Knowledge

Pentingnya Keamanan Password

Perkembangan teknologi dan komunikasi di dunia akan semakin berkembang kedepannya, termasuk penggunaan perangkat digital dalam kegiatan sehari-hari yang mengharuskan setiap orang untuk terus mengakses ke salah satu akun digitalnya. Menurut riset yang dilakukan oleh Mastercard, setiap orang memiliki rata-rata sepuluh akun yang digunakan pada perangkat dan aplikasi yang berbeda, dan setiap harinya akses ke akun digital mengharuskan pengguna memasukkan password sekitar delapan kali. 

Penggunaan password adalah salah satu cara untuk menerapkan tindakan keamanan dalam dunia teknologi informasi atau dunia komputer secara umum.  Menurut riset yang dilakukan oleh Mastercard umumnya dalam pengelolaan password diketahui sebanyak 25% pemilik akun menggunakan tanggal lahir mereka sebagai password, sementara 18% responden lainnya menggunakan nama peliharaan dan 13% nama keluarga sebagai password dan sebanyak 84% responden mengaku mengganti password hanya beberapa kali, sementara hanya 16% yang mengaku selalu ingat password mereka. Kebiasaan menggunakan password yang tidak “secure” atau mudah ditebak sebaiknya mulai dikurangi karena memiliki risiko diretas oleh hacker. Akibatnya, data-data pribadi pengguna bisa digunakan untuk melakukan tindak kejahatan seperti penipuan secara daring1. 

Tindak kejahatan pada website besar seringkali diretas dan terjadi kebocoran data pelanggannya sehingga informasi seperti no hp, alamat email, dll dapat diakses dengan mudah oleh publik. Salah satu data milik perusahaan teknologi asal Indonesia yang di-retas bergerak di bidang finansial (fintech), Kreditplus diduga bocor dan dijual bebas di internet pada Agustus 2020 lalu. Kebocoran data pengguna KreditPlus dipaparkan dalam laporan dari firma keamanan siber asal Amerika Serikat, Cyble. Berdasarkan laporan tersebut, data pribadi milik sekitar 890.000 nasabah Kreditplus diduga bocor. Data ratusan ribu pengguna tersebut konon dijual di forum terbuka yang biasanya digunakan sebagai kanal untuk pertukaran database hasil peretasan, Raidforums. Adapun database ini menghimpun sejumlah data pribadi pengguna yang terbilang cukup sensitif, di antaranya seperti nama, alamat e-mail, kata sandi (password), alamat rumah, nomor telepon, data pekerjaan dan perusahaan, serta data kartu keluarga (KK)2. Selain itu bocornya keamanan password juga terjadi pada saat menggunakan jaringan public.

Kebocoran data tersebut seringkali diluar kendali pengguna dan merupakan tanggung jawab pemilik website / bisnis. Pengguna dapat berusaha melindungi sejak dini dengan memiliki kesadaran tinggi terhadap keamanan password.

Pentingnya menatakelolakan password masih merupakan salah satu pertahanan terbaik terhadap peretas baik itu laptop/komputer atau juga akun online, sebagian besar situs web telah mengharuskan pengguna untuk menggunakan kompleksitas password. Misalnya, password harus memiliki panjang tertentu dan berisi campuran jenis karakter tertentu. Seperti halnya ISO/IEC 27001:2013 Annex 9.4.3 Password Management System yang mempersyaratkan bagaimana menatakelolakan password yang baik seperti halnya :

  • Tidak menulisakan password atau disimpan dalam media online apapun dalam bentuk plain text yang tidak ter-enkripsi.
  • Tidak menuliskan/menyampaikan password melalui komunikasi e-mail, chatting, atau media komunikasi elektronik lainnya.
  • Tidak membicarakan password di depan orang lain.
  • Tidak menuliskan petunjuk (hint) pada password seperti nama keluarga, dll.
  • Tidak menyebarluaskan password kepada kuisioner atau formulir keamanan.
  • Jangan menggunakan “Remember Password” fitur atau aplikasi (misal: web browsers).
  • Melakukan perubah password sementara (default password) setelah digunakan pertama kali.
  • Panjang minimal karakter password pada sistem dan perangkat yang digunakan adalah 8 (delapan).
  • Menggunakan kombinasi huruf dan angka, sedapat mungkin menggunakan spesial karakter (seperti: !$%#*) kecuali apabila sistem atau aplikasi tidak memungkinkan.
  • Menghindari pengisian password secara otomatis (auto complete).
  • Menghindari penggunaan password yang sama antara keperluan kerja dan pribadi.
  • Menghindari penggunaan login otomatis.

Meskipun tidak ada cara yang paling tepat dan kuat untuk mengamankannya, namun hal-hal seperti penggunaan password yang sederhana, singkat, dan mudah ditebak dapat membuat sistem keamanan menjadi lebih mudah untuk diretas. Oleh karena itu, sangat penting untuk melakukan tata kelola password yang baik seperti mengganti password secara berkala dan bila memungkinkan menggunakan fitur MFA (Multi Factor Authentication) seperti melaui sms, otp, telephone dan lainnya.

Syifa Aulia Sari
IT GRC Consultant
Robere & Associates (Indonesia)