Dari 37000 kata sandi polos (plain password) yang berhasil dicuri dari situs Sony pada Juni 2011, terungkap bahwa 50% hanya memakai huruf kecil dan 45% hanya angka. Lebih mencengangkan, dari 10 juta kata sandi yang dicuri lalu diumumkan di tahun 2016, terungkap bahwa sekitar 17% malah memakai kata sandi 123456. Ini masuk akal, karena sebagai administrator, saya pun sering menerima keluhan tentang kata sandi yang terlupakan atau sulit diingat, kemudian minta diizinkan memakai tanggal lahir atau nama anaknya. Beberapa orang lebih muda memilih cara lebih baik dari itu, misalnya menggabungkan huruf kecil dan huruf besar. Masalahnya, yang dipilih terlalu mudah ditebak. Contohnya: Juventus.
Satu dékade lalu, beberapa ahli mengatakan bahwa kata sandi sepanjang 8 karakter sudah cukup kuat. Tapi seiring dengan perkembangan téknologi, para peretas (hacker) yang memanfaatkan komputasi awan (cloud computing) bisa menebak kata sandi sederhana sepanjang 8 karakter hanya dalam beberapa detik saja.
Ada beberapa panduan yang harus dipatuhi untuk membuat kata sandi aman.
- Jangan berupa kata yang ada di kamus. Kamus Besar Bahasa Indonésia terbaru memuat 127.036 léma. Peretas telah menyimpannya ke dalam basis data. Dengan demikian, kata sandi sepanjang 17 karakter pun, mudah ditebak hanya dalam beberapa detik bila kata sandi itu seluruhnya ada di dalam kamus, misalnya: RepublikIndonesia.
- Jangan berupa urutan di papan ketik (keyboard), misalnya qwe123. Aplikasi penebak kata sandi telah dilengkapi prosédur untuk menebak karakter yang berpola seperti itu. Artinya, kata sandi qwe123 pun bisa ditebak hanya dalam beberapa detik.
- Kata allay pun bukan ide yang bagus. Misalnya Rum4h t3t4n9gA. Sekali lagi, aplikasi penebak kata sandi telah diajarkan untuk mengganti A dengan 4, E dengan 3, G dengan 6, dan seterusnya. Kata sandi t3t4n9g4 bisa ditebak dalam beberapa detik. Paling lama dalam hitungan menit.
- Jangan gunakan kata sandi yang sama untuk beberapa tempat, misalnya agar mudah diingat, lalu kata sandi Yahoo disamakan saja dengan Gmail. Ini berbahaya. Sekali peretas mengetahui, maka semua akun anda bisa dibobol.
- Minimal 12 karakter. Di tahun 2010, sebuah perusahaan Layanan Pemulihan Kata Sandi (Password Recovery Service) ternama di Amérika Serikat mengaku mampu melakukan 20 juta tebakan kata sandi perdetik, sehingga kata sandi sepanjang 8 karakter yang sangat rumit, hanya butuh 5 bulan untuk ditebak. Itu tahun 2010. Sekarang tentu lebih cepat lagi.
Beberapa perusahaan keamanan telah memberikan cara mengatasi masalah ini. Beberapa di antaranya adalah:
- Gunakan aplikasi Dashlane. Anda hanya perlu mengingat satu kata sandi utama (Dashlane Master Password). Kata sandi lain biarkan Dashlane yang mengingatnya. Saran saya, cobalah dulu yang vérsi gratis. Vérsi Prémium selain harganya mahal, juga fitur yang ditawarkan kurang begitu penting bagi pengguna biasa.
- Manfaatkan Two-Factors Authentication (2FA). Bisa berupa kode yang dikirim ke ponsél melalui SMS, bisa juga berupa kode yang dihasilkan Aplikasi Token Generator misalnya Google Authenticator dan Microsoft Authenticator.
- Pengguna Yahoo bisa memanfaatkan Yahoo Account Key. Pasang aplikasi Yahoo Email di ponsél. Setelah itu, setiap anda hendak masuk (login) menggunakan perangkat lain (misalnya laptop) yang belum pernah dipakai untuk masuk, anda hanya perlu menyentuh simbol check warna hijau di ponsél. Langsung anda bisa mengaksés email di laptop tanpa mengetik kata sandi.
- Gunakan perangkat keras Security Key, misalnya Yubikey dan Fido U2F. Sayangnya, sepengetahuan saya perangkat ini belum dijual di toko-toko komputer di Indonésia. Kalau pun ada, mungkin harus ke toko khusus di kota besar. Bentuknya seperti flashdrive. Bisa dibeli di Amazon. Harganya antara $18-$50. Itu harga di Amazon, belum termasuk biaya pengiriman dan biaya import yang nyaris separuh dari harga perangkat. Cara menggunakannya sangat mudah. Gunakan Google Chrome. Saat anda hendak login di Gmail, tancapkan perangkat itu di lubang USB lalu sentuh tombol bersimbol kunci selama beberapa detik. Maka anda bisa login tanpa perlu mengetik kata sandi.
FIDO U2F, pengganti kata sandi.
Terakhir, saya punya beberapa resép yang semoga berguna bagi anda:
- Kata sandi boléh mengandung spasi. Ini yang jarang disadari pengguna awam, karena terpengaruh oléh aturan nama pengguna (username) yang tidak boléh mengandung spasi.
- Sisipkan karakter aksén dari Keyboard Non Inggris, misalnya huruf-huruf á, ã, ê, ň, dan sebagainya. Pengguna Windows mungkin agak kesulitan, tapi bila anda memakai Mac, cukup tekan kombinasi tombol option + huruf tertentu di keyboard.
- Kata sandi berupa bahasa daérah atau nama désa. Bila anda berkunjung ke suatu daérah, seringkali menemui nama désa yang unik. Anda bisa manfaatkan itu, tentunya dengan digabung karakter lain misalnya simbol dan angka.
- Dari pada kata sandi berupa tanggal lahir, lebih baik berupa nomor KTP. Bukankah kita ke mana-mana selalu membawa KTP? Kalau lupa kata sandi, cukup keluarkan dompét. Tambahkan juga beberapa simbol di awal atau di akhir kata sandi. Ini yang sering saya sarankan kepada orang-orang awam yang mengeluh sulit menghafal kata sandi lalu mau mudahnya saja.