Menyoroti Sistem Password yang Buruk

Insaf Albert Tarigan    •    Rabu, 13 Aug 2014 12:04 WIB
hacker
Menyoroti Sistem Password yang Buruk
(Foto:Reuters)

Metrotvnews.com: Sebuah laporan baru-baru ini menyebut sebuah kelompok penjahat siber Rusia mencuri 1,2 miliar user name dan password dari 420.000 situs. Kejahatan tersebut terjadi pada berbagai entitas dari perusahaan yang terdaftar di Fortune 500 hingga perusahaan-perusahaan sangat kecil. Situs yang terdampak tersebut tidak diidentifikasi, karena banyak yang masih rentan terhadap serangan.
 
Kelompok tersebut diduga berhasil mendapatkan data login dengan menggunakan botnet untuk mengetes kerentanan situs web. Laporan tadi juga menyebut bahwa bila satu dari komputer yang terinfeksi botnet mengunjungi situs web, maka penyerang memaksa komputer untuk melakukan serangan SQL injection pada situs untuk mengetahui apakah situs tersebut ada celah. Apabila situs rentan, maka penyerang mencatat situs web tersebut dan kembali lagi kemudian untuk mencuri informasi dari database situs web.
 
Penyerang ini tidak menjual data tersebut secara online tetapi menggunakan informasi itu untuk mengirimkan spam pada jejaring sosial. Tetap saja, informasi ini bisa menjadi berharga bagi pelaku kejahatan cyber lainnya. Bila seseorang menggunakan password mereka pada layanan lain, maka penyerang bisa saja menggunakan informasi tersebut untuk membahayakan akun lain dan mendapatkan informasi sensitif tentang korban.
 
Masalah dengan password
Insiden ini sekali lagi menunjukkan betapa rusaknya sistem password saat ini. Terlalu mudah untuk menggunakan ulang password pada situs-situs web yang lain atau membuat password yang mudah untuk ditebak. Akibatnya, bila penyerang mendapatkan akses pada login user dengan menerobos website, mereka bisa saja menggunakan informasi tersebut untuk mengakses akun online lainnya.
 
Walaupun sudah banyak berita tentang kerentanan password, tetap saja tidak cukup untuk meyakinkan sebagian besar user untuk mengganti password mereka. Report terbaru dari Pew Research Center menyatakan kurang dari empat dari sepuluh orang yang tahu tentang bahaya heartbleed mengganti password mereka  sebagai reaksi dari bahaya tersebut.
 
Daripada menyalahkan user, akan lebih baik mencari cara bagaimana kita dapat mengotentikasikan diri kita ketika menggunakan layanan online. Dan mengingat betapa cepatnya teknologi bisnis dan konsumer berevolusi dalam beberapa tahun terakhir, kini mungkin adalah saat yang tepat untuk bertindak.
 

Otentikasi Mobile
Penyebaran smartphone yang demikian cepat telah mendorong popularitas otentifikasi dua faktor. Begitu user login dengan password mereka, mereka akan mengecek email, mengirim SMS, atau membuka mobile app untuk kode otentikasi kedua sementara. Ini berarti meskipun password user sudah diketahui, penyerang masih memerlukan otentikasi kedua untuk membuka akun yang disasar.
 
Langkah selanjutnya untuk login yang aman tampaknya adalah otentikasi biometrik. Meskipun teknologi ini bukan sesuatu yang baru, adalah Apple yang memperkenalkannya kepada publik dengan menggunakannya pada sensor sidik jari pada iPhone 5S tahun lalu.

User bisa membuka kunci telepon mereka atau mengotentikasi pembelian iTunes dengan menempatkan jari mereka pada tombol di layar. Pembuat smartphone lain pun mengimplementasikan fitur ini pada perangkat mereka Pembuat smartphone lain pun mengimplementasikan fitur ini pada perangkat mereka dan di bulan Juni, Apple membuka fitur ini untuk semua apps, membantu penyebaran teknologi ini.
 
Otentikasi biometrik pada smartphone tidak terbatas pada sidik jari. Seorang eksekutif Samsung belum lama ini mengatakan perusahaannya akan membuat perangkat yang mampu mendeteksi selaput mata pengguna  untuk mengidentifikasi mereka.


Masa depan otentikasi
Otentikasi tidak akan berhenti di sini, karena para periset terus mencari cara-cara baru untuk merevolusikan sistem ini. Tahun lalu, Regina Dugan, Head of the Advanced Technology and Project Group pada Google menyarankan, tato atau pil yang tertelan dapat mengotentikasi seorang user tato atau pil yang tertelan dapat mengotentikasi seorang user . User hanya perlu menyentuh perangkat mereka – atau bahkan mobil mereka atau pintu depan – untuk membuka kunci.
 
Sebuah perusahaan yang sebelumnya bagian dari Oxford University juga sedang mengembangkan sebuah sistem otentikasi baru . Sistem Oxford BioChronometrics' mengukur tak terhitung banyaknya perilaku user ketika berinteraksi dengan perangkat mereka. Ini termasuk bagaimana user memiringkan ponsel mereka ketika mereka mengetik, kecepatan scrolling, gerakan mouse, dan lain-lain. Sistem ini mengkombinasikan informasi ini untuk membuat “electronically Defined Natural Attributes (eDNA) user, yang akan digunakan untuk mengotentikasi user.
 
Ilmuwan dari Cambridge University Frank Stajano percaya dia punya jawaban lain terhadap masalah password dalam bentuk aura elektronik . Dalam sistem ini, user mengenakan sebuah asesoris atau mengimplan sesuatu di bawah kulit yang dapat mengeluarkan aura elektronik.

Aura ini dapat menyebar sejauh 60 hingga 90 cm di sekitar tubuh user dan sinyalnya yang akan menyalakan perangkat milik user. Sehingga, user dapat membuka pintu mobil dengan kunci mobil hanya bila dia berdekatan, apabila tidak, kunci tidak akan terbuka. Stajano juga sedang mengembangkan perangkat yang diberi nama the pico yang menyimpan password dalam jumlah besar untuk layanan online. Perangkat ini hanya akan bekerja dalam jangkauan aura elektronik.
 
Melindungi informasi Anda
Proyek-proyek otentikasi ambisius di atas mungkin masih perlu waktu untuk diwujudkan. Untuk sementara, Symantec menyarankan pengguna untuk melindungi informasi online mereka dari penyerang dengan cara sebagai berikut:
  • Selalu menggunakan password yang kuat dan jangan menggunakan password yang sama berulang-ulang pada situs-sistus web lain.
  • Terapkan otentikasi dua faktor pada situs web yang menyediakan hal itu. Layanan validation and ID Protection (VIP) Symantec   memungkinkan perusahaan menerapkan otentikasi dua faktor dan otentikasi risk-based token-less.
  • Pertimbangkan penggunaan password manager.

Penulis: Laura O'Brien dari Symantec


(ABE)