Bagaimana tidak menjadi Mark Zuckerberg yang bodoh tentang kata sandi Anda

Sekelompok peretas yang dikenal sebagai OurMine, kemungkinan dari Arab Saudi, mengambil alih akun Twitter dan Pinterest milik ketua dan CEO Facebook Mark Zuckerberg pada Minggu (5 Juni).

Ternyata Zuckerberg adalah salah satunya 165 juta anggota LinkedIn yang kredensial loginnya ada dalam dump data yang baru-baru ini bocor sejak tahun 2012. Dia rupanya menggunakan kembali kata sandi LinkedIn-nya — “dadada”, menurut kelompok yang mengambil alih akun Twitter-nya — di beberapa akun dan tidak pernah mengubahnya.

Kesalahan Zuckerberg adalah kesalahan yang dilakukan banyak orang. Mereka memilih kata sandi yang mudah diingat, dan menggunakannya untuk lebih dari satu akun. Untungnya, mudah untuk menjadi lebih pintar dari Mark Zuckerberg mengenai kata sandi online.

• Mulailah melalui membuat kata sandi yang unik dan kompleks. Anda mungkin tidak ingin menghabiskan waktu dan tenaga untuk membuat kata sandi untuk setiap akun, tetapi gunakanlah kata sandi tersebut untuk hal-hal yang penting: perbankan online, email, jejaring sosial, pengecer online, dan layanan lain apa pun yang Anda gunakan dengan data sensitif.

• Maka jangan izinkan browser web Anda menyimpan informasi login Anda untuk situs web apa pun yang melibatkan data sensitif. Tidak apa-apa untuk melakukan hal ini jika tidak ada sesuatu yang sensitif untuk dilindungi dalam akun tertentu, namun pastikan akun “bagaimana jika mereka diretas” tidak memiliki apa pun selain nama pengguna dan alamat email.
• Selain itu, jangan biarkan situs web menyimpan informasi kartu kredit Anda – Anda tidak ingin informasi tersebut muncul dalam pelanggaran data besar-besaran berikutnya. Mengetik informasi setiap kali Anda perlu melakukan pembelian mungkin kurang nyaman, namun ini melindungi Anda dalam jangka panjang.
• Aktifkan autentikasi dua faktor di setiap situs web yang menyediakannya.Twitter, SnapchatFacebook,Microsoft, AmazonDropbox, LinkedInYahoo, Google, menarik dan masih banyak lagi yang menawarkan fitur ini, yang biasanya mengharuskan Anda memiliki akses ke ponsel cerdas Anda untuk masuk dari komputer baru.
• Jika Anda benar-benar ingin serius, daftarlah untuk akun bernilai tinggi dengan alamat email unik dan kata sandi unik. Anda harus mengingat banyak alamat email, namun paparan Anda selama pelanggaran data berikutnya akan minimal.
• Pertimbangkan untuk menggunakan pengelola kata sandi. Sebagian besar pengelola kata sandi memungkinkan Anda masuk dari PC, Mac, iPhone, dan ponsel Android, dan banyak yang akan membuatkan kata sandi yang panjang dan rumit untuk Anda. (Tetapi pahamilah bahwa menyimpan semua kata sandi Anda di satu tempat akan menciptakan satu titik kegagalan terpusat yang dapat ditargetkan oleh penyerang.)

LAGI: Pengelola Kata Sandi Seluler Terbaik

Kata sandi “dadada” Zuckerberg tidak disimpan sebagai teks biasa dalam database LinkedIn yang bocor, melainkan sebagai hash satu arah yang dibuat dengan menjalankan kata sandi melalui algoritma matematika. Hasilnya adalah serangkaian karakter yang secara teori tidak mungkin dibalik. Dalam hal ini “dadada” menjadi “0f158e648228a19cab5f23acfd6c36f716a702a9”.

Masalahnya adalah LinkedIn malas. Ini menggunakan algoritma hash SHA-1, yang pada tahun 2012 diketahui rentan terhadap pembalikan. Lebih buruknya, LinkedIn tidak mengambil langkah tambahan apa pun yang dapat memperkuat keamanan, seperti melakukan hashing pada hash atau “menggarami” hash dengan karakter tambahan. (Keduanya adalah praktik umum, dan LinkedIn mulai melakukan hashing tak lama setelah pelanggaran data tahun 2012.)

Hal ini memudahkan OurMine dan orang-orang bosan lainnya untuk membalikkan kata sandi Mark Zuckerberg. Hanya cari “membalikkan SHA-1” dan Anda akan melihat ada banyak pilihan di luar sana. Hubungkan “0f158e648228a19cab5f23acfd6c36f716a702a9” menjadi satu dan Anda akan “dadada.”