Jangan Pakai Satu Password untuk Semua Akun, Intip Bahayanya
JAKARTA, investortrust.id - Jutaan akun menjadi korban serangan pengisian kredensial setiap tahunnya. Metode ini telah tersebar luas sehingga pada 2022, satu penyedia autentikasi melaporkan rata-rata satu serangan tersebut untuk dua log gabung (log in) di akun yang sah.
Perusahaan keamanan siber Kaspersky mengungkapkan serangan pengisian kredensial adalah salah satu cara paling efektif untuk menyusupi akun pengguna. Penyerang memanfaatkan basis data besar nama pengguna dan kata sandi yang telah diperoleh sebelumnya untuk akun yang terdaftar di berbagai platform.
"Mereka kemudian mencoba kredensial ini secara massal di layanan online lainnya, dengan harapan beberapa akan berhasil. Serangan ini memanfaatkan kebiasaan buruk banyak orang yang menggunakan kata sandi yang sama untuk beberapa layanan," tulis Kaspersky dalam laporannya yang diterima oleh Investortrust pada Jumat (10/5/2024).
Akibatnya, penyerang pasti berhasil membajak akun dengan kata sandi yang digunakan korban di platform lain. Kaspersky mengungkapkan setidaknya ada tiga sumber utama penyerang mendapatkan kata sandi tersebut.
Baca Juga
"Kata sandi dicuri melalui kampanye phishing massal dan situs phishing. Kata sandi disadap oleh malware yang dirancang khusus untuk mencuri kredensial yang dikenal sebagai stealers. Kata sandi bocor melalui pelanggaran layanan online (daring)," papar Kaspersky.
Pelanggaran data telah memberikan penjahat siber jumlah kata sandi yang paling banyak. Sampai dengan saat ini, pemegang rekornya adalah pelanggaran data yang dihadapi oleh Yahoo! yang mengungkap 3 miliar catatan.
Penting untuk dicatat bahwa layanan biasanya tidak menyimpan kata sandi dalam teks biasa tetapi menggunakan apa yang disebut hash. Setelah serangan berhasil, penyerang perlu memecahkan hash ini.
Semakin sederhana kata sandinya, semakin sedikit waktu dan sumber daya yang diperlukan untuk memecahkannya. Oleh karena itu, pengguna dengan kata sandi yang lemah adalah yang paling berisiko setelah terjadi pelanggaran data.
Namun, jika penjahat siber benar-benar membutuhkannya, bahkan kata sandi terkuat di dunia pun kemungkinan besar akan terbongkar apabila hash-nya telah bocor secara publik.
Baca Juga
Cegah Hacker, Kemenkominfo Gandeng BSSN di World Water Forum
"Oleh karena itu, sekuat apa pun kata sandi Anda, hindari menggunakannya di beberapa layanan," Kaspersky menegaskan.
Menurut Kaspersky, menghindari serangan pengisian kredensial dibutuhkan edukasi tentang praktik terbaik keamanan siber yang menekankan bahaya penggunaan kata sandi secara berulang. Kemudian mengembangkan dan menegakkan kebijakan kata sandi yang masuk akal.
Mendorong penggunaan pengelola kata sandi untuk menghasilkan dan menyimpan kombinasi karakter yang kuat dan unik. Aplikasi ini juga akan memantau pelanggaran data dan merekomendasikan perubahan kata sandi jika sudah ada dalam basis data yang diketahui.
Terakhir, wajibkan penggunaan autentikasi dua faktor jika memungkinkan. Ini adalah cara paling efektif untuk melindungi tidak hanya dari pengisian kredensial tetapi juga serangan pengambilalihan akun lainnya.