Valeriia Mitriakova/Getty Images
Mencari saran tentang bagaimana melindungi rumah dan kantor Anda dari serangan cyber? Tempat yang baik untuk memulai adalah dengan orang-orang yang melakukan pekerjaan ini setiap hari atas nama pemerintah AS.
Orang-orang di National Institute of Standards and Technology (NIST) telah membuat halaman Cybersecurity Basics yang sederhana yang merangkum informasi teknis dalam empat volume Pedoman Identitas Digitalnya menjadi serangkaian pedoman yang jelas untuk pemilik bisnis kecil dan manajer. Pedoman terbaru diterbitkan pada Agustus 2024, dan lembaga tersebut saat ini sedang menyaring ribuan komentar dari para profesional yang peduli dengan keamanan yang menawarkan saran untuk edisi berikutnya.
Juga: Saya mengklik empat penipuan online yang licik dengan sengaja – untuk menunjukkan kepada Anda bagaimana mereka bekerja
(Bagi mereka yang bersedia untuk menyelami laporan lengkap, Anda akan menemukan beberapa saran bagus bagi para profesional TI dan penyedia layanan di bagian “Kata Sandi” Lampiran A. Konten ini akan sangat membantu jika Anda mencoba meyakinkan departemen TI Anda untuk berhenti memaksa perubahan kata sandi secara teratur.)
Untuk kumpulan pedoman yang lebih sederhana dan praktis, coba situs web Secure Our World, yang dikelola oleh Cybersecurity & Infrastructure Security Agency (CISA). Ditujukan untuk audiens konsumen tanpa latar belakang teknis, yang membuatnya menjadi sumber informasi yang solid yang dapat Anda bagikan dengan teman dan keluarga untuk membantu mereka menghadapi ancaman umum.
Juga: Berhenti membayar perangkat lunak antivirus. Inilah mengapa Anda tidak memerlukannya
Saya telah menelusuri versi terbaru dari semua dokumen ini dan menyusun daftar tujuh aturan yang harus diikuti saat menyangkut kata sandi.
1. Pastikan semua kata sandi Anda cukup kuat
Apa yang membuat kata sandi kuat?
Itu cukup panjang – setidaknya 15 karakter, menggunakan pedoman terbaru NIST, dengan 64 karakter sebagai panjang kata sandi maksimum yang wajar. Itu acak, dengan campuran huruf besar dan kecil, angka, dan simbol yang tidak ditemukan dalam kamus dan tidak termasuk bagian dari nama Anda atau nama layanan yang mereka buka. Tidak mudah ditebak.
Dari semua faktor tersebut, para ahli setuju bahwa panjang adalah yang paling penting. Bahkan, para ahli di NIST mengatakan bahwa analisis terkini dari basis data kata sandi yang diretas menunjukkan bahwa memiliki kata sandi yang lebih panjang jauh lebih penting daripada mencoba membuatnya rumit.
Frasa kata sandi yang terdiri dari tiga kata atau lebih yang tidak berhubungan yang dipisahkan oleh simbol dan angka juga bisa efektif.
2. Gunakan manajer kata sandi
Rata-rata orang memiliki puluhan kata sandi. Jika Anda memiliki kehidupan online yang aktif, Anda mungkin memiliki ratusan kredensial. Tidak ada manusia yang bisa mengingat bahkan sejumlah kata sandi panjang, acak, unik. Juga seharusnya tidak! Pasang manajer kata sandi di setiap perangkat dan biarkan itu menangani pekerjaan membuat kata sandi panjang, unik, dan mustahil ditebak dan menyimpannya di dalam enclave yang aman, terenkripsi.
Teknis, sebuah buku catatan pena dan kertas dapat melakukan sebagian dari pekerjaan itu, meskipun dengan lebih banyak hambatan. Sebuah manajer kata sandi berbasis perangkat lunak, bagaimanapun, melakukan jauh lebih banyak: itu langsung membuat kata sandi benar-benar acak, menyimpan kredensial Anda dalam database terenkripsi, dan menyinkronkan semuanya di beberapa perangkat.
Lapisan perlindungan yang paling penting, meskipun demikian, adalah yang tidak langsung terlihat. Manajer kata sandi Anda tahu domain mana yang terkait dengan kumpulan kredensial yang disimpan dan tidak akan memasukkan kata sandi pada domain yang tidak diotorisasi. Jadi jika penyerang terampil membuat email phishing yang menipu Anda untuk berpikir bahwa itu berasal dari bank atau broker Anda, dan Anda mengklik tautan yang mengarah ke domain palsu, manajer kata sandi akan menolak untuk memasukkan kredensial Anda.
Langkah itu akan membuat Anda berhenti dan melihat pesan dengan lebih teliti, yang merupakan langkah anti-phishing yang paling penting dari semua.
3. Jangan pernah menggunakan kembali kata sandi
Ini naluri manusia yang alami untuk memiliki satu set kredensial favorit (nama pengguna dan kata sandi) yang Anda gunakan kembali di beberapa situs. Ya, itu memudahkan untuk diingat, tetapi itu juga memastikan bahwa pencurian data di satu situs akan memberikan akses kepada para penyerang ke kumpulan kredensial itu, yang pada gilirannya akan mencoba di situs lain yang tidak terpengaruh oleh pencurian data.
Juga: Mengapa me-reboot ponsel Anda setiap hari adalah pertahanan terbaik Anda terhadap serangan tanpa klik
Seharusnya manajer kata sandi yang baik memperingatkan kata sandi yang digunakan kembali dan menawarkan untuk membuat penggantinya yang kuat dan unik.
Harap dicatat: Hanya menambahkan tanda seru atau angka di akhir kata sandi lama Anda tidak memenuhi syarat sebagai menciptakan kata sandi baru. Juga tidak menciptakan variasi baru dari salah satu kata sandi yang biasa Anda gunakan.
4. Hindari petunjuk kata sandi
Seutuhnya ide dari petunjuk kata sandi adalah bahwa itu terdiri dari beberapa kata atau nama atau tanggal yang berarti bagi Anda. Menurut definisi, jenis kata sandi itu mudah ditebak, dan menambahkan petunjuk kata sandi membuat pekerjaan semakin mudah bagi seseorang yang ingin meretas akun Anda.
Para ahli di NIST bersikeras dalam saran mereka: Orang yang mengelola layanan online yang aman mutlak tidak boleh menggunakan petunjuk otentikasi berbasis pengetahuan (misalnya, “Apa nama hewan peliharaan pertama Anda?”) atau pertanyaan keamanan.
Petunjuk kata sandi terbaik adalah empat kata: “Periksa manajer kata sandi Anda.”
5. Ganti kata sandi default
Salah satu cara paling licik bagi penyerang untuk masuk ke dalam jaringan rumah atau bisnis adalah dengan menggunakan perangkat di jaringan itu, menggunakan kerentanan dalam antarmuka manajemennya. Itu bisa menjadi router Wi-Fi Anda, misalnya, dengan kata sandi defaultnya yang seringkali hanya kata sandi. Kamera berbasis IP dan bel pintu yang Anda pasang sebagai bagian dari sistem keamanan rumah juga merupakan titik masuk yang mungkin.
Jika Anda memiliki salah satu perangkat tersebut di jaringan Anda, gantilah kata sandi default tersebut dengan kredensial yang lebih kuat.
6. Gunakan otentikasi multi-faktor setiap kali memungkinkan
Tidak peduli seberapa kuat Anda membuat kata sandi Anda dan seberapa hati-hati Anda mencoba melindunginya dari diretas, hal-hal terjadi. Dalam banyak kasus, bahkan bukan kesalahan Anda jika sebuah perusahaan yang mengelola layanan online diretas dan memberikan kredensial Anda.
Juga: Apa itu kunci lewat? Rasakan keajaiban hidup tanpa kata sandi
Perlindungan yang paling efektif, jauh sekali, adalah memastikan bahwa tidak ada yang bisa masuk ke akun Anda di perangkat baru kecuali mereka dapat memberikan bentuk identifikasi kedua, idealnya menggunakan aplikasi otentikator di perangkat yang Anda miliki. (Kode yang dikirim ke ponsel Anda menggunakan SMS adalah pilihan yang dapat diterima, tetapi mereka berisiko lebih besar untuk direbut oleh penyerang yang bertekad melalui teknik yang disebut SIM-jacking.)
Anda tidak harus mengaktifkan otentikasi dua faktor untuk semua hal, tetapi Anda harus bersikeras pada faktor kedua untuk layanan bernilai tinggi seperti email dan pesan, media sosial, rekening bank, dan broker.
7. Jangan mengganti kata sandi Anda kecuali Anda harus
Para ahli setuju bahwa mengganti kata sandi secara teratur tidak perlu. Bahkan, organisasi yang menuntut pengguna untuk mengganti kata sandi mereka tanpa alasan sebenarnya sebenarnya membuat jaringan mereka kurang aman.
Mengapa? Karena orang yang dipaksa untuk mengganti kata sandi secara teratur kemungkinan besar akan memilih kata sandi yang lemah, mudah ditebak. Jika Anda sudah memilih kata sandi yang kuat dan unik, tidak perlu menggantinya dalam keadaan normal.
Juga:Â Perangkat lunak penghapus malware terbaik: Diuji dan ditinjau oleh para ahli
Jadi, kapan sebaiknya Anda mengganti kata sandi Anda?
Tentu saja, Anda harus mengganti kata sandi jika kata sandi tersebut sangat lemah atau jika itu merupakan duplikat dari yang Anda gunakan di tempat lain. Anda juga harus mengganti setiap kata sandi pada petunjuk pertama bahwa kata sandi tersebut telah dikompromi karena pencurian data.
Demikian pula, jika departemen TI Anda atau layanan online bersikeras untuk memaksa perubahan kata sandi, Anda harus melakukan apa yang mereka katakan. Biarkan manajer kata sandi Anda membuat kata sandi terpanjang dan terkuat yang memenuhi tuntutan mereka.
Artikel ini awalnya diterbitkan pada 24 Juli 2024, dan terakhir diperbarui pada 1 April 2025.