Paul Haskell-Dowland, penulis tersedia
Kata sandi telah digunakan selama ribuan tahun sebagai alat untuk mengidentifikasi diri kita sendiri kepada orang lain dan belakangan ini, ke komputer. Ini adalah konsep sederhana - sepotong informasi bersama, dirahasiakan antar individu dan digunakan untuk "membuktikan" identitas.
Kata sandi dalam konteks TI muncul pada 1960-an dengan mainframe komputer - komputer besar yang dioperasikan secara terpusat dengan "terminal" jarak jauh untuk akses pengguna. Mereka sekarang digunakan untuk segala hal mulai dari PIN yang kami masukkan di ATM, hingga masuk ke komputer kami dan berbagai situs web.
Tetapi mengapa kita perlu "membuktikan" identitas kita pada sistem yang kita akses? Dan mengapa kata sandi sangat sulit dibuat dengan benar?
Apa yang membuat kata sandi bagus?
Hingga saat ini, kata sandi yang baik mungkin hanya kata atau frase yang terdiri dari enam hingga delapan karakter. Tapi sekarang kami memiliki pedoman panjang minimum. Ini karena “entropi”.
Saat berbicara tentang kata sandi, entropi adalah ukuran prediktabilitas. Perhitungan di balik ini tidak rumit, tetapi mari kita periksa dengan ukuran yang lebih sederhana: jumlah kemungkinan kata sandi, terkadang disebut sebagai "ruang kata sandi".
Jika kata sandi satu karakter hanya berisi satu huruf kecil, hanya ada 26 kemungkinan kata sandi (“a” hingga “z”). Dengan memasukkan huruf besar, kami menambah ruang kata sandi menjadi 52 kata sandi potensial.
Ruang kata sandi terus bertambah seiring bertambahnya panjang dan jenis karakter lainnya ditambahkan.
Membuat kata sandi lebih panjang atau lebih rumit sangat meningkatkan potensi 'ruang kata sandi'. Lebih banyak ruang kata sandi berarti kata sandi yang lebih aman.
Melihat gambar di atas, mudah untuk memahami mengapa kami didorong untuk menggunakan kata sandi yang panjang dengan huruf besar dan kecil, angka dan simbol. Semakin kompleks kata sandi, semakin banyak upaya yang diperlukan untuk menebaknya.
Namun, masalah yang bergantung pada kerumitan kata sandi adalah komputer sangat efisien dalam mengulangi tugas - termasuk menebak kata sandi.
Tahun lalu, a rekor telah ditetapkan untuk komputer yang mencoba membuat setiap kata sandi yang memungkinkan. Itu mencapai tingkat lebih cepat dari 100,000,000,000 tebakan per detik.
Dengan memanfaatkan kekuatan komputasi ini, penjahat dunia maya dapat meretas sistem dengan membombardir mereka dengan kombinasi kata sandi sebanyak mungkin, dalam proses yang disebut serangan brute force.
Dan dengan teknologi berbasis cloud, menebak kata sandi delapan karakter dapat dilakukan hanya dalam 12 menit dengan biaya hanya US $ 25.
Saya melakukan beberapa matematika.
— TechByTom (@techbytom) Februari 14, 2019
Menggunakan instans AWS p.3 untuk menghitung biaya, dan dengan asumsi penyerang memiliki $ 25:
Kata sandi 8 karakter Anda mungkin akan dipecahkan dalam 12 menit atau kurang.
Selain itu, karena kata sandi hampir selalu digunakan untuk memberikan akses ke data sensitif atau sistem penting, ini memotivasi penjahat dunia maya untuk secara aktif mencarinya. Ini juga mendorong pasar online yang menguntungkan menjual kata sandi, beberapa di antaranya datang dengan alamat email dan / atau nama pengguna.
Anda dapat membeli hampir 600 juta kata sandi secara online hanya dengan AU $ 14!
Bagaimana kata sandi disimpan di situs web?
Kata sandi situs web biasanya disimpan dengan cara yang dilindungi menggunakan algoritma matematika yang disebut hashing. Kata sandi berciri tidak dapat dikenali dan tidak dapat diubah kembali menjadi kata sandi (proses yang tidak dapat diubah).
Saat Anda mencoba masuk, kata sandi yang Anda masukkan di-hash menggunakan proses yang sama dan dibandingkan dengan versi yang disimpan di situs. Proses ini diulangi setiap kali Anda masuk.
Misalnya, sandi "Pa $$ w0rd" diberi nilai "02726d40f378e716981c4321d60ba3a325ed6a4c" saat dihitung menggunakan algoritme hashing SHA1. Cobalah diri.
Saat dihadapkan dengan file yang penuh dengan kata sandi berciri, serangan brute force dapat digunakan, mencoba setiap kombinasi karakter untuk berbagai panjang kata sandi. Ini telah menjadi praktik umum sehingga ada situs web yang mencantumkan kata sandi umum di samping nilai hash (dihitung) mereka. Anda cukup mencari hash untuk mengungkapkan kata sandi yang sesuai.
Pencurian dan penjualan daftar kata sandi sekarang sangat umum, a situs yang didedikasikan - haveibeenpwned.com - tersedia untuk membantu pengguna memeriksa apakah akun mereka "di alam liar". Ini telah berkembang hingga mencakup lebih dari 10 miliar detail akun.
Jika alamat email Anda terdaftar di situs ini, Anda pasti harus mengubah kata sandi yang terdeteksi, serta di situs lain yang Anda gunakan kredensial yang sama.
Apakah solusi yang lebih kompleks?
Anda akan berpikir dengan begitu banyak pelanggaran kata sandi yang terjadi setiap hari, kami akan meningkatkan praktik pemilihan kata sandi kami. Sayangnya, tahun lalu tahunan Survei kata sandi SplashData telah menunjukkan sedikit perubahan selama lima tahun.
Survei kata sandi SplashData tahunan 2019 mengungkapkan kata sandi paling umum dari 2015 hingga 2019.
Ketika kemampuan komputasi meningkat, solusinya akan tampak menjadi kompleksitas yang meningkat. Tetapi sebagai manusia, kita tidak ahli (atau termotivasi untuk) mengingat kata sandi yang sangat rumit.
Kami juga telah melewati titik di mana kami hanya menggunakan dua atau tiga sistem yang membutuhkan kata sandi. Sekarang umum untuk mengakses banyak situs, dengan masing-masing membutuhkan kata sandi (seringkali dengan panjang dan kompleksitas yang bervariasi). Sebuah survei baru-baru ini menunjukkan bahwa rata-rata ada 70-80 kata sandi per orang.
Kabar baiknya adalah ada alat untuk mengatasi masalah ini. Sebagian besar komputer sekarang mendukung penyimpanan kata sandi baik di sistem operasi atau browser web, biasanya dengan opsi untuk berbagi informasi yang disimpan di beberapa perangkat.
Contohnya termasuk Apple iCloud Keychain dan kemampuan untuk menyimpan kata sandi di Internet Explorer, Chrome dan Firefox (meskipun kurang bisa diandalkan).
Pengelola kata sandi seperti KeePassXC dapat membantu pengguna membuat kata sandi yang panjang dan rumit dan menyimpannya di lokasi yang aman saat dibutuhkan.
Meskipun lokasi ini masih perlu dilindungi (biasanya dengan "kata sandi utama" yang panjang), menggunakan pengelola kata sandi memungkinkan Anda memiliki kata sandi yang unik dan kompleks untuk setiap situs web yang Anda kunjungi.
Ini tidak akan mencegah kata sandi dicuri dari situs web yang rentan. Tetapi jika itu dicuri, Anda tidak perlu khawatir tentang mengubah kata sandi yang sama di semua situs Anda yang lain.
Tentu saja ada kerentanan dalam solusi ini juga, tapi mungkin itu cerita untuk hari lain.
Tentang Penulis
Paul Haskell-Dowland, Associate Dean (Komputasi dan Keamanan), Edith Cowan University dan Brianna O'Shea, Dosen, Peretasan dan Pertahanan Etis, Edith Cowan University
Artikel ini diterbitkan kembali dari Percakapan di bawah lisensi Creative Commons. Membaca Artikel asli.
