Kata kunci atau password menjadi pengamanan standar untuk mengamankan akses pada layanan yang terhubung dengan internet. Hanya saja, di sistem kemanan mengandalkan sensor sidik jari dan sensor pelangi mata, keamanan kata sandi kian dipertanyakan.

Password umumnya dipadankan dengan nama pengguna (username) sehingga menjadi paduan kredensial yang unik dan berfungsi sebagai alat identifikasi yang membedakan dengan pengguna layanan atau sistem lainnya.

Hanya saja, seiring perkembangan teknologi, pengamanan terhadap kata kunci juga turut ditingkatkan karena secara teknis pencurian di server penyedia jasa layana menjadi makin sulit.

Meski sebenarnya hal itu bukan berarti mustahil bagi penyedia layanan yang bisa diretas dan data penggunanya dicuri. Hal itu mengingatkan pada kasus pencurian data pengguna LinkedIn dan Yahoo.

Namun begitu, pegiat keamanan menyarankan pengguna untuk mengganti password secara berkala justru membuat pengguna 'terkurung' hingga berjung lupa kombinasi yang biasa dipakai.

Ancaman kian nyata saat pengguna layanan dipusingkan dengan layanan yang mengharuskan penggunanya memasukkan kombinasi kata kunci. Agar mudah, pengguna kerap memilih satu kata kunci yang dipakai untuk semua layanan.

Akibatnya tentu sangat fatal, sekali peretas berhasil memboobl satu kata kunci, maka ia bisa langsung membuka layanan lain dengan kombinasi password yang sama.

Di sisi lain, ancaman penyebaran malware kenis key logger. Peretas akan menanamnya secara diam-diam dalam komputer korban untuk melancarkan aksi menyimpan ketikan keyboard pengguna saat mengetikkan kata sandi. Dengan begitu pengguna bisa mencuri kredensial apapun dalam komputer korban.

Meski sudah dibuat rumit dan diganti secara berkala, Alfons Tanujaya, praktisi TI Vaksincom menegaskan malware jenis ini tetap bisa membaca kombinasi password yang diketikkan karena sudah menginfeksi sistem komputer.

"Ancaman pencurian kredensial bisa terjadi di tiga titik, pertama server penyedia layanan, intranet dan internet, serta dari komputer pengguna," ungkap Alfons dalam keterangan resmi.

Sebenarnya, ada beberapa sistem pengamaman yang dilakukan dari tiga titik tersebut. Untuk pengamanan di server penyedia layanan, pengguna sebenarnya tidak bisa melakukan banyak karena kewajiban memberi pengamanan ada di tangan penyedia layanan.

Pengamanan jalur komunikasi antar komputer pengguna bisa dilakukan dengan memastikan akses layanan sudah menerapkan akses https (http secure). Hal ini berarti setiap data yang dikirimkan dari perambah ke komputer pengguna ke semua server penyedia layanan sudah dienkripsi sebelum dikirmkan. Sehingga meskipun bisa disadap, tidak akan bisa diketahui isinya karena proses enkripsi membutuhkan kunci khusus yang hanya dimiliki sistem penyedia layanan.

Sementara bagi peretas yang nekat menembus akses layanan https, kecil kemunginananya bisa berhasil dan risiko yang dihadapi akan sangat besar.

Itulah kenapa lebih banyak pengguna komputer awam dan sistem layanan yang bisa memberi keuntungan ekonomi besar yang kerap menjadi sasaran empuk peretasan. Akun media sosial penting atau memiliki pengikut bayak, rekening internet banking, dan surel penting umumnya menjadi sasaran utama peretasan.

Aksi peretasan sebenarnya sudah ada sejak 1962 atau tepat setahun setelah password pertama kali dgunakan pada sistem komputer Circa di MIT. Alan Scheer saat itu berhasil menemukan cara untuk mendapatkan semua kata kunci yang ada sehingga ia tidak menghadapi pembatasan waktu menggunakan sistem komputer. Namun di tahun 1970, Robert Morris mengembangkan sistem yang mampu mengubah data password menjadi metode rahasia (enkripsi) menjadi angka dan menyimpannya dalam sistem sehingga saat password yang tersimpan dalam komputer bisa dicuri, tanpa metode rahasia pembalik (deskripsi) maka peretas tidak bisa mengetahui kata kunci tersebut.


Friday, April 14, 2017







« Back