Password kuat dan login dua langkah

Sebagian besar akun yang dibajak bermula dari hal sederhana: password yang dipakai berulang di banyak situs, password yang terlalu gampang ditebak, atau nomor telepon yang dijadikan cadangan. Memperbaiki tiga hal ini memang tidak seru. Tapi inilah satu langkah paling berdampak yang bisa Anda lakukan minggu ini untuk melindungi uang Anda.

Pelajaran ini tipis teori dan padat tindakan. Rekomendasinya sama di kalangan semua praktisi keamanan yang serius. Terlihat sepele, hanya perlu satu malam untuk mengaturnya, dan diam-diam menjaga setiap akun yang Anda gunakan.

Kenapa password yang dipakai berulang itu berbahaya

Setiap tahun ada perusahaan besar yang diretas dan database password-nya bocor. Sekarang ada miliaran pasangan email dan password yang beredar di internet. Kalau Anda memakai password yang sama di dua situs, lalu salah satu situs itu bocor, dalam hitungan jam para penyerang akan otomatis mencoba pasangan itu di ratusan situs lain.

Praktik ini namanya credential stuffing. Semuanya otomatis, dijalankan dalam skala besar, dan beginilah biasanya cerita "tiba-tiba akun saya kena hack" itu bermula. Anda tidak perlu jadi target khusus. Cukup pernah berbagi password dengan layanan yang bocor tiga tahun lalu.

Pakai password manager

Password manager adalah aplikasi yang menyimpan password unik dan acak untuk setiap situs, dikunci di balik satu master password (dan idealnya satu hardware key). 1Password dan Bitwarden adalah dua pilihan standar. Bitwarden punya paket gratis yang cukup royal. Apa pun pilihan Anda, aturan mainnya sama:

• Setiap situs punya password sendiri yang dibuat secara acak. Jangan pernah dipakai ulang.
• Anda cukup hafal satu password saja, yaitu master password untuk aplikasi manager-nya.
• Master password sebaiknya berupa frasa panjang yang belum pernah Anda pakai di mana pun.
• Aktifkan login dua langkah untuk password manager itu sendiri.
• Tulis master password di kertas, sekali saja, lalu simpan di tempat aman di rumah. Kalau Anda lupa, tidak ada yang bisa memulihkannya.

Peralihannya bisa bertahap. Minggu ini, mulai dulu dari akun yang paling penting (email, bank, exchange). Dalam beberapa bulan ke depan, setiap kali Anda login ke situs lain, perbarui password-nya satu per satu. Beberapa bulan kemudian, semuanya sudah berganti.

Login dua langkah: tidak semua faktor setara

Login dua langkah (sering disebut 2FA atau "two-factor authentication") berarti untuk masuk ke akun Anda butuh dua hal: password dan satu bukti tambahan, biasanya kode enam digit. Ini memblokir hampir semua serangan yang hanya mengandalkan password bocor.

Tapi tidak semua faktor kedua sama kuatnya. Ada tingkatannya:

SMS adalah pilihan yang lemah

2FA lewat SMS kedengarannya aman, tapi ada celah yang tidak banyak orang sadari. Penyerang bisa membujuk operator seluler untuk memindahkan nomor Anda ke kartu SIM milik mereka. Praktik ini namanya SIM swap. Kejadiannya cukup sering, jadi akun apa pun yang menyimpan nilai berarti sebaiknya tidak mengandalkan SMS sebagai faktor kedua.

Aplikasi authenticator adalah standar minimum yang tepat

Aplikasi seperti Google Authenticator, Authy, Aegis (Android), Raivo (iOS), atau 1Password menghasilkan kode enam digit langsung di ponsel Anda tanpa perlu sinyal. Aplikasi-aplikasi ini kebal terhadap SIM swap. Kalau sebuah situs menanyakan cara mengaktifkan 2FA, jawabannya untuk hampir semua akun penting adalah "aplikasi authenticator".

Hardware key adalah standar tertinggi

Kunci USB fisik seperti YubiKey adalah pilihan terkuat. Memang berlebihan untuk kebanyakan akun. Tapi untuk email, exchange, dan broker besar, investasi $30 sampai $50 ini sangat sepadan. Belilah dua sekaligus: satu untuk dipakai sehari-hari, satu lagi sebagai cadangan.

Email Anda adalah kunci utama

Ada satu akun yang lebih penting daripada semua akun lain digabungkan, yaitu email Anda. Kalau ada orang yang berhasil menguasai email Anda, dia bisa mereset password akun mana pun cukup dengan mengklik "lupa password" dan menangkap link reset yang dikirim ke email. Semua lapisan keamanan lain yang Anda pasang bertumpu pada asumsi bahwa email Anda aman.

Karena itu, email pantas mendapat perlindungan paling kuat. Password panjang yang unik. Aplikasi authenticator atau hardware key sebagai faktor kedua. Opsi pemulihan ditinjau ulang (akan dibahas di bawah).

Kode pemulihan dan opsi cadangan

Saat Anda mengaktifkan login dua langkah, biasanya situs akan memberi "recovery codes" atau "backup codes". Ini adalah kode sekali pakai yang bisa memasukkan Anda kembali ke akun kalau ponsel hilang atau rusak. Simpan di tempat yang tidak mudah hilang dan tidak gampang dicuri.

• Cetak di kertas dan simpan di laci atau brankas.
• Atau simpan di password manager (yang juga sudah dilindungi 2FA).
• Jangan pernah disimpan dalam bentuk teks biasa di komputer atau di email biasa.
• Tinjau ulang sekali setahun supaya Anda benar-benar punya jalan kembali kalau ponsel rusak.

Setup awal 30 menit

Kalau semua ini terasa banyak, ini langkah minimum yang sudah memberi Anda sebagian besar perlindungannya:

• Install password manager (Bitwarden gratis, 1Password berbayar).
• Ganti password email Anda dengan password baru yang unik dan acak, lalu simpan di manager.
• Install aplikasi authenticator (Google Authenticator, Authy, Aegis, atau Raivo).
• Aktifkan 2FA berbasis aplikasi authenticator untuk email dan semua akun keuangan.
• Simpan kode pemulihan di tempat offline.

Sebagian besar serangan dipatahkan oleh hal-hal yang membosankan. Triknya adalah melakukan hal yang membosankan itu sebelum Anda benar-benar membutuhkannya.

Begitu akun Anda dilindungi password manager dan faktor kedua yang sungguhan, sebagian besar jalur serangan yang mudah sudah tertutup. Pelajaran berikutnya membahas serangan yang tidak bisa dihalau oleh password manager mana pun, yaitu sisi manusia: ketika ada orang yang mengirim pesan dan membujuk Anda untuk menyerahkan sendiri apa yang dia butuhkan.