Kita semua pernah mengalaminya. Saat mencoba membuat kata sandi untuk akun baru yang memenuhi berbagai parameter password yang kuat.
Pada saat Anda menambahkan simbol, angka, serta karakter huruf besar dan kecil, yang terbentuk biasanya adalah frasa yang mustahil diingat. Dan itu baru untuk satu akun saja.
Untungnya, *password manager* hadir sebagai solusi praktis untuk masalah ini. Perangkat lunak semacam ini memungkinkan Anda membuat, menyimpan, dan mengisi otomatis kata sandi unik untuk semua akun, tanpa perlu menghafalnya.
“*Password manager* ini unik karena kebanyakan langkah keamanan justru membuat hidup Anda sedikit lebih rumit, [namun] *password manager* tidak,” ujar Anne Cutler, Wakil Presiden Komunikasi Global di Keeper Security.
*Password manager* adalah alat fundamental untuk meningkatkan keamanan daring Anda dan menyederhanakan hidup. Namun, ini bukan solusi yang sepenuhnya sempurna dan memiliki beberapa keterbatasan yang perlu Anda pahami.
Berikut adalah rincian tentang bagaimana *password manager* dapat—dan tidak dapat—melindungi Anda.
Jangan lewatkan konten teknologi independen dan ulasan berbasis lab kami. Tambahkan CNET sebagai sumber pilihan di Google.
Apa yang dilindungi oleh layanan *password manager*
Perangkat lunak manajemen kata sandi yang baik dapat melindungi Anda dari berbagai ancaman. Hal ini penting karena kata sandi adalah kunci untuk kehidupan daring, sumber daya keuangan, dan bahkan identitas Anda.
Berikut adalah hal-hal yang dapat dilindungi oleh *password manager*:
1. Kata sandi yang lemah dan digunakan ulang
Kata sandi lemah mudah diretas oleh peretas menggunakan serangan *brute force* dan *credential stuffing*. Terkadang, penjahat siber dapat menemukan kata sandi di *dark web* dan mencoba menggunakannya (atau variasinya) untuk membobol berbagai akun Anda yang berbeda, kata Cutler. Ini dikenal sebagai serangan *reverse brute force*.
*Password manager* melindungi dari risiko ini dengan menghasilkan kata sandi yang unik dan kuat untuk setiap akun yang disimpan dan diisi otomatis setiap kali Anda masuk. Ini sangat mengurangi peluang peretas meretas kata sandi Anda dan, sekalipun berhasil, membatasi kerusakan hanya pada satu akun.
2. Serangan phishing
Tiga pesan penipuan yang ditemukan oleh Amazon yang dikirim oleh penjahat siber yang mencoba menyamar sebagai Amazon.
Amazon
Serangan *phishing* sangat licik karena dapat memanipulasi Anda untuk mengklik tautan tidak sah atau masuk ke situs web palsu yang mungkin mencuri informasi Anda.
Fungsionalitas isi otomatis dari *password manager* dapat melindungi dari hal ini karena kata sandi tidak akan terisi otomatis pada URL yang tidak sah, kata Cutler.
Misalnya, jika Anda telah menyimpan kata sandi bank, *password manager* hanya akan mengisinya di situs web resmi bank. Jika Anda tidak sengaja mengklik tautan *phishing* untuk situs web bank palsu, kata sandi tidak akan terisi otomatis, sehingga melindungi Anda dari pelanggaran dan memberi tahu bahwa ada yang tidak beres.
3. *Keylogger* dan *spyware* lainnya
Beginilah cara kerja *keylogger* — seorang penjahat siber dapat melihat semua yang Anda ketik pada keyboard.
Strategi lain yang digunakan peretas adalah melacak ketikan (*keystrokes*) atau aktivitas komputer Anda secara diam-diam untuk mempelajari dan mencuri kata sandi Anda. Anda mungkin bahkan tidak sadar sedang dilacak, dan “ancaman itu sangat nyata,” kata Cutler.
Di sinilah fungsi isi otomatis kembali berguna. Masuk ke situs web dengan isi otomatis tidak memerlukan pengetikan, sehingga tidak ada *keystrokes* yang dapat dilihat peretas.
4. Paparan kata sandi yang disimpan
Anda mungkin berpikir menyimpan semua kata sandi unik Anda di *spreadsheet* atau di perangkat sudah cukup. Tetapi ini tetap membuat Anda rentan, karena jika seseorang mendapatkan akses ke dokumen tersebut, baik dengan mencuri perangkat Anda atau mendapatkan akses ke akun terkait, mereka akan memiliki hampir semua yang mereka butuhkan untuk membobol sisa akun Anda. Ditambah lagi, merepotkan untuk mengetik manual kata sandi aman sepanjang 16 karakter.
*Password manager* menghemat usaha Anda dan menjaga kata sandi lebih aman dengan menguncinya dalam brankas terlindungi yang hanya dapat diakses oleh Anda.
Apa yang tidak dilindungi oleh layanan *password manager*
Meskipun ada banyak manfaatnya, *password manager* masih memiliki beberapa keterbatasan. Berikut hal-hal yang harus Anda waspadai:
Pastikan kata sandi utama (*master password*) untuk *password manager* Anda sangat aman. Jika ada yang mencurinya, mereka bisa mengakses semua kata sandi lainnya. Aduh!
ExpressVPN
1. Kompromi kata sandi utama Anda
*Password manager* menyimpan semua kata sandi Anda dalam portal aman yang Anda akses dengan satu kata sandi utama. Secara teoritis, jika seseorang berhasil mencuri kata sandi utama Anda, mereka dapat meretas *password manager* Anda dan mengakses semua kata sandi lainnya.
Tapi *password manager* juga memiliki beberapa perlindungan terhadap hal ini, kata Cutler. Jika Anda mengaktifkan autentikasi multifaktor (yang mengharuskan Anda memverifikasi kode SMS atau menggunakan *app authenticator*), maka kata sandi utama saja tidak cukup untuk mengakses akun Anda.
Beberapa *password manager* juga memerlukan verifikasi untuk perangkat baru mana pun yang mencoba mengakses akun Anda, atau membatasi percobaan masuk, yang merupakan pengaman tambahan terhadap peretas, kata Cutler.
2. *Password manager* yang tidak memadai
Tidak semua *password manager* diciptakan sama, dan beberapa akan lebih aman daripada yang lain.
Jika data kata sandi Anda tidak dienkripsi dengan benar, misalnya, ini dapat membuat Anda lebih rentan terhadap pelanggaran di pihak penyedia perangkat lunak yang menyimpan data Anda. Cutler merekomendasikan untuk mencari *password manager* yang sepenuhnya terenkripsi, atau yang menggunakan “*zero-knowledge architecture*” di mana semua enkripsi dan dekripsi data terjadi secara lokal di perangkat Anda, bukan di server perusahaan sendiri.
Beberapa *password manager* pernah dibobol oleh virus atau *malware* jenis lain, mengekspos informasi sensitif pelanggan. Pada tahun 2022, misalnya, peretas membobol *password manager* populer LastPass dan mendapatkan akses ke beberapa data pengguna.
Editor CNET telah menguji dan mengulas layanan *password manager* dan menemukan Bitwarden sebagai pilihan utama kami secara keseluruhan, dengan kode sumber terbuka yang memungkinkan orang terus memindai kerentanan potensial yang kemudian dapat ditambal oleh perusahaan.
3. Serangan *social engineering*
Ketika semua cara lain gagal, penjahat siber terkadang menargetkan kerentanan manusia, alih-alih kerentanan teknis.
Serangan “social engineering” semacam ini berupaya untuk memancing kredensial dan informasi sensitif lainnya dari seseorang, seringkali dengan kedok permainan media sosial atau aktivitas lain yang terlihat sah. Serangan semacam ini menyebabkan berbagai jenis pelanggaran keamanan dan bisa membahayakan kata sandi Anda.
Ketika Anda menggunakan pengelola kata sandi, seharusnya tidak ada alasan untuk membagikannya pada orang asing yang memintanya—hal yang kerap terjadi dalam upaya phishing.
Selain itu, jika Anda memang perlu membagikan kata sandi dengan orang yang dipercaya, beberapa pengelola kata sandi memungkinkan Anda untuk membagikannya dengan aman, dalam batasan tertentu.
Meski demikian, pengelola kata sandi tidak dapat melindungi dari segala bentuk manipulasi manusia.
**4. Pencurian perangkat fisik**
Anda bisa menjaga kata sandi semaksimal mungkin, namun jika ponsel Anda dicuri, risiko masih tetap ada.
James Martin/CNET
Jika perangkat Anda dicuri, ada kemungkinan seseorang dapat mengakses pengelola kata sandi Anda dan, dengan demikian, semua kata sandi yang tersimpan.
Namun, seorang pengelola kata sandi yang baik seharusnya memungkinkan Anda untuk mencabut izin akses dari suatu perangkat jika Anda tahu perangkat tersebut telah dicuri, ujar Cutler, yang dapat mencegah terjadinya kebocoran data.
**5. Kehilangan kata sandi utama**
Kunci dari penggunaan pengelola kata sandi adalah ia mengandalkan Anda untuk mengingat satu kata sandi utama, yang sebaiknya panjang dan kompleks untuk keamanan maksimal. Tetapi jika Anda kehilangan kata sandi utama tersebut, itu akan menjadi masalah besar, seperti yang dialami Scott Stein dari CNET beberapa tahun lalu.
Jadi, apapun yang terjadi, pastikan Anda dapat mengingat kata sandi utama Anda.
## Mengapa Anda harus menggunakan pengelola kata sandi
Meskipun pengelola kata sandi bukan sistem yang sempurna, Anda hampir 2x lebih kecil kemungkinannya untuk memiliki kredensial dicuri jika menggunakannya, menurut sebuah studi terbaru.
Getty Images
Pengelola kata sandi adalah alat penting yang memecahkan banyak risiko keamanan terbesar terkait kata sandi. Tetapi, mereka bukan obat mujarab untuk semua ancaman keamanan siber yang mungkin Anda hadapi.
“Pahami apa risikonya, dan ketahui cara melindungi diri sendiri,” kata Cutler.
Dengan kata lain: Andalah garis pertahanan terakhir. Dengan menggunakan kata sandi utama yang kuat, mengaktifkan autentikasi dua faktor, serta tetap waspada terhadap penipuan, Anda dapat menjadikan pengelola kata sandi sebagai bagian yang sangat efektif dari strategi keamanan Anda secara keseluruhan.
Namun, jangan lupakan pengaman lainnya, seperti perangkat lunak antivirus, dan pastikan Anda selalu memperbarui perangkat keras dan perangkat lunak Anda, yang memberikan perlindungan terbaik terhadap serangan siber.