Keamanan Digital: Sudahkah Kamu?

Karena aspek terlemah keamanan dari sebuah sistem adalah manusia.

Keamanan Digital: Sudahkah Kamu?
Sat, bisa ngehack Facebook/Instagram/Twitter/dll ga?

Sering banget teman-teman saya bertanya seperti itu, terutama teman yang bidangnya bukan di IT. Kalau ditanya untuk apa, alasannya bisa aneh-aneh. Ga peduli juga sih alasannya, saya akan bilang ga mau. Tapi kalau ditanya bisa atau tidak, jawabannya? Bisa! (S&K berlaku).

Sayangnya tidak semudah itu Ferguso. Yang saya maksud adalah bisa ngehack akun dari kelemahan sisi penggunanya. Kalau disuruh ngehack Facebook ya saya belum bisa. Kalaupun bisa, saya juga sudah dikasih imbalan hingga ribuan dollar US hehehe.

Daripada mengajarkan yang iya-iya, saya mau memberi tips supaya akun kamu ga diisengin orang jahat. Oh iya, tips ini buat kamu yang awam sama komputer. Yang udah melek komputer juga boleh, karena bisa jadi ada yang terlewat.

Gunakan password yang kuat

Ini sepertinya kesalahan yang paling sering dan fatal. Masih banyak orang yang password-nya hanya 6-8 karakter. Hacker biasanya melakukan coba-coba untuk mendapatkan password kamu (istilahnya bruteforce). Kalau hanya 6-7 karakter, hacker bisa mendapatkan password kamu hanya dalam hitungan milidetik! [1]

Kebiasaan yang salah lainnya adalah memakai password yang mudah ditebak. Yang ini umumnya memakai info pribadi sebagai password, seperti tanggal lahir/jadian, nama pasangan/peliharaan, dll. Nah karena sekarang zaman sudah serba digital, mudah sekali hacker mendapatkan info pribadi kamu di internet. Kalau sudah begitu, hacker lebih mudah mendapatkan password kamu.

Lalu, bagaimana sih kriteria password yang kuat? Well, ga ada standar baku yang bisa menentukan sebuah password kuat atau ga. Tapi ini daftar syarat yang wajib dipenuhi kalau saya membuat password.

  • Minimal 10 karakter.
  • Ada huruf kecil, huruf besar, dan angka.
  • (Opsional) Ada simbol.

Wah susah diingat dong sat? Ada triknya, jadikan password kamu sebuah kalimat! Contoh: Kucing1JamGuling2. Sekarang bayangkan ada kucing selama 1 jam guling-guling non-stop, yakin deh ga akan lupa sama password kamu ini. Nah bakal lebih kuat lagi kalau password kamu ada simbol, contohnya 2+2samadenganEMPAT. Pokoknya kreasikan saja sesuka hati, dijamin hacker menyerah kalau disuruh menebak password kamu. Ingat, makin panjang makin bagus!

Jangan gunakan password yang sama

Ini kesalahan kedua yang sering juga dialami. Kebanyakan orang memakai password yang sama di berbagai website yang berbeda. Sebagai informasi, ada 30.000 website berhasil diretas tiap harinya [2]. Bayangkan jika salah satu website yang berhasil diretas tersebut ada akun kamu. Kalau password kamu sama, hacker tinggal memasukkan saja password kamu yang sudah berhasil diretas ke situs lainnya.

Lah, makin susah dong sat menghafal banyak password? Ada beberapa triknya juga untuk hal ini.

  • Membuat rumus password untuk tiap website.
    Trik ini yang paling mudah dipraktikkan. Rumus password di sini maksudnya kita menentukan tambahan karakter password yang berbeda-beda di tiap website. Contohnya nih, kamu menentukan rumus passwordnya adalah dua karakter terakhir domain website, sehingga kalau di Facebook tambahan karakter passwordnya adalah ok. Jadi kalau password kamu adalah Kucing1JamGuling2, password kamu di Facebook adalah Kucing1JamGuling2ok, sedangkan di Twitter adalah Kucing1JamGuling2er. Rumus password ini juga bebas ya, silakan kreasikan sesukamu!
  • Menggunakan Single Sign-On (SSO).
    Yang ini adalah paling praktis, tapi tidak semua website mendukung teknologi ini. Kamu hanya perlu menghubungkan akun kamu ke penyedia SSO, seperti Google. Dengan begitu, kamu hanya perlu menghafal password akun Google kamu. Praktis bukan?
  • Menggunakan password manager.
    Yang ini adalah trik yang benar, tetapi tidak praktis. Kamu dapat menginstall aplikasi atau ekstensi browser yang gratis seperti LastPass. Aplikasi tersebut bisa membuat password yang sangat kuat dan menyimpannya jadi kamu ga perlu menghafal. Kekurangannya adalah kalau login di perangkat yang berbeda, seperti laptop teman atau di HP, harus menginstall aplikasi itu juga.

Aktifkan 2FA (Two-Factor Authentication)

Mungkin beberapa orang ada yang belum tahun apa itu 2FA. Gampangnya, 2FA adalah mekanisme keamanan tambahan untuk membuktikan kalau yang sedang mengakses akun kamu itu benar-benar kamu, bukan orang lain. Pernah mendapat SMS berisi OTP ketika login ke sebuah website? Nah itu adalah salah satu contoh 2FA.

Kenapa menyalakan 2FA penting? Karena 2FA adalah benteng terakhir pertahanan akun kamu! Kalau password kamu berhasil dijebol dan kamu mengaktifkan 2FA, hacker masih belum bisa langsung mendapatkan akun kamu. Masih ada 2FA yang mengharuskan hacker memasukkan kode 2FA. Kalau HP kamu masih aman di kantong, tenang saja, akun kamu akan tetap aman kok.

2FA dengan metode SMS saat ini sebenarnya sudah dianggap tidak aman [3]. Akan tetapi, jika masih awam, mengaktifkan 2FA dengan SMS sudah cukup ampuh kok. Dan untuk kamu yang sudah jago, saatnya beralih ke metode lain, seperti Google Authenticator.

Hindari tautan mencurigakan

Selamat, Anda memenangkan hadiah dari Lupabapak sebesar Rp100juta! Silakan kunjungi www.lupa-aja-lupabapak.blogspot.com untuk info lebih lanjut.

Pernah mendapat SMS seperti di atas? Saya sih sering. SMS tersebut sudah dipastikan penipuan. Biasanya, jika dibuka tautan (link) tersebut akan sangat mirip dengan website aslinya. Teknik seperti ini biasanya disebut phishing.

Cara terhindar dari phishing ini adalah pastikan kalau kamu benar-benar mengakses website yang kamu tuju. Contohnya, kalau kamu ingin berbelanja di Bukalapak, www.bukalapak.com----.palsu.com adalah website palsu. Yang asli hanyalah yang berakhiran dengan bukalapak.com. Terkadang, kalau di handphone karena link phishing tersebut sangatlah panjang, yang terbaca di layar hanyalah sampai www.bukalapak.com-nya saja sehingga masih saja banyak yang tertipu.

Mungkin ada yang beranggapan, ah itu mah gampang atuh bedainnya mana yang link phishing mana bukan. Well, kalau hackernya sangat jago, percayalah bakalan susah bedainnya! Nah sebagai latihan, coba deh ikutan kuis di website buatan Google ini. Kalau benar semua, selamat kamu sudah jago menentukan mana yang phishing mana yang bukan.

Jangan berikan informasi sembarangan

Halo, selamat pagi. Kami dari Customer Service G*jek ingin memberi kabar kalau Anda memenangi undian. Ya? Iya, Pak, betul sekali. Nanti ada SMS yang masuk ke Bapak untuk PIN-nya. Sudah masuk Pak? Oke silakan sebutkan ya Pak.

Percakapan di atas adalah salah satu modus penipuan yang benar-benar terjadi. Ingat, semua perusahaan mana pun tidak akan pernah meminta data rahasia, seperti password, PIN, kode SMS yang masuk, dan lainnya. Wong mereka bisa mengotak-atik bahkan menghapus akun kamu kok, ngapain juga nanya password ke kamu lagi.

Kalau untuk tips ini, cuma satu yang kamu bisa lakukan. Waspadalah, waspadalah! Kalau ada waktu luang boleh sih isengin penipunya hehe.

Hindari Wi-Fi publik

Sebisa mungkin, kalau tidak urgent, kalau tidak ada aral melintang, usahakan jangan pakai Wi-Fi publik. Kenapa? Salah-salah, hacker bisa mengetahui kamu sedang browsing apa, chatting sama siapa, kamu mengirim file apa, jodohmu siapa. Istilahnya keren dari teknik ini adalah man in the middle attack (MITM). Apalagi kalau kamu membuka data sensitif seperti data pekerjaan, foto selfie kamu. Hih amit-amit.

Sebisa mungkin tunggu hingga kamu dapat Wi-Fi yang lebih aman seperti di rumah. Kalau tidak bisa dan bos sudah marah-marah, dan datanya sensitif, lebih baik pakai mobile data dari HP. Kalau missqueen ga ada kuota dan terpaksa pakai Wi-Fi publik, jangan lupa gunakan VPN dan pastikan website yang kamu kunjungi memakai HTTPS. Jangan sampai data sensitif kamu dilihat orang lain, malu ih. Anda sudah diperingatkan!

Nah itu beberapa tips yang bisa kamu aplikasikan. Tips ini ga hanya berlaku untuk akun media sosial saja, tapi juga semua akun digital seperti e-commerce, perbankan, dll. Jadi, apakah password kamu lemah dan mudah ditebak? Atau seluruh password di semua website juga sama? Segera ganti ya. Jangan lupa juga aktifkan 2FA dan selalu waspada terhadap penipuan.

Sebagai penutup, percayalah kalau di dunia ini ga ada satu pun sistem yang sempurna. Semua sistem pasti mempunyai celah. Sebagai Security Engineer, pekerjaan saya adalah memastikan sistem yang saya tangani mempunyai celah seminimal mungkin. Setelah satu tahun menggeluti dunia ini, saya menyadari bahwa manusia adalah aspek terlemah keamanan sebuah sistem. Banyak orang jahat yang mengeksploitasi kelemahan ini, dengan istilahnya social engineering. Dengan tulisan ini, semoga banyak yang semakin sadar terhadap keamanan di bidang digital. Aamiin.