Antusias Teknologi – 39 Tips Keamanan Password Password merupakan gerbang untuk masuk ke dalam akun penting anda, sedapat mungkin agar kita selalu menjaga password ini dalam keadaan yang aman. Sudah terlalu banyak kejadian yang tidak diinginkan seperti akun diambil alih, bahkan sampai akun internet banking yang berpindah tangan kepada orang yang tidak bertanggung jawab berawal dari penggunaan password yang lemah.
Untuk mencegah password anda diretas oleh orang yang tidak bertanggung jawab baik dengan metode rekayasa sosial, brute force atau dictionary dan menjaga akun agar tetap aman, ada beberapa tips keamanan mengenai password yang perlu anda ketahui:
39 Tips Keamanan Password:
1. Jangan menggunakan password yang sama, pertanyaan dan jawaban keamanan untuk akun yang penting.
2. Gunakan kata sandi yang sekurang-kurangnya 16 karakter, gunakan kombinasi angka, satu huruf besar, huruf kecil dan simbol khusus.
3. Jangan menggunakan nama keluarga, teman, atau hewan peliharaan anda.
4. Jangan menggunakan kode pos, nomor rumah, nomor telepon, tanggal lahir, nomor identitas pribadi dalam password.
5. Jangan menggunakan kata yang ada di kamus apapun pada password anda. Contoh password yang kuat seperti: ePYHc~dS*)8$+V-‘ , qzRtC{6rXN3N\RgL , zbfUMZPE6`FC%)sZ. Sedangkan contoh password yang lemah yaitu: qwert12345, Gbt3fC79ZmMEFUFJ, 1234567890, 987654321.
6. Tidak menggunakan dua atau lebih password yang mirip dengan karakter sama, misalnya, sayasukamakan, sayasukamakanikan, sayasukamakancemilan, karena jika salah satu password ini berhasil dicuri, maka semua password ini sangat mudah untuk dicuri.
7. Jangan mengunakan sesuatu yang bisa digandakan dengan mudah sebagai password anda seperti sidik jari.
8. Jangan membiarkan Web browser (FireFox, Chrome, Safari, Opera, Edge) menyimpan password anda, karena semua password yang disimpan di web browser dapat ditemukan dengan mudah.
9. Tidak login ke akun penting saat menggunakan komputer publik, atau ketika terhubung ke hotspot Wi-Fi publik, Tor, VPN atau web proxy.
10. Jangan mengirimkan informasi yang sensitif saat online melalui sambungan tidak terenkripsi (misalnya HTTP atau FTP), karena pesan dalam sambungan ini dapat disadap dengan software pihak ketiga. Anda harus menggunakan sambungan yang terenkripsi seperti HTTPS, SFTP, FTPS, SMTPS, atau IPSec.
11. Saat bepergian, anda dapat mengenkripsi koneksi internet sebelum meninggalkan laptop, tablet, ponsel atau router. Misalnya anda dapat mengatur VPN pribadi dengan protokol MS-CHAP v2 atau protokol yang lebih kuat lainnya pada server anda baik komputer, dedicated server, atau VPS.
Anda juga dapat mengatur enkripsi tunnel SSH antara router dan komputer atau remote server dengan aplikasi PuTTY dan menyambungkannya dengan aplikasi anda (misalnya FireFox).
Jika seseorang berhasil menyadap/menangkap data dari perangkat anda seperti laptop, iPhone, iPad dan server dengan aplikasi packet sniffer, mereka tidak akan bisa mencuri data dan password dari data yang telah dienkripsi.
12. Seberapa amankah password saya? Mungkin anda percaya bahwa password yang telah dibuat sangat kuat dan sulit untuk diretas. Akan tetapi apabila seorang hacker berhasil mencuri nama pengguna dan kata sandi yang berisi nilai MD5 hash dari server, maka password akan ditemukan dengan cepat.
Untuk mengecek kekuatan password apakah termasuk di dalam yang mudah ditebak, anda dapat mengubah password ke dalam MD5 hash dengan layanan MD5 hash generator, kemudian mendekripsi password tersebut dengan mengirimkan-nya melalui layanan dekripsi Hash MD5 online.
Sebagai contohnya, misalnya password anda adalah “0123456789A”, dengan menggunakan metode brute-force, mungkin diperlukan waktu bagi komputer selama hampir satu tahun untuk memecahkan kata sandi tersebut, tetapi apabila anda telah mendekripsi dengan mengirimkan hash MD5 (C8E7279CD035B23BB9C0F1F954DFF5B3) ke salah satu website dekripsi MD5, berapa lama waktu dibutuhkan untuk memecahkannya? Anda dapat mencobanya sendiri.
13. Sangat dianjurkan untuk mengubah password setiap 10 minggu sekali.
14. Sangat dianjurkan anda mengingat master password, menyimpan password lainnya dalam sebuah file teks dan mengenkripsi file ini dengan aplikasi seperti 7-Zip, GPG atau aplikasi enkripsi seperti BitLocker, anda juga bisa menggunakan aplikasi manajemen password untuk mengatur password.
15. Enkripsi dan cadangkan password anda pada lokasi yang berbeda, maka apabila kehilangan akses ke komputer atau akun, anda bisa dengan cepat mendapatkan password kembali.
16. Aktifkan otentikasi 2 langkah jika memungkinkan.
17. Tidak menyimpan password pada penyimpanan awan.
18. Akses website penting seperti internet banking melalui bookmark secara langsung, jika tidak silahkan cek terlebih dulu nama domain dengan berhati-hati, ini adalah salah satu cara untuk memastikan website tersebut bukanlah phishing sebelum berhasil mengambil alih akun dan password anda.
19. Lindungi komputer dengan firewall dan aplikasi antivirus, blokir semua koneksi masuk dan semua sambungan yang tidak dikenali dengan firewall. Download aplikasi hanya dari website yang terpercaya, dan lakukan verifikasi MD5/SHA1/SHA256 checksum atau tanda tangan GPG pada paket instalasi jika memungkinkan.
20. Jaga agar sistem operasi (Windows 7, Windows 10, Mac OS X, iOS, Linux) dan Web browser (FireFox, Chrome, Opera, Microsoft Edge) dan perangkat (Windows PC, Mac PC, iPhone, iPad, Android tablet) tetap diperbaharui dengan menginstall pembaruan keamanan terbaru.
21. Apabila ada file penting pada komputer dan dipakai bersama dengan orang lain, periksa apakah ada perangkat keras keylogger seperti keyboard sniffer nirkabel, aplikasi keylogger dan kamera tersembunyi.
22. Apabila terdapat router WIFI di rumah anda, mungkin mereka yang berada dijaringan bisa saja mengetahui password yang anda ketik dengan cara mendeteksi gerakan tangan dan jari Anda karena mereka menerima sinyal WIFI berubah saat anda memindahkan jari dan tangan.
Anda dapat menggunakan aplikasi virtual keyboard pada layar monitor untuk mengetik password dalam kasus tersebut, sehingga akan lebih aman apabila virtual keyboard merubah tata letak setiap waktu.
23. Kunci komputer dan ponsel anda saat sedang meninggalkannya.
24. Enkripsi seluruh hard disk dengan Linux Unified Key Setup (LUKS) atau tool yang serupa sebelum menyimpan file-file penting di dalamnya, dan hancurkan hard disk pada perangkat lama secara fisik jika diperlukan.
25. Akses situs-situs penting dalam mode penyamaran atau pribadi, atau menggunakan khusus hanya satu browser untuk mengakses situs-situs penting, gunakan browser lain untuk mengakses website lainnya. Atau akses website penting dengan cara menginstall aplikasi baru di dalam mesin virtual yang dibuat dengan VMware, atau VirtualBox.
26. Gunakan minimal 3 alamat email yang berbeda, gunakan yang pertama untuk menerima email dari website penting dan aplikasi seperti internet banking, gunakan yang kedua untuk menerima email dari website penting dan aplikasi, gunakan yang ketiga dari penyedia email yang berbeda seperti Outlook dan GMail untuk menerima reset password email pertama (misalnya Yahoo Mail) yang telah disusupi.
27. Gunakan nomor telepon yang berbeda minimal 2, dan jangan memberitahukan kepada orang lain nomor telepon yang anda gunakan untuk menerima pesan teks dari kode verifikasi.
28. Jangan mengklik tautan yang ada didalam email atau pesan SMS, kecuali anda mengetahui pesan ini tidak palsu.
29. Jangan pernah memberikan password anda kepada siapapun dalam email.
30. Sangat memungkinkan salah satu dari aplikasi anda yang didownload atau diperbarui telah dimodifikasi oleh hacker, anda dapat menghindari masalah ini dengan tidak menginstall aplikasi tersebut, kecuali anda yakin aplikasi tersebut dipublikasikan untuk memperbaiki celah keamanan. Anda dapat menggunakan aplikasi berbasis Web yang lebih aman dan portabel.
31. Tetap berhati-hati saat menggunakan tool online dan penangkap layar, jangan membiarkan layanan tersebut meng-upload password anda ke internet.
32. Apabila anda adalah seorang webmaster, jangan pernah menyimpan password pengguna, pertanyaan keamanan dan jawaban ke dalam bentuk teks pada database, anda harus menyimpannya dalam bentuk hash SHA1, SHA256 atau SHA512 sebagai gantinya. Sangat dianjurkan menghasilkan string secara acak dan unik untuk setiap pengguna.
Selain itu, merupakan ide yang baik untuk menyimpan informasi perangkat pengguna (misalnya versi sistem operasi, browser, resolusi layar, dll) dan menyimpannya dalam nilai hash, saat pengguna mencoba untuk login dengan password yang benar tetapi informasi perangkat tidak cocok sebelumnya, maka pengguna bisa memverifikasi identitasnya dengan memasukkan kode verifikasi yang dikirim melalui SMS atau email.
33. Apabila anda adalah seorang pengembang aplikasi, maka anda harus menerbitkan paket pembaruan yang telah ditandatangani dengan kunci pribadi menggunakan GnuPG, dan verifikasi tanda tangan tersebut dengan public key yang telah diterbitkan sebelumnya.
34. Untuk menjaga agar bisnis online tetap aman, anda harus mendaftarkan nama domain anda sendiri, dan mengatur akun email dengan nama domain ini, maka anda tidak akan kehilangan akun email dan semua kontak yang ada karena menggunakan server mail tersendiri, akun email tidak dapat dinonaktifkan oleh penyedia email.
35. Apabila website belanja online hanya memungkinkan untuk melakukan pembayaran dengan kartu kredit, sebaiknya anda menggunakan kartu kredit virtual.
36. Tutup web browser saat anda meninggalkan komputer, atau cookie yang dapat disadap dengan perangkat USB dengan mudah, sehingga memungkinkan untuk memotong verifikasi dua langkah dan login ke akun anda dengan mencuri cookie pada komputer lain.
37. Hapus sertifikat SSL yang tidak dapat dipercaya dari Web browser, apabila tidak melakukannya anda tidak akan dapat memastikan kerahasiaan dan integritas dari koneksi HTTPS yang menggunakan sertifikat tersebut.
38. Enkripsi partisi seluruh sistem, apabila tidak silakan menonaktifkan fungsi pagefile dan hibernasi, karena digunakan untuk menemukan dokumen penting pada berkas pagefile.sys dan hiberfil.sys.
39. Untuk mencegah serangan brute force dari dedicated server, VPS Server, atau cloud server, anda dapat menginstall software pendeteksian dan pencegahan seperti LFD (Login Failure Daemon) atau Fail2Ban.
Dengan menjaga password agar tetap aman setidaknya anda telah mencegah seseorang yang tidak berhak mengambil alih akun anda. Semoga bermanfaat.
