benar-benar terpaksa. Jika Anda harus membagi kata sandi dengan teman, keluarga, atau rekan kerja, ubahlah dulu kata sandi dengan sesuatu yang sifatnya hanya sementara, tetapi kemudian ganti kembali dengan kata sandi yang sebelumnya digunakan. Sering kali ada pilihan lain untuk membagi kata sandi, misalnya dengan membuat akun terpisah untuk tiap orang yang membutuhkan akses. Merahasiakan kata sandi juga berarti Anda harus waspada ketika ada yang mengintip saat Anda menuliskannya.

    • Buatlah praktis: Jika Anda harus menuliskan kata sandi karena tidak bisa mengingat, Anda mungkin akan menghadapi ancaman baru dari orang lain yang bisa melihat dengan jelas meja kerja Anda, atau yang kadang-kadang masuk rumah Anda, dompet Anda, atau tempat sampah di luar kantor. Jika Anda tidak mampu mengingat kata sandi yang panjang dan ruwet silakan lihat di bagian Mengingat kata sandi aman di bawah. Sebagai pilihan, Anda bisa membuat kata sandi yang kuat, menyimpannya di pengelola kata sandi semacam KeePassX atau KeePassXC dan tak usah mengingatnya. Pengelola kata sandi memang didesain untuk tujuan semacam ini. Anda tidak harus menyimpan kata sandi di berkas biasa, bahkan yang mengaku telah terenkripsi.

    Kata sandi seharusnya dipilih untuk mengurangi kerusakan jika ada yang tahu.

    • Buatlah unik: Hindari penggunakan kata sandi sama untuk lebih dari satu akun. Jika tidak, seseorang yang tahu kata sandi itu akan mengakses layanan lain dan informasi di dalamnya. Untuk alasan serupa, menukar kata sandi di beberapa akun juga menjadi ide buruk. Keunikan amat penting saat ini, ketika makin banyak situs web telah diretas dan basis data kata sandi mereka dibuka secara daring. Lihat lebih detail hasil riset peneliti keamanan Troy Hunt Have I Been Pwned sebagai contoh untuk melihat apakah ada di antara kata sandi Anda yang telah dibocorkan. (Harap ingat bahwa banyak akun terbobol yang tak disadari, jadi Anda sebaiknya segera mengubah kata sandi lemah Anda meskipun tidak ada akun Anda di daftar tersebut.)

    • Terus perbarui: Ubahlah kata sandi penting Anda sesekali. Makin lama Anda menyimpan satu kata sandi, makin besar peluang bagi orang lain untuk menemukannya. Jika seseorang bisa menggunakan kata sandi curian tanpa Anda tahu, mereka akan terus melakukan sampai Anda mengubahnya. Selama kata sandi Anda kuat dengan cara lain seperti dijelaskan di atas, Anda tidak perlu mengubahnya terlalu sering, tetapi tetap menjadi ide bagus untuk menyegarkan kata sandi setahun sekali atau semacamnya.

    Mengingat dan menyimpan kata sandi aman

    Melihat kembali saran di bagian sebelumnya, Anda mungkin heran kenapa seseorang tanpa ingatan fotografik bisa tetap mengingat kata sandi panjang, ruwet, dan tanpa arti itu tanpa menuliskannya. Pentingnya mengingat kata sandi berbeda-beda untuk tiap akun akan menyusunnya lebih susah lagi. Namun, ada beberapa trik yang mungkin bisa membantu Anda untuk membuat kata sandi yang mudah diingat tetapi sangat susah ditebak, bahkan oleh penyerang cerdas dengan perangkat lunak ‘pembobol kata sandi’ yang kuat. Anda juga memiliki pilihan untuk merekam kata sandi Anda dengan alat semacam KeePassX atau KeePassXC yang didesain khusus untuk tujuan ini.

    Mengingat kata sandi aman

    Kata-kata seringkali dianggap lebih mudah untuk diingat daripada barisan karakter acak, tetapi kata sandi menggunakan satu kata saja amat mudah ditebak. Komputer bisa menguji semua kata-kata kamus yang diketahui dalam waktu sangat cepat. Bekerja secara luring, rata-rata komputer bisa menebak seluruh (sekitar) 10.000 kata bahasa Inggris hanya dalam hitungan detik. Bahkan saat daring --- tunduk pada, katakanlah, penundaan lima detik dari dugaan --- menemukan kata sandi yang benar rata-rata hanya perlu waktu beberapa jam.

    Dan, sayangnya, memasukkan huruf kapital, mengganti “a” dengan “@”, dan menggunakan tanda seru di akhir pun tidak akan membantu. Penyerang cukup terbiasa dengan teknik semacam itu, membobol kamus kata sandi termasuk semua variasi itu. Mereka mungkin perlu waktu lebih lama untuk membobol kata sandi Anda dari satu menjadi sepuluh detik, tetapi tetap saja itu tidak bagus. (Dan, begitulah, kamus itu ada untuk semua bahasa.)

    Teknik lebih baik adalah menggunakan setidaknya enam kata terpilih secara acak untuk membuat kalimat sandi yang aman dan bisa diingat. Metode ini sering disebut “diceware” karena dia pada awalnya direkomendasikan agar orang tersebut melempar dadu untuk memilih kata-kata dari daftar yang diformat secara khusus. Ini penting karena manusia susah berpikir secara acak, dan kamus kata sandi bobolan juga termasuk kutipan terkenal, lirik lagu, puisi, dan kalimat umum.

    Berikut adalah beberapa contoh diceware:

    • cake brute tragedy outmost frostlike playroom
    • QuaintlyFreshResilientSnowstormReworkAbnormal
    • Myst!fyFrostlikeDisorderChessReversePortal

    Agar mudah, banyak orang menggunakan pembuat diceware acak, termasuk yang ada di KeePassXC. Namun, cara lama masih berfungsi cukup baik jika Anda memiliki lima enam sisi dadu di tangan.

    Menyimpan kata sandi dengan aman

    Dengan beberapa imajinasi dan sedikit praktik, Anda seharusnya bisa mengingat sebagian kata sandi diceware. Namun, mengingat sejumlah kata sandi yang kita gunakan, Anda mungkin ingin menggunakan pengelola kata sandi juga. Pengelola kata sandi semacam KeePassX dan KeePassXC mengizinkan Anda untuk membuat kata sandi yang benar-benar acak untuk sebagian besar akun dan menyimpannya di data base portabel dan terenkripsi sehingga Anda tidak harus mengingat semua.

    Angkat tangan: mari mulai dengan Pengelola Kata sandi [Windows] [Mac] [Linux]

    Kapan pun Anda harus memasukkan kata sandi untuk akun khusus, Anda bisa menyalin dan menempelkannya dari basis data menggunakan hanya satu kalimat sandi. Ini membuat lebih mudah untuk mengikuti rekomendasi di bagian sebelumnya. KeePassX dan KeePassXCjuga portabel. Artinya Anda bisa menyimpannya di basis data sebuah USB, untuk jaga-jaga jika Anda harus memasukkannya dari komputer yang jauh dari komputer utama Anda. Artinya, Anda sebaiknya hanya mengakses database Anda dari komputer yang Anda percaya. Jika Anda melakukannya dari perangkat terinfeksi malware, semua kata sandi Anda bisa diungkap.

    Selanjutnya, meskipun mungkin menjadi solusi paling efektif untuk mereka yang mengelola banyak akun, pengelola kata sandi ini juga memiliki sedikit masalah.

    Pertama, jika Anda kehilangan atau menghapus salinan basis data kata sandi, Anda akan kehilangan akses terhadap semua akun yang Anda gunakan untuk mengelola. Tidak seperti pengelola kata sandi lainnya, KeePassX dan KeePassXC tidak menyimpan salinanya di data daring Anda. Hal ini menjadi keuntungan dari sisi keamanan, tetapi juga menjadi amat penting bagi Anda untuk membuat cadangan basis dara kata sandi Anda. Baca lagi panduan kami tentang bagaimana melindungi berkas sensitif di komputer Anda untuk informasi lebih lanjut. Untungnya, fakta bahwa basis data Anda terenkripsi berarti Anda tidak harus panik jika kehilangan USB atau cakram penyimpan di mana Anda menyalinnya. Anda sebaiknya mengganti kata sandi, untuk jaga-jaga, tetapi jika Anda membuat kalimat sandi utama yang kuat, mereka mungkin aman untuk waktu lama.

    Kedua, jika Anda lupa kalimat sandi utama, tidak ada cara untuk memulihkan isi basis data Anda. Jadi, pastikan untuk memilih kalimat sandi utama yang aman dan mudah diingat!

    Terakhir, amat penting untuk melindungi basis data Anda dengan kalimat sandi yang sangat kuat. Jika seseorang mempelajari kalimat sandi dan mendapatkan salinan basis data Anda, mereka akan bisa mengakses semua kata sandi di dalam basis data. Hal ini bisa terjadi jika Anda dipaksa menyerah atau komputer Anda terinfeksi malware. (Walaupun malware juga bisa merekam kata sandi Anda ketika Anda mengetiknya.) Beberapa orang membuat basis data kata sandi berbeda untuk informasi paling sensitif dan mereka benar-benar menjaganya. Panduan kami tentang bagaimana melindungi berkas sensitif di komputer Anda menyertakan sedikit saran yang relevan.

    Membuat kata sandi utama Anda

    Di bagian sebelumnya, kita membahas kata sandi utama dalam konteks akun daring. Faktanya, kata sandi banyak digunakan untuk mengontrol akses ke banyak situasi berbeda, termasuk di antaranya tdak melibatkan “akun-akun” di suasana biasa. Contohnya termasuk menyambung ke perangkat Anda, mengenkripsi data, dan menyambung ke jaringan nirkabel. Di beberapa kasus, kata sandi ini merupakan pilihan. Di kasus lain, mereka disetel ke pengaturan bawaan yang biasanga agak lemah.

    • Perangkat lunak yang memulai sistem operasi di komputer Anda disebut Basic Input/Output System (BIOS). Anda bisa menyetel kata sandi BIOS yang terpisah dari akun pengguna normal Anda. Dengan melakukannya akan membuat orang lain yang punya akses ke komputer lebih susah untuk memasang perangkat lunak berbahaya ke komputer Anda.

    • Ketika Anda menyetel router nirkabel di rumah atau kantor, Anda bisa minta pengguna untuk memasukkan kata sandi sebelum menggunakan jaringan tersebut. Hal ini mengenkripsi sebagian lalu lintas antara perangkat Anda dan router, tetapi tidak akan melindungi lalu lintas dari orang lain uang menggunakan router sama. Untungnya, dia mencegah mereka yang tidak punya kata sandi untuk mengintai pengguna sah.

    • Router Anda juga memiliki akun administrator (biasanya disebut “admin”) yang bisa digunakan untuk memodifikasi atau menonaktifkan banyak pengaturan terkait keamanan. Kapan pun Anda mendapatkan router baru, Anda sebaiknya melihat kata sandi bawaan di dokumentasi, masuk, dan mengubahnya menjadi lebih kuat. Anda akan jarang menggunakan akun ini, jadi Anda bisa mencatatnya di pengelola kata sandi sehingga Anda tidak melupakannya.

    Pertanyaan pemulihan akun

    Banyak situs web menanyakan “pertanyaan keamanan” ketika Anda membuat sebuah akun. Contohnya antara lain:

    • Buah favorit Anda,
    • Di mana sekolah dasar Anda,
    • Nama jalan Anda tinggal saat kecil, atau
    • Nama ibu Anda.

    Beberapa layanan menggunakan pertanyaan-pertanyaan ini untuk memverifikasi identitas Anda ketika mereka curiga ada orang lain yang mencoba mengakses akun. Dalam banyak kasus, jawaban terhadap pertanyaan keamanan juga bisa digunakan untuk mengubah kata sandi sekiranya Anda lupa.

    Informasi semacam ini kadang-kadang tersedia daring, jadi lebih baik jika Anda menggunakan jawaban palsu. Meskipun demikian, Anda perlu tetap melacak respon yang Anda buat, seandainya layanan menganggap koneksi Anda terlihat mencurigakan (atau seandainya Anda benar-benar lupa kata sandi). Sekali lagi, pengelola kata sandi aman adalah tempat keren untuk menyimpan detail semacam ini.

    Otentikasi Dua Faktor

    Setelah Anda mulai menentukan kata sandi kuat untuk semua akun Anda, hal paling penting lain yang Anda bisa lakukan untuk melindungi akun-akun itu adalah dengan membuat dua faktor pemeriksaan keaslian atau otentikasi, yang kadang-kadang diberi nama kurang bisa ditebak seperti dua langkah verifikasi atau disingkat dengan “2fa.” Apapun Anda menyebutnya, dua faktor otentikasi berarti, selain kata sandi, Anda akan perlu menyediakan potongan informasi kedua untuk masuk. Untungnya, Anda tidak perlu mengingat atau menyimpan hal ini di sebuah basis data terenkripsi.

    Potongan informasi kedua ini biasanya kode numerik singkat yang dikirim sebagai SMS atau dibuat oleh sebuah aplikasi di ponsel Anda setiap Anda mencoba masuk. Dia juga bisa dibuat oleh alat kecil khusus (biasa disebut “token” atau “dongle”). Banyak perangkat semacam ini tergantung pada standar terbuka yang disebut Universal 2nd Factor (U2f). Cara lainnya, Anda akan mendapatkan kode baru tiap kali Anda masuk.

    Satu aplikasi sumber terbuka yang digunakan banyak orang untuk membuat kode satu kali pakai semacam ini disebut FreeOTP](https://freeotp.github.io/). Dia tersedia baik di perangkat iOS maupun Android. (Google memiliki aplikasi sendiri bernama Google Authenticator, tetapi layak dicatat bahwa FreeOTP bisa digunakan untuk masuk ke layanan Google juga.) Sekali mereka disetel untuk bekerja di akun Anda, aplikasi ini tidak akan membutuhkan koneksi Internet untuk membuat kode sah otentikasi dua faktor.

    Banyak layanan daring akan memberikan daftar kode cadangan ketika Anda pertama kali mengaktifkan otentikasi dua faktor pada akun yang diberikan. Kode-kode cadangan ini istimewa karena mereka tidak pernah kedaluwarsa. Penting bagi Anda untuk menyimpan mereka dengan aman karena mereka satu-satunya jalan menuju akun jika Anda kehilangan akses kepada perangkat yang biasanya membuat kode sekali pakai. Dan, tentu saja, siapapun yang memiliki kata sandi itu bisa mengakses akun Anda menggunakan salah satu dari kode itu. Pengelola kata sandi yang kuat adalah tempat tepat untuk menyimpan hal semacam itu.

    Sebuah catatan tentang penggunaan pesan teks untuk otentikasi dua faktor. Jika sebuah layanan membantu baik teks maupun kode otentikasi berbasis aplikasi, Anda sebaiknya memilih yang terakhir. SMS tidak terenkripsi, dan penyerang telah menyadap dengan sukses kode sekali pakai semacam itu saat teks dalam perjalanan menuju telepon sasaran.

    Matematika kata sandi

    Banyak kata sandi yang kuat memasukkan jenis-jenis karakter semacam huruf kapital, angka, dan simbol. Hal ini meningkatkan “ruang pencarian” peluang kombinasi yang harus dicoba melalui serangan membabi buta yang mencoba menebak setiap kata sandi yang mungkin dipakai sampai mereka berhasil menemukan yang benar. Anda bisa memperluas ruang pencarian dengan meningkatkan panjang kata sandi dan menggunakan tipe-tipe karakter yang berbeda.

    Serangan membabi buta

    Sebuah kata sandi yang dibuat dengan huruf kecil, misalnya, hanya memiliki 26 kemungkinan untuk tiap karakter yang dimuat. Menggunakan huruf kapital dan kecil meningkatkan angkanya jadi 52. Menambahkan angka dan simbol mungkin bisa meningkatkan menjadi 78. Meskipun demikian, hal ini tidak berarti kata sandi ruwet tiga kali lebih kuat dibandingkan yang sederhana. Tergantung pada panjang kata sandi, mereka mungkin bisa seribu atau sejuta kali lebih kuat.

    Hal ini karena aritmatika eksponensial. Singkatnya, total ruang pencarian akan berlipat sejalan dengan karakter yang mungkin untuk tiap karakter di kata sandi. Jadi, sementara delapan karakter kata sandi yang menggunakan hanya huruf kecil memiliki sekitar 200 miliar (26^8) kombinasi yang mungkin, sebuah kata sandi dengan delapan karakter ruwet mungkin memiliki 5.000 kali lebih kuat dibandingkan angka tersebut (78^8 itu melebihi sejuta miliar). Perbedaan ini bahkan meningkat jelas untuk kata sandi lebih panjang. Sebuah kata sandi dengan 12 karakter yang ruwet mungkin sampai 500.000 kali lebih kuat dibandingkan yang sederhana.

    Serangan kamus

    Serangan kamus menggunakan kata-kata (dan v@r!asi k2t@2) sebagai jalan pintas untuk membobol kata sandi lemah lebih cepat. Ada kurang dari 100.000 kata umum dalam bahasa Inggris. Bahkan meskipun sederhana, kata sandi dengan huruf kecil bisa lebih kuat dibandingkan menggunakan tiga karakter yang dipilih secara acak. (26^3 lebih dari 17.000). Bagaimanapun, sekali lagi, aritmatika eksponensial membantu kita di sini. Seperti disebut di atas, dalam pembahasan tentang kata sandi diceware, Anda bisa membuat kata sandi kat berdasarkan kata-kata kamus sepanjang yang Anda pilih dengan acak setidaknya enam dari mereka. (10.000^6 adalah setriliun triliun.)

    Tabel pertama di bawah ini memperkirakan berapa lama waktu diperlukan oleh penyerang untuk membobol daftar kata sandi diceware yang terus bertambah. Tabel kedua menunjukkan seperangkat perkiraan sama bagi kalimat sandi yang kita “aduk” menggunakan teknik umum. Seperti Anda bisa lihat, "karakter khusus" saja tidak cukup untuk menguatkan kalimat sandi yang lemah. Faktanya, mereka membuat sangat sedikit perbeaan kecuali kalimat sandinya sudah cukup panjang.

    Kalimat sandi Diceware:

    Contoh kalimat sandiJumlah kombinasiWaktu untuk membobol
    Purple9,000Segera
    PurpleCarpet79 JutaKurang dari sehari
    PurpleCarpetJump699 MiliarKurang dari sehari
    PurpleCarpetJumpGarage6,000 TriliunEmpat hari
    PurpleCarpetJumpGaragePaint55Juta TriliunSekitar satu abad
    PurpleCarpetJumpGaragePaintStrangely488 Miliar Triliun7.695 abad

    Kalimat sandi diceware "Yang Diaduk":

    Contoh kalimat sandiJumlah kombinasiWaktu untuk membobol
    Purp13177.000Kurang dari sehari
    Purp13C@rp3+47 MiliarKurang dari sehari
    Purp13C@rp3+Jump419 TriliunKurang dari sehari
    Purp13C@rp3+JumpG4rage37 Juta TriliunSekitar satu abad
    Purp13C@rp3+JumpG4ragePa!nt3 Triliun Triliun52.036 abad
    Purp13C@rp3+JumpG4ragePaint5trangely293.000 Triliun TriliunnLebih dari empat miliar abad

    Tabel-tabel tersebut berdasarkan perhitungan Passfault, salah satu situs web yang memungkinkan kita untuk menguji kekuatan kata sandi kita. Layanan populer semacam ini menunjukkan perhitungan di komputer Anda dan tidak mengirim apapun ke peladen mereka. Mereka bisa sangat berguna ketika menguji efektivitas relatif dari strategi kata sandi berbeda-beda tetapi Anda masih bisa menghindari pengiriman kata sandi sebenarnya.

    Bacaan lebih lanjut