Mengapa Kata Sandi Anda yang Paling Rumit Pun Akan Segera Terpecahkan

Lebih dari 80% dari semua pelanggaran data terkait dengan kata sandi. Menggunakan kata sandi yang rumit dan berbeda untuk setiap akun dapat meningkatkan keamanan. Namun, akun pelanggan dengan kata sandi yang kuat sekalipun tetap dapat diretas.

Saat kita berbicara tentang login ke akun digital, baik dalam aplikasi maupun situs web, kombinasi nama pengguna dan kata sandi langsung terlintas di pikiran kita. Kata sandi rahasia telah digunakan selama ribuan tahun. Ini adalah konsep sederhana, sebuah informasi bersama, yang dirahasiakan antar individu dan digunakan untuk membuktikan identitas.

Di masa di mana orang menghabiskan sebagian besar hidup mereka secara online, penggunaan konsep sederhana ini tersebar luas. Survei menemukan bahwa jumlah akun yang dilindungi kata sandi per pengguna telah meningkat secara eksponensial dalam beberapa tahun terakhir, sebagai respons terhadap ledakan aplikasi dan layanan online baru. Sebuah studi yang ditugaskan oleh NordPass menemukan bahwa antara 2019 dan 2020 jumlah kata sandi per pengguna melonjak sebesar 20%, dari rata-rata 83 menjadi 100.

Meningkatnya jumlah akun yang dilindungi kata sandi pada awalnya tidak menimbulkan masalah. Namun, cara pengguna mengatur dan mengelola kata sandi justru bermasalah. Kata sandi bersifat statis dan karenanya harus diingat oleh pengguna atau disimpan baik di catatan tempel maupun dalam pengelola kata sandi (password manager). Karena rata-rata orang hanya dapat mengingat kombinasi 7 huruf atau angka, mengingat 100 kata sandi individual bisa menjadi sangat merepotkan. Akibatnya, pengguna cenderung menggunakan kata sandi sederhana seperti nama anggota keluarga, tanggal lahir, atau sekadar 123456 yang masih menjadi kata sandi paling sering digunakan di internet. Tetapi mengapa kata sandi menjadi masalah keamanan dari awal?

Penggunaan ulang kata sandi adalah penyebab #1 pelanggaran keamanan#

Untuk mengelola semua akun mereka, 52% pengguna menggunakan kembali kata sandi dengan konsekuensi yang parah. Hal ini memungkinkan peretas mendapatkan akses ke beberapa akun dengan menyerang titik terlemah (situs web dengan standar keamanan terendah). Misalnya, akun Facebook Anda diamankan oleh kata sandi yang rumit dan standar keamanan yang kuat. Namun, ada kemungkinan besar bahwa kredensial Anda terlibat dalam pelanggaran data sebelumnya, seperti yang dialami MySpace pada tahun 2008, di mana 359.420.698 kredensial dicuri. Dan ini hanya salah satu contoh. Menurut Forbes, jumlah kredensial curian meningkat 300% sejak 2018. Saat ini, lebih dari 15 miliar kredensial dari 100.000 pelanggaran dapat dibeli di internet oleh siapa saja. Dengan kredensial ini, peretas melakukan permintaan login skala besar pada ratusan platform untuk mendapatkan akses ke akun Anda (yang disebut serangan credential stuffing).

Bahkan kata sandi rumit pun tidak aman#

Meskipun risiko ini diketahui luas, 70% kredensial yang bocor masih digunakan. Secara umum, serangan credential stuffing dapat dihindari dengan menggunakan kata sandi yang berbeda dan rumit untuk setiap akun di setiap platform yang dikombinasikan dengan pengelola kata sandi. Namun, bahkan kata sandi rumit dapat dengan mudah dipecahkan dalam hitungan detik. Tahun lalu, sebuah rekor dibuat untuk komputer yang mencoba menghasilkan setiap kata sandi yang mungkin. Ia mencapai kecepatan lebih dari 100.000.000.000 tebakan per detik. Menggunakan skrip seperti itu untuk mencoba kombinasi nama pengguna/kata sandi secara acak disebut metode brute force.

Namun, meskipun kata sandi Anda tidak dapat dipecahkan dengan metode brute force, kata sandi tersebut tetap tidak sepenuhnya aman. Sebagai pelanggan, Anda harus memercayai standar keamanan platform tempat Anda login. Jika perlindungannya lemah, kata sandi apa pun, tidak peduli seberapa rumit, dapat dicuri.

Peretas itu kreatif dan terus meningkatkan metode mereka#

Sayangnya, credential stuffing dan brute force bukan satu-satunya metode untuk mendapatkan akses tidak sah ke akun pelanggan. Teknik meluas lainnya adalah phishing, di mana antarmuka pengguna palsu dari situs asli digunakan untuk mengelabui pengguna agar memasukkan kredensial mereka. Metode selanjutnya adalah serangan man-in-the-middle, di mana aliran komunikasi seperti jaringan WiFi publik disadap atau keylogging, di mana malware dipasang pada komputer untuk menangkap kredensial.

Selama masih ada kata sandi, akun pelanggan akan diretas#

Masalah yang diuraikan di atas adalah alasan mengapa lebih dari 80% dari semua pelanggaran data dan serangan peretasan disebabkan oleh kata sandi dan menekankan bahwa kita membutuhkan pendekatan yang lebih baik daripada sekadar nama pengguna dan kata sandi untuk menangani autentikasi. Perkembangan seperti Autentikasi 2-Faktor (2FA) bergerak ke arah yang benar dalam hal keamanan, namun adopsi penggunanya cukup rendah. Jadi, mengapa tidak menghilangkan kata sandi sepenuhnya dan menggunakan passwordless? Terdengar menarik? Jelajahi solusi tanpa sandi Corbado dan dapatkan kesan pertama tentang autentikasi masa depan!

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →

Pertanyaan yang Sering Diajukan#

Mengapa menggunakan kata sandi unik dan rumit saja tidak cukup untuk menjaga keamanan akun saya?#

Bahkan kata sandi rumit dapat dibobol jika platform yang menyimpannya memiliki standar keamanan lemah, karena kata sandi apa pun dapat dicuri dari server rentan terlepas dari kekuatannya. Teknik seperti phishing, keylogging, dan serangan man-in-the-middle menangkap kredensial sebelum enkripsi berlaku, menjadikan kata sandi sebagai titik terlemah tak peduli seberapa rumitnya.

Apa itu credential stuffing dan bagaimana skala kredensial yang dicuri membuatnya sangat berbahaya?#

Credential stuffing melibatkan pengambilan pasangan nama pengguna dan kata sandi yang dicuri dari satu peretasan dan secara otomatis mengujinya di ratusan platform lain. Dengan lebih dari 15 miliar kredensial dari 100.000 peretasan tersedia untuk dibeli secara online, penyerang memiliki set data yang sangat besar untuk dieksploitasi, dan peretasan MySpace pada tahun 2008 saja mengekspos lebih dari 359 juta kredensial yang masih dapat dieksploitasi di mana pun korban menggunakan kembali kata sandi tersebut.

Mengapa begitu banyak pengguna masih mengandalkan kata sandi lemah atau menggunakannya kembali meskipun tahu risikonya?#

Rata-rata orang hanya dapat mengingat dengan andal kombinasi sekitar 7 huruf atau angka, sehingga hampir tidak mungkin untuk menghafal 100 kata sandi unik dan rumit. Batas kognitif ini menyebabkan 52% pengguna menggunakan kembali kata sandi di berbagai akun, yang pada gilirannya memungkinkan peretas mengakses berbagai layanan dengan menargetkan satu platform dengan keamanan paling lemah yang digunakan oleh pengguna terdaftar.

Apakah solusi seperti autentikasi dua faktor cukup untuk menggantikan kata sandi sepenuhnya?#

Autentikasi dua faktor mengarah ke arah yang benar dalam hal keamanan namun tingkat adopsi penggunanya masih cukup rendah, sehingga membatasi dampak praktisnya. Arah yang lebih menjanjikan adalah menghilangkan kata sandi sepenuhnya melalui autentikasi tanpa sandi (passwordless), yang menghapus rahasia bersama statis yang mendasari serangan phishing, brute force, dan credential stuffing dari akarnya.