Saat itu password diciptakan karena mereka ingin memberikan akses kepada banyak pengguna atas satu sistem komputer dimana setiap pengguna membutuhkan kata kunci yang berbeda untuk mengakses sistem dan sekaligus mencatat waktu akses setiap pengguna. Selain juga semua data kata kunci masih tersimpan apa adanya dan belum ada pengamanan (enkripsi) dalam penyimpanannya.
Baru setahun setelah sistem ini diterapkan, Alan Scheer yang menggunakan sistem komputer tersebut mengalami hambatan karena waktu akses yang dibatasi, namun ia menemukan cara untuk mendapatkan semua kata kunci yang ada dan menggunakan kata kunci orang lain. Sehingga Ia bisa menggunakan sistem komputer tersebut lebih lama.
 Foto: Rob Kim/Getty Images |
Standar Pengamanan
Kata kunci sampai saat ini menjadi pengamanan standar untuk mengamankan akses pada layanan di era internet ini. Baik layanan email, media sosial, aplikasi dan akses pada sistem komputer tertentu.
Kata kunci biasanya dipadankan dengan nama pengguna (user name) sehingga menjadi paduan kredensial yang unik dan tidak ada duanya di dunia ini sehingga berfungsi seperti alat idetifikasi yang dapat membedakan pengguna layanan / sistem.
Perkembangan sistem informasi dan internet yang sangat cepat dan masif membuat menjamurnya banyak layanan baru seperti email, messenger, konten (musik, video), media sosial dan aplikasi yang semuanya membutuhkan kredensial untuk mengidentifikasi penggunanya.
Melihat sejarah di atas, dimana hanya setahun setelah diciptakan telah terjadi aksi peretasan kata kunci, ancaman peretasan terhadap kredensial menjadi salah satu masalah utama yang dihadapi penyedia layanan.
Seiring dengan perkembangan teknologi, pengamanan terhadap penyimpanan kata kunci juga ditingkatkan dan secara teknis pencurian kata kunci di server penyedia jasa layanan menjadi makin sulit.
Namun hal ini bukan berarti mustahil karena banyak penyedia layanan yang berhasil diretas dan data kredensial penggunanya berhasil dicuri seperti pada kasus LinkedIn dan Yahoo yang mengalami pencurian jutaan kredensial penggunanya.
Banyaknya layanan yang tersedia juga membuat para pengguna layanan dipusingkan karena harus mengingat banyak kata kunci, dimana banyak kasus pengguna layanan malah terkunci oleh kata kuncinya sendiri karena lupa kata kunci. Ditambah lagi saran pegiat sekuriti untuk mengganti kata kunci secara berkala guna meminimalisir resiko aksi Brute Force.
Tak ingin dibikin pusing, banyak pengguna yang malah memutuskan untuk menggunakan satu kata kunci untuk banyak layanan yang berbeda. Akibatnya sangat fatal karena sekali peretas berhasil mendapatkan satu kata kunci, ia seperti mendapatkan durian runtuh karena kata kunci tersebut dapat digunakan untuk membuka layanan lain karena menggunakan kata kunci yang sama.
 Foto: Rob Kim/Getty Images |
Serumit apapun kata kunci yang digunakan dan mau diganti sekerap apapun, jika sistem komputer sudah terinfeksi key logger, kata kunci tetap akan berhasil diketahui oleh peretas.
Ancaman Password
Ancaman pencurian kredensial bisa terjadi di 3 titik,
- Server penyedia layanan. Server penyimpan data layanan seperti server Google, Yahoo, Facebook, LinkedIn, Twitter atau server internet banking dan server layanan finansial seperti kartu kredit dan sistem pembayaran.
- Intranet dan internet. Terjadi ditengah jalan ketika data dikirimkan antara komputer pengakses dengan server penyedia layanan.
- Komputer pengguna. Menggunakan program malware, trojan atau keylogger yang berfungsi memata-matai komputer korbannya dan mencuri data yang terkandung pada komputer tersebut.
Untuk pengamanan di server penyedia layanan, tidak banyak yang bisa kita perbuat dan kita harus hati-hati memilih penyedia layanan dan memastikan mereka memiliki tim yang kuat guna menjaga kredensial anda supaya tidak jatuh ke tangan yang tidak berhak.
Sedangkan pengamanan jalur komunikasi antar komputer sudah diamankan dengan enkripsi (diacak sedemikian rupa dengan metode khusus) sehingga data yang di kirimkan melalui jalur internet yang mudah disadap akan aman dari aksi peretasan karena membutuhkan kunci dekripsi yang saat ini secara teknis masih cukup aman dan sulit dipecahkan.
Sebagai contoh, akses ke Gmail, Google Search, Facebook, Yahoo dan internet banking sudah menerapkan akses https (http secure) yang berarti setiap data yang dikirimkan dari peramban di komputer anda ke semua server penyedia layanan di atas sudah dienkripsi terlebih dahulu sebelum dikirimkan sehingga sekalipun berhasil disadap tidak akan bisa diketahui isinya karena proses dekripsi membutuhkan kunci khusus yang hanya dimiliki sistem penyedia layanan.
 Foto: Ari Saputra |
Jadi hanya sasaran bernilai tinggi yang terancam oleh jenis serangan ini. Jika anda adalah pejabat penting (kepala negara, menteri, pejabat teras atau anggota pemerintahan) yang memiliki akses pada data kritikal dan penting, pejabat departemen pertahanan, intelijen atau pejabat korporasi besar yang menyimpan rahasia dagang penting seperti hasil riset farmasi puluhan tahun yang bisa menghasilkan banyak uang, maka anda termasuk ke dalam golongan ini dan anda wajib berhati-hati.
Namun jika peretas biasa mencoba melakukan hal ini, ibarat gorilla bermimpi mengalahkan kingkong. Selain tingkat keberhasilan yang sangat rendah, sekali kingkongnya membalas, gorilla dijamin babak belur alias tertangkap dan masuk penjara.
Karena itu, yang biasa menjadi sasaran peretas umum adalah pengguna komputer awam dan sistem layanan yang akan memberikan keuntungan ekonomi besar seperti email penting, akun media sosial penting atau memiliki follower yang banyak dan rekening internet banking.
Karena itulah saat ini dapat dikatakan bahwa perlindungan kredensial dengan kata kunci saja sudah tidak cukup. Atau password sudah memasuki senjakala.
Lalu apa solusi dari ancaman ini ?
Jawabannya adalah mengadopsi pengamanan transaksi finansial / lembaga perbankan.
Salam,
Alfons Tanujaya
(yud/yud)
