Buat dan jaga kata sandi yang kuat

Diperbarui11 November 2021

Daftar Isi

…Memuat Daftar Isi…

    Kata sandi adalah hal penting dalam menjaga keamanan data dan identitasmu. Sayangnya penyerang mengetahui ini, dan mereka memiliki berbagai cara yang dapat digunakan untuk mengetahui kata sandimu.

    But you can defend against those tricks by applying a few important tools and tactics. The most effective strategy is to make passwords that are LONG, RANDOM, and UNIQUE. To do this reliably, you will need to use a secure password manager. It is also important to set up multi-factor authentication whenever possible.

    Ketahui jika kata sandimu telah disusupi/ bocor

    • Telusuri "Have I Been Pwned" untuk mengetahui apakah akunmu dilaporkan telah disusupi.
      • Segera ubah kata sandi akun yang kamu temukan di sana, dengan menggunakan petunjuk untuk mengatur pengelola kata sandi di bawah ini.
    • Meskipun kamu tidak melihat akunmu di sini, kamu tetap harus mengikuti petunjuk di bawah, karena banyak pembobolan akun yang tidak dilaporkan.
    Pelajari mengapa kami merekomendasikan ini

    Penyerang mencari kata sandi yang telah dibobol dan tersedia secara daring. Mereka mencoba kata sandi untuk akunmuhingga menemukan kata sandi yang tepat untuk masuk. Oleh karena itu, menggunakan kata sandi yang sama sangat berisiko. Lihatlah Have I Been Pwned untuk mengetahui apakah kata sandimu termasuk dalam daftar yang digunakan penyerang.

    Hindari kata sandi umum yang lemah

    Berikut adalah cara yang biasa digunakan penyerang untuk mengetahui kata sandimu:

    1. Mereka bisa menebak kata sandimu:
      • Menggunakan informasi pribadimu seperti tanggal penting, nama, kutipan favorit, lagu, atau pengarang yang kamu sukai
      • Mengguakan kamus
      • Dengan sedikit mengubah kata sandi yang pernah kamu pakai
      • Menggunakan perangkat lunak untuk mencoba semua kombinasi yang memungkinkan untuk membobol kata sandimu
    2. Mereka dapat mencari:
      • Di mana kata sandimu dituliskan (seperti catatan di sekitar meja)
      • Apa yang kamu ketik ketika memasukkan kata sandi
      • Kata sandi yang telah dibobol dan tersedia secara daring
    3. Mereka dapat mengelabuimu untuk:
      • Memasang perangkat lunak berbahaya untuk merekam kata sandimu
      • Membuatmu mengetikkan kata sandi pada laman masuk palsu dengan cara phishing
      • Memberikan kata sandi atau informasi lain dengan berpura-pura menjadi tenaga bantuan atau orang yang kamu kenal (disebut juga sebagai rekayasa sosial)
    4. Mereka memanfaatkan kerentanan:
      • Meretas situsweb yang menyimpan kata sandimu
      • Mencuri kata sandimu jika tersimpan pada peramban
      • Mencuri kata sandimu dari aplikasi yang kamu gunakan di ponsel

    Ikuti panduan berikut untuk melindungi dirimu dari taktik tersebut:

    • Selalu gunakan perangkat yang bersih, telah diperbarui, dan terlindungi yang kamu percaya untuk mengakses akun dan membuka informasi sensitif.

    • Perlu disadari bahwa dengan mengikuti strategi ini sendiri TIDAK membuat kata sandimu aman:

      • Menggunakan kata-kata atau nomor yang terkait denganmu atau orang dan organisasi di sekitarmu, seperti:
        • nama orang, hewan peliharaan, atau organisasi
        • tanggal lahir, hari peringatan penting atau hari libur
        • nomor telepon dan alamat
        • atau apapun yang orang bisa ketahui dengan mencari tahu tentangmu dan orang di sekitarmu
      • Menggunakan kalimat umum, seperti kutipan terkenal, lirik lagu dan puisi.
      • Mengganti karakter dengan simbol yang mirip (cth. mengganti "a" dengan "@" dll.)
      • Menggunakan tanda seru, nomor, atau tanda baca lainnya di akhir kata sandi
      • Menggunakan Huruf Kapital Pada Awalan Kata
      • Menggunakan satu kata dalam kamus apapun
      • Mengganti kata sandi secara rutin

    Ikuti panduan berikut untuk melindungi dirimu dari taktik tersebut:

    Menggunakan pengelola kata sandi

    • Dapatkan KeePassXC (untuk Linux, Mac or Windows), KeePassDX (untuk Android), atau StrongBox (untuk iOS).
    • JANGAN menggunakan ulang kata sandi.
    • Biarkan pengelola kata sandi membuat dan menyimpan kata sandi yang panjang, acak, dan unik untuk setiap akunmu.
    • Kamu mungkin bisa mulai menggunakan pengelola kata sandi bersama dengan kolegamu. Kalian dapat saling membantu dalam prosesnya.
      • Kamu mungkin ingin membiasakan diri dengan proses berbagi kata sandi secara aman. Namun, kalau bisa, akan lebih aman untuk mengatur kata sandi terpisah untuk akun berbeda dari pada memiliki satu akun dan harus membagikan kata sandinya.
    • Baca paduan kami untuk KeePassXC and KeePassDX.
    • Jika kamu membutuhkan pengelola kata sandir daring, lihat bagian di bawah.
    Pelajari mengapa kami merekomendasikan ini

    Tidak ada otak manusia yang cukup kuat untuk membuat dan mengingat kata sandi yang panjang, acak, dan unik untuk menjaga seluruh perangkat dan akunnya aman. Sebuah pengelola kata sandi membuat dan menyimpan kata sandi tersebut untukmu, dan melindunginya dengan enkripsi.

    Kami merekomendasikan KeePassXC, KeePassDX, dan StrongBox. Ketiganya gratis, telah diverifikasi keamanannya oleh para ahli dalam komunitas, dan terus diperbarui. Semuanya menyimpan kata sandi di basis data luring, yang membuatmu memiliki kontrol atas lokasi data disimpan dan bagaimana data dikelola.

    Cadangkan basis data pengelola kata sandimu

    Pelajari mengapa kami merekomendasikan ini

    Sama halnya dengan satu kata sandi, kehilangan beberapa kata sandi di saat bersamaan dapat menyebabkan gangguan sampai terputusnya komunikasi dengan kontakmu, atau kerugian finansial. Berlatihlah untuk mencadangkan basis datamu secara teratur.

    Ingatlah beberapa kata sandi yang aman

    • Gunakan metode dadu untuk membuat kata sandi di pengelola kata sandimu dan kata sandi lainnya yang harus kamu ingat (seperti kata sandi untuk membuka pengelola kata sandi atau kunci perangkat):
    • Berlatihlah memasukkan kata sandi ini secara reguler, dimulai dari setiap hari kemudian setidaknya satu kali seminggu. Pengulangan akan membantumu mengingat kata sandi tersebut.
    Pelajari mengapa kami merekomendasikan ini

    Ada beberapa kata sandi yang harus kamu ingat, termasuk kata sandi utama untuk masuk ke pengelola kata sandimu. Ada beberapa strategi yang dapat membantumu membuat kata sandi yang mudah diingat namun sangat sulit ditebak, bahkan oleh penyerang handal dengan perangkat lunak 'pemecah kata sandi'.

    Ketika terdapat kata sandi atau kode pencadangan yang ingin kamu simpan di luar pengelola kata sandi

    • Ketika kamu harus menuliskan kata sandi di atas kertas, simpan di tempat aman yang terkunci seperti brankas atau laci meja.
      • Sangat penting untuk menjaga kata sandimu tidak terlihat oleh orang yang lewat, atau mudah ditemukan dan disalin.
      • Jangan simpan kata sandi di dalam dompet.
    • Hancurkan setiap salinan kata sandi atau kode pencadangan secara menyeluruh segera setelah kamu tidak membutuhkannya lagi.
    • Sebagai alternatif, simpan kata sandi tersebut di perangkat lain. Kamu bisa menyembunyikannya di antara catatan lain tanpa penjelasan atau deskripsi.
    Pelajari mengapa kami merekomendasikan ini

    Kata sandi yang panjang tentu saja sulit diingat. Untuk kata sandi yang mungkin tidak bisa kamu simpan di pengelola kata sandi (seperti kata sandi untuk membuka kunci perangkat), pertimbangkan untuk menulisnya dan menjaganya dengan kunci fisik.

    Jika kamu memutuskan untuk menggunakan pengelola kata sandi daring

    • Hindari menyimpan informasi akun yang sangat sensitif (seperti akun finansial atau detail pemulihan akun) pada basis data daring.
    • Lindungi akses ke basis data daringmu dengan autentikasi 2 faktor.
    • Kami merekomendasikan Bitwarden untuk pengelola kata sandi daring.
    Pelajari mengapa kami merekomendasikan ini

    Pengelola kata sandi yang secara otomatis melakukan sinkronisasi antara perangkat secara daring dapat digunakan dengan mudah. Mereka menyimpan basis data kata sandimu terenkripsi di peladen. Bagaimanapun, pengelola kata sandi daring mendatangkan risiko tambahan berupa penyerang dapat mendekripsi basis datamu dan mengakses kata sandi di dalamnya tanpa kamu ketahui.

    Kami merekomendasikan [KeePassXC)[https://keepassxc.org/), KeePassDX, dan StrongBox karena mereka tidak menyimpan kata sandimu secara daring. Jika kamu memutuskan untuk menggunakan pengelola kata sandi daring, kami menyarankanmu untuk mengambil langkah berikut untuk perlindungan kata sandi tambahan.

    Ketika kamu perlu membagikan kata sandi

    • Hindari berbagi kata sandi bila dimungkinkan:
      • Jika kamu harus berbagi kata sandi dengan teman, anggota keluarga, atau kolega, ubah kata sandi tersebut untuk sementara dan bagikanlah kata sandi tersebut. Ubah kembali ke sesuatu yang aman ketika mereka selesai menggunakannya.
      • Pertimbangkan untuk membuat akun berbeda untuk setiap orang yang membutuhkan akses; beberapa layanan memungkinkan hal tersebut. Kamu bisa membatasi tindakan apa saja yang bisa dilakukan akun tersebut, dan apa yang bisa terlihat. Lihat panduan keamanan dasar untuk Android, iOS, Linux, Mac, and Windows untuk petunjuk cara melakukannya.
      • Atur pengelola kata sandimu sehingga dapat digunakan secara kolaboratif. KeePassXC memiliki fitur ini.
    Pelajari mengapa kami merekomendasikan ini

    Setiap kali kamu membagikan kata sandi, itu hampir sama seperti kamu membuat kunci cadangan dan memberikannya ke orang lain, atau seperti kamu membuka pintu dan jendela terbuka bagi pencuri. Kenyataannya lebih berisiko daripada itu, karena beberapa "pintu" dan "jendela" yang kamu miliki bisa secara mudah diakses oleh perangkat yang berada di tempat jauh tanpa kamu menyadarinya. Kurangi "serangan di permukaan" dari pintu terbuka dengan menghindari berbagi kata sandi sebisa mungkin.

    Jangan berikan kata sandi ketika seseorang mengirimkan surel, telepon, atau mengirimkanmu pesan

    • Pergi ke aplikasi atau situs untuk layanan yang semestinya mengirimkan pesan tersebut untuk memverifikasi permintaannya.
    • Jika terlihat seperti orang atau kantor yang kamu kenal mengirimkan pesan tersebut, hubungi mereka melalui saluran lain untuk memverifikasi apakah mereka benar melakukannya.
      • Contohnya, jika pesan tersebut berupa surel, telepon lah mereka.
      • Jangan mengklik tautan dalam surel atau membalasnya.
    • Waspadalah ketika ada pesan yang mencoba menakut-nakutimu, membuatmu penasaran, membuatmu merasa akan kehilangan kesempatan, atau membuatmu bertindak cepat tanpa berpikir panjang. Berhentilah sejenak, tetap tenang, dan temukan cara lain untuk memverifikasi pesan seperti itu.
    Pelajari mengapa kami merekomendasikan ini

    Penyerang sering kali berpura-pura menjadi orang lain, seperti perwakilan dari bank atau bantuan teknis demi meyakinkan kita untuk memberikan informasi sensitif. Penyerang juga sering memainkan emosi dan sifat alami manusia untuk membuat kita menyerahkan kata sandi yang seharusnya tidak kita lakukan.

    Jika kamu menerima panggilan, surel, atau pesan yang meminta kata sandi atau informasi sensitifmu, atau jika sebuah surel atau tautan teks yang kamu klik meminta informasi tersebut, sangat mungkin itu adalah seseorang yang mencoba untuk mengelabuimu.

    Kapan saatnya mengganti kata sandimu

    Change your password immediately when:

    • it appears your account, devices, or colleagues and people around you have been victims of a breach.
    • you get a credible warning from the services you use that there was an attempt to log in from an unauthorised device or location.
      • Look for news reports about breaches.
      • If you receive an email or alert, double-check on the service provider's own website that they sent the alert.
    • you entered your password on an untrusted, shared, or public device (it might have malicious code installed).
    • you are concerned that someone watched you type your password.

    Kurangi dampaknya dengan memperingatkan orang lain yang mungkin juga terdampak.

    Lihat panduan kami tentang media sosial dan panduan keamanan dasar untuk Android, iOS, Linux, Mac, dan Windows untuk petunjuk mengganti kata sandi perangkatmu.

    Pelajari mengapa kami merekomendasikan ini

    Penelitian menunjukkan bahwa mengganti kata sandimu secara berulang belum tentu meningkatkan keamanan. Ketika orang diminta untuk sering mengganti kata sandinya, mereka cenderung hanya membuat perubahan kecil pada kata sandinya, bukan membuat kata sandi yang sepenuhnya baru. Baca lebih lanjut mengenai penelitian tersebut di sini.

    Lebih penting untuk mengganti kata sandimu ketika ada kebocoran data. Karena kita tidak selalu mengetahui saat data telah bocor, kami merekomendasikan untuk mengganti kata sandi setiap beberapa bulan sampai satu tahun, atau segera setelah ada alasan untuk meyakini akunmu telah disusupi.

    Ingatlah di mana kamu berada dan siapa yang dapat melihat

    • Jika kamu berada di tempat publik dan mengetik kata sandi, perhatikan apakah kamu dapat dilihat atau direkam.
    • Periksa untuk melihat jika ada orang yang mengawasi papan ketik atau ponselmu saat kamu mengetikkan kata sandi.
    • Gunakan layar pelindung privasi untuk membuat orang sulit melihat apa yang kamu ketik.
    Pelajari mengapa kami merekomendasikan ini

    Musuh dapat memantau dan merekam saat kamu memasukkan kata sandi. Sebuah ponsel milik seorang aktivis disita dengan tuduhan palsu penghasutan. Ponselnya terkunci dengan kata sandi yang ia tolak untuk serahkan, namun para penuntut berhasil membuka kunci ponsel dan mengakses datanya dengan cara mempelajari rutinitas sehari-harinya. Mereka melihat rekaman CCTV di dalam elevator tempatnya tinggal dan berhasil mendapatkan video saat ia mengetik kata sandi.

    Gunakan autentikasi dua langkah (2FA atau MFA)

    • Periksa apakah sebuah layanan menawarkan 2FA.
    • Mengatur 2FA sangat penting untuk:
      • akun bank atau aplikasi keuanganmu
      • akun seperti alamat surel, media sosial, atau yang kamu butuhkan untuk memulihkan akun lain
    • Opsi 2FA-mu termasuk:
      • Menggunakan aplikasi autentikator atau program seperti Google Autenthicator, Okta, atau Duo. Kami merekomendasikan Aegis di Android atau aplikasi Raivo OTP di iOS/iPhone.
        • Saat menggunakan opsi ini, sangat penting untuk melindungi ponselmu dari perangkat lunak berbahaya.
      • Menggunakan perangkat keras--yang sering disebut token keamanan, dongle, atau "kunci" USB--yang dapat kamu pasang di perangkat atau untuk mengatur penggunaan NFC (near-field communication/ komunikasi jarak dekat).
        • Beberapa contohnya adalah Yubikey, Nitrokey, Google Titan Key, dan Thetis Key
        • Perangkat keras mungkin tidak berfungsi di perangkat seluler.
    • Kamu bisa menggunakan satu aplikasi autentikator atau perangkat keras untuk beberapa layanan, atau mengatur layanan berbeda dengan bentuk 2FA berbeda untuk perlindungan tambahan.
    • Saat kamu mengatur perangkat untuk 2FA, kedua opsi di atas tidak membutuhkan sambungan internet untuk mengeluarkan kode. Menggunakan surel untuk 2FA membutuhkan sambungan internet.
    • Menilai pilihan 2FA dari segi keamanan, aplikasi autentikator atau perangkat keras adalah opsi yang paling aman, kemudian surel, lalu SMS. SMS bisa tidak sampai ke ponselmu jika kamu berada di negara lain tanpa jaringan.
      • Pesan teks SMS tidak dienkripsi dan penyerang telah berhasil menyadap kode sekali pakai saat menuju ke ponsel target.
    • Ketika telah mengaktifkan 2FA, saat kamu memasukkan nama pengguna dan kata sandi, kamu juga akan memakai cara tambahan untuk membuktikan bahwa kamu adalah orang yang sebenarnya memiliki akun, dengan memasukkan kuncimu, memasukkan kode dari aplikasi autentikator, atau memasukkan kode yang dikirimkan kepadamu.
    • Jangan mematikan autentikasi dua faktor saat kamu sudah menyalakannya. Beberapa layanan mungkin menawarkan pilihan untuk mematikannya untuk sementara dengan alasan kenyamanan, namun pertimbangkan dampaknya terhadap keamananmu.
    Pelajari mengapa kami merekomendasikan ini

    Dalam hal login/ masuk, lebih aman untuk memiliki beberapa lapis pelindung. Jika pelindung pertama diterobos, kamu bisa mengandalkan pelindung kedua untuk melindungi aset-aset digitalmu. Multifaktor atau autentikasi dua-faktor (MFA atau 2FA) menggunakan perangkat atau surel yang lain memberikan lapisan perlindungan tambahan. Walau banyak orang nyaman menggunakannya, pesan teks (atau SMS) adalah opsi paling tidak aman untuk 2FA.

    Menggunakan 2FA mungkin terlihat merepotkan, tapi ingatlah: apa yang sedikit merepotkan bagimu akan jauh lebih merepotkan bagi para penjahat dan orang lain yang mungkin mencoba mengakses akunmu. Pencurian, pembajakan, atau pemantauan akun oleh orang jahat akan menjadi ketidaknyamanan yang jauh lebih besar dalam jangka panjang.

    Simpan kode pencadangan 2FA aman dan terpisah

    • Jika kamu diberikan kode pencadangan saat kamu mendaftar 2FA, simpan kode tersebut dalam pengelola kata sandi.
    • Idealnya, menyimpan kode tersebut terpisah dari informasi lain yang bisa digunakan untuk mengakses akunmu, buatlah basis data KeePassXC terpisah dan simpanlah di perangkat lain.
    Pelajari mengapa kami merekomendasikan ini

    Kebanyakan layanan daring akan memberikanmu daftar kode pencadangan saat pertama kali kamu mengaktifkan autentikasi dua-faktor di akunmu. Kode ini adalah caramu mengembalikan akunmu jika kamu kehilangan akses ke perangkat yang kamu gunakan untuk 2FA. Kode ini tidak bisa kedaluwarsa. Penting untuk menyimpan kode pencadangannya dengan aman, karena orang yang memiliki kata sandimu bisa mengakses akunmu dengan salah satu dari kode berikut.

    Hindari pembuka kunci sidik jadi atau pengenalan wajah (biometrik)

    • Jika perangkatmu diatur untuk membuka kunci dengan wajah atau sidik jadi, ubah pengaturan tersebut ke menggunakan kata sandi.
    • Lihat panduan keamanan dasar untuk Android](../../phones-and-computers/android/), iOS, Linux, Mac, dan Windows untuk instruksi bagaimana melakukannya.
    Pelajari mengapa kami merekomendasikan ini

    Biometrik bisa membuat akses ke perangkatmu lebih cepat dengan menggunakan ciri-ciri personal seperti sidik jari atau wajah. Bagaimanapun, cara tersebut kurang aman secara umum untuk mengunci perangkat dan akunmu. Tidak seperti kata sandi, kamu tidak dapat mengganti sidik jarimu kapanpun kamu inginkan. Banyak orang yang diharuskan untuk meninggalkan informasi biometrik di bandara, kantor pemerintahan, dll. Hal ini memunculkan potensi risiko seseorang bisa mengakses akunmu tanpa persetujuanmu. Jika musuhmu menahan atau memaksamu secara fisik, akan lebih mudah bagi mereka untuk membuka kunci perangkatmu daripada jika kamu mengunci perangkatmu dengan kata sandi.

    Buat pertanyaan pemulihan yang lebih aman

    Banyak layanan web yang meminta "pertanyaan keamanan" atau "pertanyaan pemulihan" saat kau membuat akun. Untuk memperkecil kemungkinan orang bisa menebaknya: Berikan jawaban palsu yang tidak berhubungan dengan pertanyaan-pertanyaan ini. - kamu bahkan bisa menggunakan kode acak dan unik yang dibuat oleh pengelola kata sandimu. - Simpan jawaban dan informasi palsu lainnya di dalam pengelola kata sandi agar kamu tidak terkunci.

    Pelajari mengapa kami merekomendasikan ini

    Recovery questions are important to helping services verify your identity if they suspect someone else is trying to access your account. You use these answers to change your password in case you lose access to your account. Unfortunately, your answers to questions like "What town were you born in?" or "What is your pet's name?" can be easy to find online. By giving fake answers, you can make it harder for an attacker to hijack your account.

    Bacaan lebih lanjut