Apakah Pengelola Kata Sandi Aman Digunakan?

Anda sudah tahu pentingnya menggunakan kata sandi yang kuat dan ancaman yang Anda hadapi jika tidak. Untuk menegakkan kata sandi yang kuat, banyak dari kita menggunakan pengelola kata sandi. Mereka seharusnya menjaga data kita aman, tetapi kadang-kadang mungkin semua memiliki rasa aman yang salah. Selain itu, tidak semua pengelola kata sandi menawarkan tingkat keamanan yang sama. Ini dapat menyebabkan peretas menggunakan serangan brute force dan mencuri identitas Anda.


Apakah Pengelola Kata Sandi Aman Digunakan?

Apakah Pengelola Kata Sandi Aman Digunakan?

Pengelola Kata Sandi Dan Mengapa Mereka Digunakan

Pengelola kata sandi adalah aplikasi, ekstensi peramban atau alat yang digunakan untuk menyimpan semua kata sandi Anda dengan aman. Ini termasuk banyak kata sandi yang Anda buat di banyak situs seperti Amazon, Netflix, atau YouTube saat Anda mendaftar. Demikian juga, Anda mungkin telah membuat kata sandi kuat yang sulit diingat untuk email, ISP, perusahaan telepon Anda, dan lainnya.

Anda dapat menyimpan semua kata sandi ini di aplikasi dan menguncinya dengan membuat kata sandi yang berbeda. Pada dasarnya, untuk mengakses semua kredensial login Anda, Anda hanya perlu satu. Itu adalah kata sandi yang Anda miliki untuk pengelola kata sandi. Buka aplikasi, pilih kata sandi layanan yang ingin Anda gunakan, salin dan tempel. Beberapa pengelola kata sandi menawarkan keamanan tambahan dengan opsi seperti otentikasi dua faktor. Beberapa menawarkan kemudahan akses dengan formulir isian otomatis di mana ia secara otomatis memasuki bidang masuk layanan atau situs web.

Masalah Dengan Pengelola Kata Sandi

Meskipun benar bahwa aplikasi manajemen kata sandi terbukti memberi Anda lebih banyak kemudahan dalam mengakses internet, Anda tidak dapat mengabaikan ancaman yang mereka timbulkan. Terutama ketika Anda menggunakan ekstensi browser yang tersedia dengan aplikasi pengelola kata sandi Anda, ancamannya sangat besar. Mengunjungi situs web yang dapat menginfeksi perangkat Anda dengan malware membuat data Anda rentan terhadap sejumlah serangan seperti XSS (Cross-Site Scripting) atau CSRF (Pemalsuan Permintaan Lintas Situs).

Contoh kasus adalah satu eksploitasi keamanan LastPass sebelumnya, di mana situs web yang rentan kemungkinan akan disuntikkan dengan skrip mata-mata. Ini dapat memeriksa peramban Anda untuk ekstensi tersebut jika Anda mengaktifkannya saat mengunjungi situs. Pemberitahuan yang identik dengan LastPass akan ditampilkan pada halaman yang memberi tahu Anda bahwa sesi Anda telah kedaluwarsa dan Anda harus masuk lagi. Jika Anda mengklik tautan yang ditampilkan, itu akan membawa Anda ke situs phishing yang mirip dengan halaman login LastPass.

Saat Anda masuk, situs jahat memeriksa dengan LastPass API dan mengonfirmasi kredensial Anda. Jika benar, situs akan meminta Anda untuk memasukkan token otentikasi dua faktor. Memeriksa dengan LastPass API sekali lagi, situs mengirim rincian Anda ke server peretas segera. Tetapi jika detail login ternyata salah, skrip di situs akan memuat pesan kesalahan, meminta Anda untuk mencoba lagi.

Masalah keamanan masa lalu lainnya LastPass menyerahkan peretas akses lengkap ke perintah RPC istimewa internal dan menjalankan kode. Peretas juga dapat mengganti pesan yang sah dan membuat serangan phishing yang serupa.

Internet tidak aman

Contoh di atas bukan satu-satunya masalah pengelola kata sandi berbasis browser yang muncul. Sesuai Dunia Jaringan, Keeper, 1Password, dan Dashlane juga telah mengalami masalah keamanan.

Satu kerentanan keamanan Keeper yang lalu adalah ekstensi itu menyuntikkan UI tepercaya ke situs yang tidak dipercaya. Ini dibiarkan terbuka untuk serangan seperti CSRF, XSS, dan lainnya. Kerentanan keamanan XSS universal dialami oleh Dashlane, yang akan membuat situs saling serang dengan eksploitasi XSS dan kompromi cookie, kredensial login, dan data pengguna lainnya. Masalah keamanan 1Password yang lalu menyebabkan penonaktifan model keamanan lokal, virtualisasi, dan kotak pasir di antara fitur-fitur lainnya.

Masalah-Masalah Ini Hanya Tip Dari Gunung Es

Setiap hari, peretas menemukan cara yang lebih cerdas untuk menyerang dan situs phishing menjadi lebih baik karena tidak terdeteksi. Kami telah melihat bahwa beberapa pengelola kata sandi mengaktifkan fitur isi-otomatisnya. Menurut Wired, mengisi formulir login pada halaman web dengan kredensial Anda yang disimpan adalah kerentanan keamanan terbesar. Sesuai dengan Pusat Kebijakan Teknologi Informasi di Princeton, peretas yang mengeksploitasi kerentanan lama dalam ekstensi peramban web pada pengelola kata sandi ini hanyalah permulaan.

Skrip lanjut peretas dapat melacak fitur isi-otomatis ini dan mencuri kredensial login Anda. Sementara angka-angka menunjukkan bahwa serangan seperti itu hanya terjadi pada seribu situs sejauh ini, kita dapat yakin bahwa mereka hanya bersiap-siap. Ketika Anda mendeteksi pelanggaran keamanan, Anda dapat mengubah kata sandi Anda. Namun, dengan kerentanan ini, detail pengguna Anda akan dicuri tanpa sepengetahuan Anda. Pengelola kata sandi tidak akan dapat menyelamatkan Anda begitu ini terjadi.

Melindungi Kata Sandi Anda

Jadi, bukankah situs web akan memberi tahu Anda jika mereka diretas? Jika pertanyaan ini ada di pikiran Anda, Anda harus tahu bahwa ada banyak contoh di mana situs web tidak melakukan apa pun untuk memberi informasi kepada pengguna mereka. Bahkan ketika perusahaan besar seperti Yahoo! dan Uber memiliki pelanggaran data, pengguna tidak diberi tahu. Oleh karena itu, bahkan jika Anda mempercayai pengelola kata sandi yang aman, pahami bahwa data Anda tidak dapat aman dari situs web atau perusahaan yang tidak memiliki keamanan yang memadai di situs mereka.

Pendapat Orang Tentang Pengelola Kata Sandi

Ada banyak orang yang tidak setuju bahwa pengelola kata sandi aman. Sebagai contoh, mari kita lihat pendapat Dave, yang merupakan seorang programmer di sebuah perusahaan perangkat lunak, percaya bahwa “Menggunakan pengelola kata sandi lokal lebih baik karena layanan berbasis cloud dapat diretas dengan mudah. Juga, masuk akal untuk menggunakan klien manajemen kata sandi jika Anda perlu menyimpan ratusan kredensial login, seperti yang saya lakukan, untuk tujuan bisnis. “

Namun, ini juga bukan cara yang aman, menurut Matt, yang adalah seorang akuntan. Dia mengatakan bahwa dia suka bergantung pada ingatannya sendiri, daripada memercayai beberapa perangkat untuk menyimpan kata sandi yang berharga. Menurutnya, semua perangkat rentan dan data dapat dicuri oleh seseorang yang memiliki akses fisik ke perangkat Anda.

Pandangan serupa diungkapkan oleh Rosie, seorang siswa, yang percaya, “Saya memiliki kebiasaan menyimpan kata sandi saya di lembar kerja yang dilindungi di MS Excel. Saya menggunakan frasa sandi lebih dari 20 karakter, yang saya yakin cukup sulit untuk dipecahkan. Saya tidak percaya penyimpanan perangkat berbasis cloud atau lokal lebih dari memori saya sendiri untuk mengamankan informasi saya yang paling sensitif. ”  

Haruskah Anda Menggunakan Pengelola Kata Sandi?

Sekarang setelah Anda mengetahui tentang semua kerentanan keamanan yang mungkin terjadi pada pengelola kata sandi, haruskah Anda berhenti menggunakannya? Faktanya adalah bahwa jika Anda memiliki lebih banyak akun, lebih baik menggunakan satu karena Anda mendapatkan lapisan keamanan tambahan. Jauh lebih baik daripada tidak memiliki sama sekali; tidak menyimpannya memiliki risiko yang jauh lebih besar daripada memilikinya. Tapi pastikan, Anda menggunakan pengelola kata sandi yang aman dan sering memperbarui keamanannya terhadap serangan brute force.   

Apa pun caranya, jangan pernah gunakan ekstensi peramban atau aplikasi peramban bawaan untuk pengelolaan kata sandi, seperti yang Anda dapatkan dengan Chrome. Alih-alih itu, gunakan opsi berbasis desktop apa pun karena mereka menawarkan keamanan dan pergantian fitur pengisian-otomatis paling banyak. Sebagai cadangan, Anda juga dapat menyimpan kata sandi di perangkat atau file yang dienkripsi.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map