No reusable password

Karena mudah ditebak itu mudah diretas.

No reusable password

Karena lagi nganggur, coba-coba buka 1password untuk mereview akun-akun gue. Ada sekitar 117+ akun yang gue punya di internet, wow. Setelah melihat-melihat, gue pun melakukan delete account untuk akun yang jarang banget gue pakai, klo layanan yang gue pakai ada opsi delete account, gue ubah semua kredensial gue, dan delete dari daftar 1 password. Sekarang berada di angka 88. Lumayan ngurang 29.

Dari 88 akun ini, ternyata ada 11 item yang menggunakan kata sandi yang sama.

Percuma dong pakai password manager tapi tetep menggunakan password yang sama? Yaudah deh mau enggak mau gue ubah semua password gue menjadi unique, dan hasilnya:

Sekarang tidak ada akun yang memiliki password yang sama!

Mengapa gue melakukan ini?

'Cracker' mindset

Dulu pernah jadi heker hekeran, alias cuma take over akun orang doang. Tapi tetap, itu perbuatan yang illegal. Cara take over akun orang–khususnya bukan orang yg melek IT–itu gampang banget, karena hampir mereka menggunakan password yang sama di setiap akun mereka.

Apalagi dulu zaman main warnet pas SMP-SMA, kadang klo buka sosmed, kredensial mereka masih nyangkut (the Remember Me things). Meskipun kolom password di mask, tinggal inspect element, dan ganti property type=password menjadi type=text, maka password akan muncul disitu :))

Selain dengan cara itu, bisa melakukan the old phising. Atau bisa juga intercept jaringan yang mana tidak menggunakan protokol HTTPS, yang penting ambil data password nya, karena hampir mereka menggunakan password yang sama :))

Intinya, misal lo tau salah satu akun gue menggunakan password d4Foc%nkqtO7p3dPJKs8y3)!zuG^&A, lo gak bakal bisa menggunakan password itu di akun lain karena setiap password gue beda.

Dan hanya tuhan yang tau passwordnya.

Data breach

Dalam prinsip hacking, "mereka" selalu percaya kalo nothing is safe pada suatu sistem. Selevel Mastercard dan Bukalapak aja pernah kecolongan. Meskipun rata-rata password disimpan dalam bentuk "ter-enkripsi", bukan berarti 100% aman.

Dan, mereka biasanya hanya menggunakan static salt, yang berarti rentan di bruteforce oleh johntheripper misalnya terlebih jika kita mengetahui salt nya.

Apalagi yang nyimpen password nya dalam bentuk raw :))

Why not?

Meskipun layanan rata-rata sudah memberikan extra layer di security mereka (seperti 2fa), namun tetap, kita tidak bisa 100% menjamin akun kita aman. 2fa hanyalah untuk melindungi akun kita, sedangkan data akun kita tetap berada di database mereka.

Juga, tidak semua layanan yang memberikan fitur 2fa. Jadi, kenapa tidak dimulai dari diri sendiri aja untuk menambahkan "extra security layer" terhadap akun kita.

Possible state

Jika kamu menganggap Keylogging, MITM, dan Phising hanyalah sesuatu yang terjadi di film, kamu salah :))

Sejujurnya, gue pernah menggunakan 3 teknik tersebut dan berhasil. Gue pernah ngambil akun facebook orang buat ambil chip pokernya pakai cara keylogging (di warnet), gue pernah melakukan MITM + Phising untuk take over akun orang random (tar gue publish caranya), dan gue pernah melakukan phising untuk take over akun.... mantan?

Dulu masih gampang banget, SSL belum semeriah sekarang. Let's Encrypt belum ada, browser enggak ngasih warning untuk situs yang tidak menggunakan HTTPS. Apalagi klo pakai MITM + Phising, facebook.com yang lo akses akan hampir sama dengan facebook.com yang asli. Bedanya, enggak ada lambang gembok nya aja di address bar nya.

Dan mereka, enggak peduli dengan itu.

Dan sayang dong kalau dapet email + password fb orang tapi enggak dicoba ke akun lain juga? Dan ternyata, gue tembus ke akun ig dia juga. Okok pembahasan ini akan gue publish khusus di blog evilfactorylabs nanti biar pada aware dengan keamanan dalam berinternet.

Intinya, kenapa harus pakai password yang sama untuk setiap akun klo bisa menggunakan password yang berbeda-beda?

Password Manager

Biar lo ngerti tentang "kenapa harus pakai password manager?" gue analogikan dengan kehidupan nyata. Kenapa lo pakai dompet, kalo lo bisa nyimpen uang di kantong juga? Sama-sama aman toh?

Biar rapih? Biar bisa nyimpen banyak uang dalam satu waktu? Biar aman (enggak rawan jatuh, dsb)? Biar bisa nyimpen hal-hal penting lain selain uang (seperti atm, ktp, dsb)?

Iya, benar sekali.

Begitupula dengan password manager. Gue menggunakan password manager biar password2 gue tertata rapih, bisa nyimpen data selain password juga (nomor KTP, NPWP, lisensi software, nomor rekening, surat cinta untuk starla), dan aman.

Gue menggunakan 1password sebagai password manager gue, selain karena tampilannya simple; Harganya terjangkau, juga mendukung built-in 2fa. Jadi, enggak perlu install authenticator lain lagi untuk dapat kode OTP.

Juga, di 1password ada fitur cek data breach, reused password, weak password, dsb. Cocok banget deh untuk gue, bayar $4/bulan pun bukan masalah.

Alternatif

Ada alternatif dari 1password yang menawarkan paket gratis seperti lastpass, atau built-in browser juga menawarkan password manager seperti Firefox dan Chrome. Rekomendasi gue sih LastPass klo pengen yang gratis, tapi untuk 2FA lu harus download software tambahan lagi dari LastPass. Dan, ya.

Drawback bila menggunakan built-in password manager di browser adalah vendor lock-in. Kamu harus menggunakan browser tersebut di semua device mu, dan hanya bisa untuk situs. Jadi, kalo kamu login ke, aplikasi twitter misalnya, kamu gak bisa "mengisi otomatis" dari data yang ada di browser kamu.

Jika di 1password (ataupun lastpass), tinggal buka situs favorit, tekan cmd + \ di keyboard, maka email/username + password akan otomatis terisi! Jika menggunakan 2FA? Tinggal paste ke text input tersebut. Karena 1password otomatis akan meng-copy kode OTP nya selama 30 detik.

Buka aplikasi twitter di hp? Tinggal klik Fill with 1password, masukan pin, dan selesai.

Bacaan

Bila kamu tertarik dengan pembahasan ini, silahkan pelajari lebih lanjut tentang ini di: