tirto.id - Yahoo kembali mengumumkan peretasan data pengguna. Kali ini melibatkan lebih banyak pengguna dari peretasan yang diumumkan September 2016 lalu hingga 1 miliar akun. Para penggunanya diminta untuk segera mengubah password untuk keamanan.
Password merupakan benteng pengaman agar akun-akun kita tetap aman. Sayangnya, banyak pengguna yang sering kali teledor dengan menggunakan password yang mudah ditebak.
Beberapa waktu lalu, SplashData kembali merilis 25 kata sandi terburuk yang dipakai oleh banyak orang. Sepanjang 2015, perusahaan manajemen kata sandi itu telah menganalisis 2 juta kata sandi, mengurutkannya berdasarkan tingkat popularitas, serta membandingkannya dengan data tahun sebelumnya.
Hasilnya cenderung serupa dengan temuan di tahun 2014. Sandi terburuk masih dipegang oleh “123456” dan mendompleng di urutan kedua ada “password”. Posisi 10 besar didominasi oleh variasi dari pemuncak daftar, antara lain “12345678”, “12345”, “123456789”, “1234”, dan “1234567”.
Di urutan keempat ada “qwerty” sebagai kombinasi sederhana dari urutan tombol keyboard sebelah kiri-atas. Di urutan ketujuh ada “footbal” yang mewakili nama olahraga paling populer di muka bumi, dan di urutan kesepuluh ada “baseball”. Tahun ini, urutan 25 besar muncul beberapa kata baru seperti “welcome”, “login”, “princess”, “qwertyuiop”, “solo”, dan “starwars”.
Morgan Slain selaku direktur eksekutif SplashData mengatakan, tingkat popularitas sebuah kata sandi sangat dipengaruhi oleh tata letak huruf dan angka di keyboard komputer. Ini menandakan bahwa si pembuat berusaha mengingat kata sandinya secara visual.
“Kata sandi yang polanya berdasarkan tombol huruf atau angka di keyboard pun tetap populer meskipun sebenarnya kekuatannya sangat lemah,” kata Morgan seperti yang dikutip The Guardian.
“Kata sandi yang hanya menggunakan angka sebaiknya dihindari, terutama yang berurutan. Hari ini semakin banyak website yang mewajibkan pemakai akunnya, terutama yang baru, untuk memakai kata sandi yang lebih kuat, diutamakan kombinasi antara huruf dan angka. Itu pun terkadang masih belum terlalu kuat,” imbuhnya.
Temuan yang disajikan oleh SplashData sesungguhnya hanya puncak gunung es dari kata sandi yang populer dan rawan diretas. Bahkan penggunaan kata sandi yang tak populer pun akun seseorang bisa mudah dibajak. Menurut SplashData, masih banyak sekali orang yang mengunakan nama sendiri, nama anak, atau tanggal lahir untuk kata sandi. Di era digital seperti sekarang, informasi dasar itu tentu bisa dicari dengan mudah bahkan oleh orang asing sekalipun.
Seperti ilustrasi kasus Leonard di atas, SplashData juga menyoroti pemakaian satu kata sandi untuk beberapa akun. Hal ini memang dilakukan karena praktis dan mudah diingat, tetapi risiko yang akan diterima oleh si pengguna akun juga lebih tinggi. Jebolnya satu akan diiringi oleh jebolnya akun-akun lainnya.
Pengukur Kekuatan Sandi: Bohong!
Mark Stockley baru-baru ini memberikan pernyataan yang cukup mengejutkan. Pendiri perusahaan konsultan web Compound Eye itu berkata pada The Guardian bahwa pengukur kekuatan kata sandi sebetulnya mengingkari harapan dari para pemilik akun baru.
Pengukur kekuatan kata sandi atau yang diistilahkan dengan “password strength meters” adalah semacam aplikasi yang akan memberitahu si pembuat kata sandi apakah kata pilihannya sudah cukup kuat untuk dipakai. Riwayat aplikasi ini dulunya muncul untuk menghindarkan para pemakai akun membuat kata sandi yang lemah dan gampang dibobol seperti yang terungkap dalam temuan SplashData.
Mesin pengukur ini muncul dalam bentuk batang dari yang terlemah diwakili dengan warna merah hingga yang terkuat dengan warna hijau. Indikatornya sederhana, yakni kompleksitas dan panjang kombinasi huruf atau angka yang dipakai.
Sayang, menurut Mark, metode pengukuran ini sudah kedaluwarsa karena terbukti tetap menyarankan si pemilik akun untuk memakai kata-kata yang sesungguhnya mudah diprediksi orang lain. Dengan kata lain, mesin tersebut sesungguhnya memberikan harapan palsu atas keamanan dan privasi para pemilik akun.
“Masalahnya adalah pengukur kekuatan itu tak benar-benar mengukur kekuatannya kata sandi. Orang mengira ia bisa dipercaya. Padahal satu-satunya cara terbaik untuk mengukur kekuatan sebuah kata sandi adalah dengan mengujinya lewat bantuan orang lain, mencoba membajak si akun untuk mengetahui kata sandinya. Tentu langkah ini tergolong percobaan yang serius dan melibatkan spesialis perangkat lunak maupun piranti keras,” kata Mark.
Mark telah mengadakan percobaan lima aplikasi pengukur kekuatan kata sandi antara lain jQuery Password Strength Meter for Twitter Bootstrap, Strength.js, Mato Ilic's PWStrength, FormGet's jQuery Password Strength Checker, dan Paulund's jQuery.
Kata sandi yang diuji memakai daftar 10.000 kata sandi terpopuler: “abc123”, “trustno1”, “ncc1701” (nomor plat USS Enterprise Strak Trek), “iloveyou!”, dan “primetime21”. Hasilnya? Kelimanya bobol oleh piranti pemecah kode password John the Ripper dalam waktu kurang dari satu detik.
Mark juga sempat mencoba pengukur kekuatan kata sandi dengan reputasi paling baik, ZXCVBN, yang dipakai oleh Dropbox dan Wordpress. Beberapa kata sandi yang diuji coba dinilai sangat lemah, namun mengingat popularitasnya yang keterlaluan Mark berpendapat bahwa seharusnya si mesin tak menyarankan para pengguna akun untuk memakainya. Bahkan kekuatan kata sandi “trustno1”, “iloveyou!”, dan “primetime21” dikategorikan bagus.
Penelitian lain, dari Microsoft misalnya, mengungkap hasil yang serupa. Data yang dirilis dua tahun lalu dari perusahaan teknologi terkemuka itu menguak fakta bahwa pemakaian aplikasi pengukur kekuatan kata sandi memang membantu para pengguna akun untuk memilih kata sandi yang terbaik (berdasarkan pilihan pengguna akun), tetapi belum bisa menghindarkan diri dari pemilihan kata-kata sandi yang populer dan rawan dibajak.
Kreatif itu Aman
Mark kemudian menawarkan sebuah metode penguji kekuatan kata sandi yang bernama “brute force methods”. Metode ini mengandalkan sistem iterasi yang dalam matematika bisa diartikan sebagai proses berulang-ulang sebagai salah satu sifat alogaritma dan bahasa pemrogaman komputer.
Artinya, meski kata sandi yang diuji kekuatannya terdiri dari karakter yang panjang dan variatif, metode ini bisa tetap menghasilkan hasil yang akurat sebab mampu menelusuri setiap kata sandi yang kemungkinan telah dipakai. Setidaknya metode ini bisa dipakai untuk menemukan kata sandi yang memiliki kadar originalitas/keaslian yang relatif tinggi.
Terlalu rumit? Buang-buang waktu? Jasa spesialis terlalu mahal?
Wordpress memberikan saran yang lebih elegan: gunakan frasa, hindari satu kata. Jadi, alih-alih hanya memakai satu kata seperti “Jogja” misalnya, tambah lah dengan kata-kata lain dan dalam kombinasi yang cantik. Contoh: “jogja kota kenangan” atau “antara jogja dan jakarta”. Tak ada larangan untuk frasa yang lebih panjang seperti “bagaimana jogja mau nyaman dimana mana ada preman jalanan”.
“Sebab panjang frasa sandi adalah faktor utama kekuatannya, dan frasa amat lebih aman ketimbang kata sandi. Dengan memilih frasa yang unik dan Anda suka, di waktu yang sama frasa itu juga akan mudah Anda ingat dan memudahkan pula proses log in,” kata Wordpress di laman bagian keamanannya.
Makin kreatif, makin aman.
Penulis: Akhmad Muawal Hasan
Editor: Nurul Qomariyah Pramisti
