Cara membuat password yang kuat

by

password terbaik akan menggagalkan serangan brute force, tetapi juga memungkinkan untuk membuatnya mudah diingat. Cobalah ide Cara membuat password yang kuat ini untuk membuat akun Anda tidak dapat dipecahkan.

Setiap minggu, peneliti kami mengumpulkan berita keamanan terbaru dan melaporkan temuan kami di halaman blog ini. Jika Anda telah membaca, Anda mungkin telah memperhatikan tren yang sangat buruk yang mengklaim korban baru minggu demi minggu — pelanggaran data . Untuk beberapa nama, kami telah melaporkan Carnival Cruises , ProctorU dan Garmin .

password Anda memberikan akses ke kerajaan pribadi Anda, jadi Anda mungkin berpikir ‘apa praktik terbaik untuk membuat password yang kuat’ untuk melindungi akun Anda dari penjahat dunia maya ini. Jika password Anda adalah bagian dari pelanggaran, Anda harus segera mengubahnya.

Jadi, apa solusinya? password yang tidak dapat dipecahkan . Tetapi sebelum beralih ke itu, mari kita lihat dulu berbagai cara password dapat di-hack, sehingga Anda memahami metode paling umum yang digunakan saat ini.

Bagaimana password di-hack?

Penjahat dunia maya memiliki beberapa taktik peretasan password yang mereka miliki, tetapi yang paling mudah adalah dengan membeli password Anda dari web gelap. Ada banyak uang dalam pembelian dan penjualan kredensial login dan password di pasar gelap, dan jika Anda telah menggunakan password yang sama selama bertahun-tahun, kemungkinan itu telah disusupi .

Tetapi jika Anda cukup bijaksana untuk menjaga password Anda dari daftar pasar gelap yang dikumpulkan, penjahat dunia maya harus memecahkannya . Dan jika itu masalahnya, mereka pasti menggunakan salah satu metode di bawah ini. Serangan ini dapat ditujukan ke akun Anda yang sebenarnya atau mungkin ke database password hash yang bocor.

Serangan membabi buta

Serangan ini mencoba menebak setiap kombinasi dalam buku sampai mengenai Anda. Penyerang mengotomatiskan perangkat lunak untuk mencoba kombinasi sebanyak mungkin dalam waktu secepat mungkin, dan ada beberapa kemajuan yang tidak menguntungkan dalam evolusi teknologi itu. Pada tahun 2012, seorang peretas yang rajin meluncurkan cluster 25-GPU yang telah diprogramnya untuk memecahkan password Windows 8 karakter yang berisi huruf besar dan kecil, angka, dan simbol dalam waktu kurang dari enam jam. Ia memiliki kemampuan untuk mencoba 350 miliar tebakan per detik. Umumnya, apa pun di bawah 12 karakter rentan terhadap retak. Jika tidak ada yang lain, kami belajar dari serangan brute force bahwa panjang password sangat penting. Semakin lama, semakin baik.

Serangan kamus

Serangan ini persis seperti yang terdengar — peretas pada dasarnya menyerang Anda dengan kamus. Sementara serangan brute force mencoba setiap kombinasi simbol, angka, dan huruf, serangan kamus mencoba daftar kata yang telah diatur sebelumnya seperti yang akan Anda temukan di kamus.

See also  Chiropractor Car Accident Treatment | Find Near Me

Jika password Anda memang kata biasa, Anda hanya akan selamat dari serangan kamus jika kata Anda sangat tidak umum atau jika Anda menggunakan beberapa frasa kata, seperti LaundryZebraTowelBlue. password frase kata ganda ini mengakali serangan kamus, yang mengurangi kemungkinan jumlah variasi jumlah kata yang mungkin kita gunakan dengan kekuatan eksponensial dari jumlah kata yang kita gunakan, seperti yang dijelaskan dalam “Cara Memilih password” video dari Computerphile .

Pengelabuan

Taktik yang paling menjijikkan — phishing — adalah ketika penjahat dunia maya mencoba menipu, mengintimidasi, atau menekan Anda melalui rekayasa sosial agar tanpa disadari melakukan apa yang mereka inginkan. Email phishing mungkin memberi tahu Anda (salah) bahwa ada yang salah dengan akun kartu kredit Anda. Ini akan mengarahkan Anda untuk mengklik tautan, yang membawa Anda ke situs web palsu yang dibuat menyerupai perusahaan kartu kredit Anda. Penipu berdiri dengan napas tertahan, berharap tipu muslihat itu berhasil dan sekarang Anda akan memasukkan password Anda. Setelah Anda melakukannya, mereka memilikinya.

halaman login

Penipuan phishing dapat mencoba menjerat Anda melalui panggilan telepon juga. Waspadai robocall apa pun yang Anda klaim tentang akun kartu kredit Anda. Perhatikan ucapan yang direkam tidak menentukan kartu kredit mana yang dihubungi. Ini semacam ujian untuk melihat apakah Anda langsung menutup telepon atau apakah mereka membuat Anda “terpancing”. Jika Anda tetap di telepon, Anda akan terhubung dengan orang yang nyata yang akan melakukan apa yang mereka bisa untuk menarik sebanyak mungkin data sensitif dari Anda, termasuk password Anda.

Peretasan password terbaru

Meskipun Anda mungkin muak karena harus membuat password unik yang penuh dengan huruf kapital, karakter khusus, dan banyak lagi, pentingnya memiliki password yang kuat tidak dapat dilebih-lebihkan. Pada tahun ini saja, unit TransUnion Afrika Selatan menyiapkan dirinya untuk tebusan $15 juta dengan menetapkan password mereka sebagai “password” – ya, percaya atau tidak, terlalu banyak orang dan bisnis yang masih menggunakan “password” – serta menjadi sepenuhnya terkunci dari server mereka sendiri. Selain itu, pada bulan Desember 2021, Badan Kejahatan Nasional Inggris (NCA) dan Unit Kejahatan Siber Nasional (NCCU) menemukan 225 juta cache email dan password curian yang disimpan di server cloud yang di-hack sebelum menyerahkan informasi tersebut ke HIBP atau HaveIBeenPwned (layanan gratis bagi mereka yang tertarik untuk mengetahui apakah akun mereka dapat disusupi).

Mengingat banyaknya data yang tersedia untuk penjahat dunia maya, beberapa tahun terakhir telah melihat munculnya teknik baru yang dikenal sebagai “penjejalan kredensial.” Untuk memperjelas, teknik ini melibatkan penjahat dunia maya yang menguji kompilasi kombinasi nama pengguna dan password yang bocor, dicuri, dan sering digunakan terhadap akun online seseorang. Menurut siaran pers dari FBI pada tahun 2020, “Sejak 2017, FBI telah menerima banyak laporan tentang serangan isian kredensial terhadap lembaga keuangan AS, secara kolektif merinci hampir 50.000 akun yang disusupi. Para korban termasuk bank, penyedia layanan keuangan, perusahaan asuransi, dan perusahaan investasi.” Intinya, Anda harus secara teratur memeriksa apakah akun Anda telah disusupi dan menghentikan penggunaan password yang umum atau bocor.

Anatomi password yang kuat

Sekarang kita tahu bagaimana password di-hack, kita dapat membuat password yang kuat yang mengakali setiap serangan (walaupun cara untuk mengakali penipuan phishing tidak mudah tertipu). password Anda sedang dalam proses untuk tidak dapat di-hack jika mengikuti tiga aturan dasar ini.

Jadikan setiap password unik

Jauhi yang sudah jelas. Jangan pernah menggunakan nomor urut atau huruf, dan untuk cinta semua hal dunia maya, jangan gunakan ” password” sebagai password Anda Buat password unik yang tidak menyertakan informasi pribadi apa pun seperti nama atau tanggal lahir Anda. Jika Anda secara khusus ditargetkan untuk peretasan password, peretas akan memasukkan semua yang mereka ketahui tentang Anda dalam upaya tebakan mereka.

See also  Buy High-Quality Car Scent From DS Durga - Get Refreshed Instantly!
Hindari 10 kata sandi lemah teratas ini
Hindari 10 kata sandi lemah teratas ini

Bisakah itu diserang secara brutal?

Mengingat sifat serangan brute force, Anda dapat mengambil langkah-langkah khusus untuk mencegah brute:

  • Bikin panjang. Ini adalah faktor yang paling kritis. Pilih tidak lebih pendek dari 15 karakter, lebih jika memungkinkan.
  • Gunakan campuran karakter. Semakin sering Anda mencampuradukkan huruf (huruf besar dan kecil), angka, dan simbol, semakin kuat password Anda, dan semakin sulit bagi serangan brute force untuk memecahkannya.
  • Hindari substitusi umum. Cracker password sangat cocok dengan substitusi biasa. Apakah Anda menggunakan DOORBELL atau D00R8377, penyerang brute force akan memecahkannya dengan mudah. Saat ini, penempatan karakter acak jauh lebih efektif daripada substitusi leetspeak* biasa . (* definisi leetspeak: bahasa atau kode informal yang digunakan di Internet, di mana huruf standar sering diganti dengan angka atau karakter khusus.)
  • Jangan gunakan jalur keyboard yang mudah diingat. Sama seperti saran di atas untuk tidak menggunakan huruf dan angka berurutan, jangan juga menggunakan jalur keyboard berurutan (seperti qwerty ). Ini termasuk yang pertama bisa ditebak.

Bisakah kamus diserang?

Kunci untuk mencegah serangan jenis ini adalah memastikan password tidak hanya satu kata. Banyak kata akan membingungkan taktik ini — ingat, serangan ini mengurangi kemungkinan jumlah tebakan ke jumlah kata yang mungkin kita gunakan dengan pangkat eksponensial dari jumlah kata yang kita gunakan, seperti yang dijelaskan dalam pos XKCD populer tentang topik ini .

Metode password terbaik (dan contoh password yang bagus)

Di Avast, kami mengetahui satu atau dua hal tentang keamanan siber . Kami tahu apa yang membuat password yang solid, dan kami memiliki metode favorit kami untuk membuatnya. Metode di bawah ini memberi Anda beberapa ide password yang bagus untuk membuat password Anda sendiri yang kuat dan mudah diingat. Ikuti salah satu tips praktis ini, dan Anda akan meningkatkan perlindungan dunia digital Anda.

Metode frasa sandi yang direvisi

Ini adalah metode frase kata ganda dengan twist — pilih kata-kata yang aneh dan tidak umum. Gunakan kata benda yang tepat, nama bisnis lokal, tokoh sejarah, kata apa pun yang Anda ketahui dalam bahasa lain, dll. Seorang peretas mungkin menebak Quagmire, tetapi dia akan merasa sangat sulit untuk mencoba menebak contoh password yang bagus seperti ini:

QuagmireHancockMerciDeNada

Meskipun kata-katanya tidak biasa, cobalah menyusun frasa yang memberi Anda gambaran mental. Ini akan membantu Anda mengingat.

Untuk meningkatkan kerumitannya, Anda dapat menambahkan karakter acak di tengah kata atau di antara kata. Hindari garis bawah di antara kata-kata dan substitusi leetspeak* yang umum . (*leetspeak: bahasa atau kode informal yang digunakan di Internet, di mana huruf standar sering diganti dengan angka atau karakter khusus.)

Metode kalimat

Metode ini juga digambarkan sebagai “Metode Bruce Schneier”. Idenya adalah memikirkan kalimat acak dan mengubahnya menjadi password menggunakan aturan. Misalnya, mengambil dua huruf pertama dari setiap kata dalam “The Old Duke is my favorite pub in South London” akan memberi Anda:

See also  White hat vs Black hat SEO: Harus Pilih Mana?

ThOlDuismyfapuinSoLo

Untuk orang lain, itu gobbledygook, tetapi bagi Anda itu masuk akal. Pastikan kalimat yang Anda pilih bersifat pribadi dan tidak dapat ditebak mungkin.

Cara yang disarankan untuk meningkatkan portofolio password Anda

Semua metode di atas membantu memperkuat password Anda tetapi tidak terlalu bisa diterapkan, mengingat rata-rata orang menggunakan lusinan. Mari kita tinjau beberapa cara yang kami sarankan: gunakan password kompleks baru dan pengelola password, instal aplikasi autentikator di ponsel cerdas Anda, dan beli perangkat keras baru. Masing-masing dapat membantu dengan otentikasi yang lebih baik dan lebih aman.

Gunakan pengelola password dan pembuat password acak 

Pengelola password melacak semua password Anda dan melakukan semua yang diingat untuk Anda, kecuali satu hal — password utama yang memberi Anda akses ke pengelola password Anda. Untuk kahuna besar itu, kami mendorong Anda untuk menggunakan setiap tip dan trik yang tercantum di atas. Program ini juga dilengkapi dengan generator, seperti Avast Random Password Generator yang ditunjukkan di bawah ini, sehingga Anda dapat membuat password yang sangat rumit dan ekstra panjang yang jauh lebih sulit untuk di-hack daripada password yang mungkin dibuat oleh manusia. PC Magazine memiliki serangkaian rekomendasi pengelola password di sini.

avast random password generator
avast random password generator

Uji alamat email Anda juga

Periksa situs Avast Hack Check untuk melihat apakah kata sandi Anda telah bocor pada pelanggaran data sebelumnya. Jika sudah, segera ubah kata sandi di akun email Anda.

cek password kamu di avast.com
cek password kamu di avast.com

Berhati-hatilah dengan siapa yang Anda percayai

Situs web yang sadar akan keamanan akan meng-hash password penggunanya sehingga bahkan jika datanya keluar, password yang sebenarnya dienkripsi. Tetapi situs web lain tidak peduli dengan langkah itu. Sebelum memulai akun, membuat password, dan mempercayakan situs web dengan info sensitif, luangkan waktu sejenak untuk menilai situs tersebut. Apakah ada https di bilah alamat, memastikan koneksi yang aman? Apakah Anda merasakan standar keamanan terbaru saat ini? Jika tidak, pikirkan dua kali untuk membagikan data pribadi apa pun dengannya.

Gunakan Multi-factor authentication

Multi-factor authentication (MFA) menambahkan lapisan perlindungan ekstra (yang menjadi lapisan perlindungan pertama Anda jika detail akun Anda bocor). Ini telah menjadi standar industri baru untuk keamanan yang efektif. Mereka memerlukan sesuatu selain password, seperti biometrik (sidik jari, pemindaian mata, dll.), atau token fisik. Dengan cara ini, sesederhana atau serumit password Anda, itu hanya setengah dari teka-teki.

Catatan: mengingat peretasan Reddit 2018 yang disebabkan oleh penyadapan SMS, kami tidak menyarankan menggunakan SMS sebagai faktor otentikasi kedua Anda. Ini adalah jalur yang banyak dilalui oleh banyak peretas dalam beberapa tahun terakhi

Gunakan aplikasi smartphone autentikator

Metode MFA terbaik adalah menggunakan aplikasi khusus untuk ponsel cerdas Anda. Authenticator Google ( untuk Apple di sini , untuk Android di sini ) dan Authy adalah dua contoh dan keduanya gratis. Aplikasi ini menghasilkan PIN satu kali yang Anda masukkan sebagai faktor tambahan selama proses login Anda. PIN secara otomatis berubah setiap 30 detik. Anda harus mengikuti petunjuk untuk menyiapkan MFA untuk aplikasi khusus Anda dan beberapa aplikasi belum mendukung metode MFA ini.

Kiat keamanan tambahan seputar kata sandi

Lindungi informasi login Anda lebih lanjut dengan akal sehat, kiat keamanan tinggi ini:

  • Gunakan VPN saat menggunakan Wi-Fi publik. Dengan begitu, saat Anda masuk ke akun, tidak ada yang mencegat nama pengguna dan kata sandi Anda.
  • Jangan pernah mengirim SMS atau email kata sandi Anda kepada siapa pun.
  • Saat memilih pertanyaan keamanan saat membuat akun, pilih opsi yang sulit ditebak yang hanya Anda yang tahu jawabannya. Banyak pertanyaan memiliki jawaban yang mudah ditemukan di saluran sosial dengan pencarian sederhana, jadi berhati-hatilah dan pilih dengan hati-hati.
  • Setelah selesai, luangkan waktu untuk memberi tahu keluarga dan teman Anda untuk melindungi diri mereka sendiri juga. Pelanggaran terus terjadi, jadi hanya dengan berbagi posting blog ini dengan teman dan keluarga, Anda akan membantu lingkaran dalam Anda untuk melindungi diri mereka sendiri.
  • Pastikan antivirus Anda up-to-date.  Jika suatu ancaman berhasil melewati pertahanan kuat Anda dan masuk ke sistem Anda, antivirus yang baik akan mendeteksi dan menetralisirnya.