Selamat Tinggal Password, Anda Bukanlah Pelindung Yang Baik

Password yang terbaik adalah yang panjang, tidak memiliki arti, tidak mudah ditebak dan merupakan suatu kombinasi dari karakter huruf, angka dan simbol. Beberapa orang memang mengingat rangkaian karakter acak untuk password mereka  dan menggantinya dengan rangkaian acak lainnya setiap beberapa bulan.

Sedangkan sisanya adalah kita, yang memilih password yang pendek, familiar dan mudah untuk diingat. Dan tidak pernah menggantinya selamanya.

Saya pernah merasa malu karena tidak mengikuti prosedur pemilihan password yang terbaik, tapi sekarang tidak lagi. Ahli keamanan komputer berkata bahwa memilih password yang sukar untuk ditebak hanya memberikan sedikit proteksi keamanan. Password tidak akan menjaga kita dari pencurian identitas, seberapapun pintarnya kita memilihnya.

Tetap saja ada kemungkinan bahkan ketika kita telah mengikuti prosedur pemilihan password yang baik. Survei menunjukkan bahwa banyak orang tetap saja keras kepala dengan menggunakan password seperti “password”, “123456”, and “LetMeIn”. Masalah yang ada, bagaimanapun bukan terletak pada kesimpelan password yang digunakan, melainkan pada prosedur login itu sendiri,yaitu saat kita telah membuka suatu halaman web, dan kemudian kita langsung memasukkan serangkaian karakter untuk mengotentikasi diri kita.

Prosedur tersebut yang tampak sangat natural karena kita telah terbiasa melakukannya secara berulang ulang adalah ide yang buruk, satu dari masalah yang tidak dapat dibentengi oleh semua ahli keamanan yang pernah saya jumpai.

Prosedur login yang berbasis password dapat saja diakali dengan berbagai macam cara. Pertimbangkan kemungkinan ancaman yang ditimbulkan oleh pisher yang menipu kita untuk mengklik situs palsu yang sengaja dibuat mirip dengan situs aslinya dengan tujuan agar dapat mencuri informasi login kita. Sekali informasi login kita pada suatu situs telah didapatkan maka ia dapat juga dicobakan pada situs lainnya.

Solusi yang dianjurkan oleh para ahli adalah untuk meninggalkan penggunaan password dan beralih pada cara login yang berbeda, dimana manusia hanya memainkan sedikit bagian atau tidak sama sekali pada saat login. Proses login seharusnya merupakan percakapan bersandi antar mesin untuk mengotentikasi pengguna, menggunakan kunci dgital yang oleh kita, sebagai pengguna tidak perlu melihatnya.

Pendek kata kita membutuhan sistem login yang bersandar pada kriptografi, bukan pada ingatan manusia.

Sebagai pengguna, kita akan mengganti password kita dengan suatu kartu informasi, ikon pada layar kita yang tinggal kita klik untuk login ke suatu situs. Klik yang kita lakukan akan memulai jabat tangan antara kedua mesin yang berdasarkan pada code kriptografi yang sukar untuk dipecahkan. Software yang dibutuhkan untuk membuat kartu informasi semacam itu hanya terdapat pada sekitar 20 persen dari seluruh PC, meskipun persentase tersebut telah menunjukkan peningkatan dari tahun lalu dimana hanya 10 persen yang memilikinya. Pada Windows Vista software semacam itu telah disediakan dari pabrikan, sedangkan pada Windows XP, Mac, dan Linux software semacam itu perlu didonlot terlebih dahulu.

Dan hal tersebut baru setengah dari perjuangan: pemilik situs web juga harus dipengaruhi untuk mengadopsi teknologi kartu informasi untuk login.

Bagaimanapun juga,kita tidak akan membuat banyak kemajuan dalam waktu dekat ini, karena telah banyak energi yang dihabiskan dan perhatian yang dicurahkan untuk pengembangan dari OpenID. OpenID mempromosikan “Single Sign On”: dengan begitu, dengan login pada satu situs yang menggunakan OpenID dengan menggunakan satu password akan menjamin akses pada seluruh seluruh situs yang menggunakan OpenID.

Yang paling baik dari OpenID adalah bahwa cara ini menawarkan sedikit kenyamanan yang lebih baik dan dapat menghindari kerawanan yang terjadi saat proses pengetikan password pada situs web milik orang lain. Meskipun demikian, setiap beberapa bulan ada perusahaan baru yang mengumumkan bahwa ia telah menjadi peserta terbaru dari OpenID. Perusahaan seperti Google, IBM, Microsoft dan Yahoo termasuk perusahaan yang terdepan dalam OpenID.

OpenID.net mengumumkan bahwa jumlah pengguna “OpenID” telah melewati 500 juta dan ini beru merupakan momentum awal karena jumlahnya akan terus bertambah.

Akan tetapi dukungan untuk OpenID sangatlah terbatas. Tiap perusahaan yang memiliki kekuatan besar yang mendukung OpenID memang dengan senang hati membuatkan identitas OpenID bagi pelanggannya, yang dapat digunakan pada situs situs miliknya, tetapi tidak mendukung penggunaan identitas OpenID yang dikeluarkan oleh pihak lainnya. Dengan kata lain, anda tidak dapat menggunakan OpenID yang dikeluarkan oleh Microsoft pada Yahoo ataupun sebaliknya.

Kenapa demikian? Karena perusahaan tersebut menilai banyak cara pihak lain untuk mengakali proses login yang berbasis password. Mereka tidak ingin mengambil risiko dibohongi orang lain.

Saat saya bertanya pada Scott Kveton, direktur dari komunitas OpenID Foundation, tentang kritik pada OpenID, ia menjawab dengan jujur,” Password, seperti yang kita ketahui bersama, benar benar telah hancur”. Dia mengatakan alternatif keamanan lainnya, seperti software yang bekerja dengan OpenID yang diinstal pada browser, sedang ditawarkan saat ini. Saat berhubungan dengan keamanan, ia berkata, “Tidak ada peluru perak, dan tidak akan pernah ada”.

Kim Cameron, kepala arsitek identitas Microsoft, adalah pembela gigih dari kartu informasi, yang tidak hanya jauh lebih aman dari sistem yang berbasis password, namun juga dapat dikostumisasi, mengijinkan pengguna untuk membatasi informasi apa saja yang akan diberikan kepada situs tertentu. “saya tidak menyukai sign-on tunggal,” kata Cameron. “Saya tidak percaya pada sign-on tunggal”.

Microsoft dan Google termasuk dalam enam perusahaan pendiri Information Card Foundation, yang didirikan untuk mempromosikan penggunaan teknologi kartu. Kehadiran PayPal yang dimiliki oleh eBay dalam grup merupakan yang paling signifikan. PayPal, dengan akses langsung kepada kartu kredit kita yang dimilikinya akan membuat pihak konservatif lebih yakin bahwa kartu semacam ini lebih aman dari pada password.

Akan tetapi dalam beberapa situasi kenyamanan penggunaan kartu informasi mungkin mengalami kegagalan, misalnya pada PC yang terdapat di suatu kantor yang disetting untuk langsung login ke situs web yang menyediakakn informasi sensitif. Meskipun demikian hal semacam ini tidak perlu dijadikan masalah.

“Pengguna pada shared sistem dapat dengan mudah mengeset sebuah kode PIN untuk melindungi kartu digunakan oleh orang lain” kata Cameron.

Penggunaan PIN tidak mengembalikan kita pada kekacauan penggunaan password pada web, karena PIN tersebut tidak pernah meninggalkan mesin kita dan tidak akan dapat dilihat oleh pisher.

Meninggalkan kebiasaan kita untuk mengetikkan password pada halaman web memang membutuhkan waktu, tetapi hal tersebut sangat dibutuhkan untuk perlindungan diri kita sendiri. Login pada suatu situs seharusnya merupakan percakapan tersandi antar mesin, sehingga dapat melindungi kita dari memberikan password pada orang lain.

Oleh RANDALL STROSS

Dipublikasikan pada: 9 Agustus 2008

  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: