Apa itu password?
Password (kata sandi) adalah rangkaian karakter yang digunakan untuk memverifikasi identitas pengguna selama proses authentication. Password biasanya digunakan bersamaan dengan username; dirancang agar hanya diketahui oleh pengguna dan memungkinkan pengguna tersebut mengakses perangkat, aplikasi, atau situs web. Password bisa bervariasi panjangnya dan dapat berisi huruf, angka, serta karakter spesial.
Password kadang disebut sebagai passphrase jika terdiri dari lebih dari satu kata, atau disebut passcode atau passkey jika hanya terdiri dari angka saja, seperti personal identification number (PIN).
Password merupakan contoh sederhana dari challenge-response authentication, yaitu dengan menggunakan kode secara verbal, tertulis, atau diketik untuk menjawab permintaan challenge. Urutan dan variasi karakter biasanya menentukan tingkat kesulitan atau kekuatan keamanan dari password tersebut. Itulah kenapa sistem keamanan seringkali mengharuskan pengguna membuat password yang mengandung setidaknya satu huruf kapital, angka, dan simbol. Supaya password benar-benar efektif sebagai mekanisme keamanan, detailnya harus tetap dirahasiakan. Kalau tidak, pengguna yang tidak sah bisa saja mengakses file atau data penting yang ingin kita lindungi.
Cara membuat password yang aman
Password yang dibuat dengan hati-hati dan dilindungi dengan baik bisa meningkatkan keamanan saat beraktivitas online maupun di tempat kerja, serta bisa mencegah pembobolan password. Untuk memaksimalkan kekuatan dan efektivitas password, banyak organisasi yang menerapkan kebijakan khusus terkait password. Kebijakan ini dibuat agar pengguna bisa membuat password yang kuat dan menerapkan praktik terbaik dalam mengelola kredensial login. Berikut beberapa praktik yang dianjurkan untuk pembuatan dan pengelolaan password yang baik:
- Panjang minimal 8 karakter dan maksimal antara 16 sampai 64 karakter. Meskipun tidak ada batas maksimal secara umum, namun ada titik di mana penambahan karakter sudah tidak memberikan manfaat lebih.
- Gunakan huruf kapital dan huruf kecil (case sensitive). Ini meningkatkan jumlah kemungkinan kombinasi dan membuat password lebih sulit ditebak.
- Sertakan setidaknya satu angka.
- Sertakan setidaknya satu karakter spesial.
- Hindari penggunaan elemen yang mudah ditebak seperti nama anak, nama hewan peliharaan, dan tanggal lahir.
- Pertimbangkan untuk menggunakan alat manajemen password.
Contoh password yang kuat
Komponen terpenting dari password yang kuat adalah panjang yang cukup dan campuran berbagai jenis karakter. Para ahli keamanan menyarankan menggunakan passphrase yang terdiri dari beberapa kata serta mengganti beberapa huruf dengan angka dan simbol, tapi tetap mudah diingat. Misalnya, frasa “my hobby is buying shoes online” bisa diubah menjadi “Myho88y!$ buYing$HO3$ 0nlin3.”
Praktisi keamanan juga menyarankan membuat password dari huruf pertama tiap kata dalam kalimat panjang, lalu mengganti beberapa huruf dengan angka dan simbol. Contohnya, “I spend all my money in the shoe department at Nordstrom because their shoes are great” bisa diubah menjadi “I$@MM1TSD@N8T$AG.”
Generator password acak dan alat manajemen password juga bisa membantu membuat password kompleks dan menyimpannya. Walaupun kadang ada kerentanan pada aplikasi password manager, komunitas keamanan tetap merekomendasikan penggunaannya.
Cara menghindari password yang lemah
Pengguna dan bisnis sebaiknya menghindari kerentanan password yang umum, karena celah-celah ini sering dimanfaatkan oleh peretas. Di era media sosial seperti sekarang, informasi pribadi yang dikenali bisa dengan mudah diperoleh oleh pelaku kejahatan siber yang gigih. Beberapa kelemahan umum yang perlu dihindari antara lain:
- Menggunakan kata “password”
- Urutan angka yang mudah ditebak seperti “12345678”
- Memasukkan informasi pribadi yang mudah diakses: tanggal lahir, nama keluarga, alamat rumah, nama hewan peliharaan atau anak
Kasus peretasan SolarWinds yang muncul akhir 2020 menunjukkan bagaimana hacker bisa mengeksploitasi password yang lemah. Alih-alih melakukan serangan canggih, hacker yang diduga didukung Rusia cukup menebak password “solarwinds123” — yang ternyata adalah password untuk server update perusahaan tersebut. Hal ini memungkinkan penyerang menyisipkan virus ke dalam pembaruan perangkat lunak Orion milik SolarWinds, yang kemudian dikirim ke para klien dan ikut menginfeksi mereka juga.
Seberapa sering password harus diganti?
Password yang kuat tidak hanya bergantung pada kombinasi kodenya saja, tapi juga pada masa berlakunya. Kebijakan perusahaan biasanya menetapkan masa berlaku password tertentu untuk mendorong pengguna mengganti password lama dengan yang baru. Umumnya, masa berlaku password berkisar antara 90 hingga 180 hari. Sistem keamanan yang lebih canggih bahkan mewajibkan password baru yang benar-benar berbeda dari password sebelumnya.
Alternatif lain dari password
Autentikasi tanpa password (passwordless authentication) muncul sebagai solusi untuk mengatasi kompleksitas dan kerentanan dari metode password tradisional. Metode ini sangat bermanfaat untuk pengguna perangkat mobile atau platform sosial. Alih-alih membuat password, pengguna akan menerima kode autentikasi satu kali lewat SMS, email, atau layanan pesan lainnya, dan langsung bisa login secara otomatis.
Metode autentikasi lainnya juga bisa digunakan bersamaan dengan password atau menggantikannya. Beberapa contohnya antara lain:
- Two-factor authentication (2FA) — 2FA mengharuskan pengguna memberikan dua faktor autentikasi, biasanya kombinasi dari sesuatu yang diketahui (seperti password atau PIN), sesuatu yang dimiliki (seperti kartu ID, token keamanan, atau smartphone), dan sesuatu yang dimiliki secara biologis (seperti sidik jari atau pemindaian mata).
- Multifactor authentication (MFA) — Hampir sama dengan 2FA, namun MFA tidak terbatas pada dua faktor saja. Bisa menggunakan lebih banyak jenis faktor autentikasi.
- Biometrik — Metode ini mengautentikasi pengguna berdasarkan ciri fisiologis seperti sidik jari atau retina mata, maupun ciri perilaku seperti pola mengetik dan suara.
- Token — Security token adalah perangkat keras seperti smart card atau key fob yang dibawa pengguna untuk mengakses jaringan secara aman.
- One-time password (OTP) — OTP adalah password yang dihasilkan secara otomatis dan hanya berlaku untuk satu transaksi atau sesi. Biasanya disimpan dalam bentuk token keamanan.
- Social login — Metode login ini memungkinkan pengguna masuk ke aplikasi atau situs web menggunakan akun media sosial seperti Facebook atau Google, tanpa harus membuat akun terpisah.