Password Legacy

03 September 2012
Password Legacy
Supaya anda tidak nyanyi Lupa lupa lupa, lupa lagi passwordnya
Bruce Wayne, jutawan yang kaya raya dalam semalam menjadi miskin dan kehilangan semua hartanya, semua ini terjadi karena sidik jarinya berhasil dicuri dan digunakan untuk melakukan transaksi derivatif di bursa saham Gotham. Setidaknya dari cerita di atas kita bisa mengetahui pentingnya otentikasi dan bahayanya jika jatuh ke tangan yang salah. Otentikasi merupakan cara untuk mengidentifikasi seseorang karena tidak adanya tatap muka dan perkembangan dunia yang sangat pesat ini menuntut efisiensi dan salah satu alat bantu untuk mencapai efisiensi adalah internet dan teknologi. Dimana dimanapun anda berada, dengan bantuan internet dan teknologi pendukungnya anda akan selalu terhubung dengan layanan layanan yang anda gunakan. Seperti layanan perbankan baik ATM atau mobile banking, telepon (voip), Email, Facebook atau layanan lainnya. Salah satu metode yang paling sering digunakan untuk otentikasi adalah username dan password, karena metode ini termasuk paling murah, mudah dan cakupannya paling luas dan tidak membutuhkan program atau alat khusus. Memang ada metode yang lebih canggih seperti TFA (Two Factor Authentication) yang menggunakan tambahan token / kalkulator password untuk meningkatkan pengamanan khususnya pada transaksi penting dan kritis. Namun karena adanya alat khusus yang diperlukan menyebabkan biaya penerapan TFA menjadi lebih tinggi dari password konvensional sehingga sampai saat ini otentikasi dengan password merupakan metode yang paling populer digunakan.

Brute Force dan Captcha
Pada awal penerapan kredensial dimana pengguna jasa layanan hanya perlu memasukkan Username dan Password, metode ini cukup berhasil digunakan untuk mengidentifikasi pengguna jasa. Tetapi sejalan dengan perkembangan internet dan tingginya nilai tambah akun suatu layanan, muncul banyak usaha untuk mendapatkan akun orang lain secara tidak benar. Salah satu metode yang paling sering digunakan adalah Brute Force. Brute Force merupakan usaha untuk menebak password satu akun dengan cara mencobakan semua kemungkinan password secara masif dan berulang-ulang. Secara teori, sebaik apapun password yang anda pakai jika di Brute Force, cepat atau lambat suatu saat PASTI akan berhasil di dapatkan. Kuncinya adalah pada kerumitan password (kombinasi huruf, angka, kharakter dan panjang password) dan berapa besar sumber daya yang digunakan. Karena itu, para penyedia jasa memutar otak untuk menghadapi serangan brute force ini karena memang dengan ketiadaan tatap muka, siapapun yang mengetahui suatu kredensial yang sah (username dan password) akan langsung diterima dan dianggap sebagai pemilik akun yang bersangkutan. Salah satu cara yang digunakan adalah membatasi jumlah maksimal percobaan password, dimana jika terjadi kesalahan dalam memasukkan password atau PIN dalam jumlah tertentu maka peluang untuk mencoba akan dibatasi. Jika tidak percaya silahkan masukkan PIN yang salah lebih dari 3 kali pada kartu ATM anda, niscaya kartu itu akan di blok dan tidak dapat melakukan transaksi sebelum melakukan verifikasi ulang. Untuk menyempurnakan perlindungan atas akun, para praktisi sekuriti memutar otak untuk mencari metode bagaimana bisa membedakan antara bot (program otomatis pencuri password) dengan manusia. Saat ini, metode yang sangat populer adalah Captcha. CAPTCHA sebenarnya merupakan singkatan dari Completely Automated Public Turing test to tell Computers and Humans Apart pada dasarnya adalah metode untuk mengidentifikasi manusia dan membedakannya dengan manusia. Metode yang paling sering digunakan adalah tampilan huruf atau angka yang di susun sedemikian rupa sehingga dapat dibaca oleh mata manusia tetapi akan sulit di baca atau di pindai oleh program / bot. Dan karena terbukti cukup efektif, Captcha sekarang menjadi standar perlindungan baik pada saat pertama kali membuka layanan akun maupun pada saat otentikasi. Selain Captcha, beberapa pemilik jasa menggunakan metode tambahan seperti “Sign in seal” (Yahoo) dan Google mulai mulai menerapkan TFA pada Google account dengan melakukan verifikasi mengirimkan one time password melalui SMS ke nomor HP yang telah anda tentukan sebelumnya “setiap kali” anda mengakses akun Google dari perangkat baru. Kemungkinan besar tujuannya adalah untuk mencegah akses akun anda secara ilegal jika passwordnya berhasil dicuri, karena pengakses tentunya tidak mengakses dari perangkat anda tetapi dari perangkat / komptuer yang berbeda.


Selain ancaman brute force, para pemilik akun juga dihantui oleh serangan trojan yang jika berhasil ditanamkan pada komputer korban akan mampu merekam ketukan keyboard. Jadi apapun yang diketikkan oleh komputer korbannya akan diketahui oleh program trojan tersebut dan biasanya informasi ini akan dikirimkan secara diam-diam kepada pembuat trojan. Metode lain yang sering digunakan oleh kriminal dalam usaha mendapatkan kredensial adalah menggunakan situs palsu (phishing) yang tampilannya sangat mirip dengan situs aslinya dan jika korbannya tertipu mengira ia berada di situs asli dan memasukkan kredensialnya, maka informasi kredensial ini akan jatuh ke tangan kriminal. Melihat kemungkinan-kemungkinan di atas, tentunya penulis tidak lantas menyarankan anda untuk puasa mengakses internet dan tidak melakukan transaksi penting melalui internet. Pada saat ini akan sangat sulit dan tidak efisien jika tidak menggunakan internet untuk membantu aktivitas sehari-hari. Kita tidak bisa lepas dari email, Facebook, Twitter, akun bank, Skype, Instagram atau ATM dan semua hal ini membutuhkan kredensial. Yang paling penting adalah bagaimana membuat dan melindungi kredensial anda dengan baik serta berjaga-jaga jika terjadi hal yang tidak kita inginkan.

 KeePass Password Safe
Salah satu masalah yang paling sering dihadapi oleh pemilik kredensial adalah banyaknya jumlah akun yang berbeda yang dimilikinya. Jika setiap akun ini ia harus mengingat-ingat kredensial yang berbeda-beda, yang sering terjadi adalah hal yang konyol, seperti lagu yang dinyanyikan oleh Kuburan, namun dalam kasus ini yang dilupakan bukan lupa syairnya, tetapi lupa passwordnya. Dimana pemilik akun terproteksi oleh dirinya sendiri dan tidak dapat mengakses akun karena lupa akan passwordnya. Apalagi banyak saran dari pengamat sekuriti yang menyarankan para pemilik akun mengganti passwordnya secara berkala, makin bingung lagi .... password akun ini yang mana yah ? Karena itu banyak pemilik password memilih jalan pintas dengan menggunakan satu password yang sama untuk semua akunnya. Hal ini bisa menjadi bencana besar karena satu password yang sama akan dapat digunakan untuk mengakses semua akun. Penulis pernah mengalami keluhan dari pengguna Facebook yang akunnya berhasil di curi orang dan untuk mengembalikan akun tersebut ia perlu mengakses kode reset akun di rekening Yahoo miliknya. Tetapi karena ia menggunakan password yang sama untuk akun Yahoo mailnya, ia tidak memiliki akses ke akun tersebut dan akhirnya terpaksa membuat akun Facebook baru.
Dunia maya menyebabkan banyak masalah, tetapi dunia maya juga memberikan solusi atas masalah. Salah satu solusi yang mujarab dan aman untuk menghadapi masalah ini adalah program Password Manager. Program ini cukup banyak tersedia, baik versi komersial maupun versi gratis. Penulis pada kesempatan ini akan memperkenalkan satu program open source yang gratis tetapi cukup handal dan aman dalam mengelola kumpulan kredensial anda.
KeePass Password Safe merupakan program manajemen password yang berfungsi untuk menyimpan semua kredensial anda dengan aman sehingga anda tidak perlu mengingat semua password dan hanya perlu mengingat satu master password. Untuk menambah keamanan, selain menggunakan master password untuk mengakses database password anda KeePass juga dilengkapi dengan enkripsi AES, Rijdael dan Twofish sehingga sekalipun data file password anda jatuh ke tangan orang lain, akan sangat sulit bagi penemunya untuk membuka file tersebut. Selain fitur pengamanan yang mumpuni dan kenyamanan untuk tidak perlu mengingat password, KeePass juga dapat memberikan perlindungan tambahan karena anda tidak perlu mengetikkan Username dan Password tetapi hanya perlu melakukan [Copy] dan [Paste] dari KeePass. Program KeePass dapat di unduh dari http://keepass.info/download.html dan meskipun versi resminya hanya tersedia untuk pengguna Windows, tersedia port untuk menggunakan database KeePass yang sama di Iphone / Ipad, Android, Blackberry, Windows 7 dan Palm.
Bagi anda yang ingin mengunakan KeePass dalam Bahasa Indonesia, tersedia paket Bahasa Indonesia yang diterjemahkan oleh Vaksin.com dan tetap dapat di unduh secara gratis dari http://keepass.info/translations.html. Bagi seluruh pelanggan korporat Vaksincom yang membutuhkan instalasi, cara menggunakan, support onsite dan training penggunaan KeePass Passwrod safe secara gratis, silahkan menghubungi info@vaksin.com
20120903I_passwordlegacy01
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: