Keamanan Siber

'Bismillah' dan 'Rahasia' Jadi Password Populer Pengguna Internet di Indonesia

Temuan ini didapat dari data password yang pernah bocor di berbagai situs. Peneliti keamanan siber mengingatkan kita agar rutin mengganti kata sandi.
22.12.20
'Bismillah' dan 'Rahasia' Dua Password Paling Pasaran Pengguna Internet di Indonesia
Ilustrasi password pasaran via Getty Images

Dari 13 miliar data password warganet sedunia yang sempat bocor di berbagai situs, peneliti keamanan siber sekaligus pendiri Ethical Hacker Indonesia, Teguh Aprianto, menemukan fakta unik sekaligus mencemaskan: sebanyak 181.727 password adalah kata “bismillah”, lalu sebanyak 76.142 sandi lain adalah kata “rahasia”.

Teguh berasumsi, dua kata ini jadi favorit pengguna internet dari Indonesia. Resmi sudah, selain nama anak, bikin variasi kata kunci adalah problem buat banyak orang Indonesia.

Kemalasan bikin password sehingga mudah ditebak peretas begini bukan monopoli orang Indonesia. Orang Amerika Serikat jauh lebih tak kreatif dengan keranjingan memakai “123456”, “qwerty”, dan literally kata “password” sebagai kata sandi akun-akun internet mereka. Bahkan urutan angka “123456” dan “qwerty” sebagai kata kunci ini sudah mewabah ke seluruh dunia.

Kombinasi pasaran lainnya adalah blablabla diikuti 123 yang, sangat bisa jadi, kamu pernah memakainya minimal sekali seumur hidup.

Kembali ke Indonesia, polanya juga sama saja. Menurut penuturan Teguh kepada VICE, selain “bismillah” dan “rahasia”, kombinasi pasaran lain meliputi “123456”, “12345678”, “qwerty”, “iloveyou”, dan kombinasi nama diikuti tanggal lahir.

Iklan

“Saya ambil beberapa sampel, salah satunya kebocoran data 000webhost. Itu password yang bocor dalam bentuk plain text,” ujar Teguh kepada VICE. Koleksi password tersebut bocor dalam keadaan tidak di-hash—tidak disandikan ulang secara searah untuk mencegah password diurai atau didekripsi.

Melihat ada fenomena satu pola password dipakai berjamaah, Teguh mengingatkan bahwa kombinasi huruf besar dan kecil + angka + simbol masih jadi kombinasi password terbaik. Tapi ya kalau data password yang tidak di-hash tersebut sudah dibocorkan, tak ada cara lain, “Kalau udah jadi korban kebocoran data, ganti password itu hukumnya harus,” Teguh mengingatkan.

Bagaimana jika kita tidak sanggup mengingat kata-kata sandi sulit yang terlalu banyak jumlahnya? Teguh menilai, aplikasi pengelola password yang bisa menyimpan dan mengacak password seperti Bitwarden dan KeePass masih jadi alternatif yang aman. Tapi ia tak merekomendasikan Google Password Manager.

“Saya terganggu sama sinkronisasi yang mereka punya. Jika sebuah akun Google dibajak, si pembajak juga otomatis punya akses ke sekumpulan password yang disimpan tersebut,” kata Teguh.

“Enggak ada validasi tambahan. Contohnya Dropbox Password, itu password manager dari Dropbox. Jika seseorang membajak akun dropbox, ga semudah itu dia bisa akses sekumpulan password yang disimpan di Dropbox password. Dia harus punya paper key nya dulu, baru kemudian bisa akses sekumpulan password tersebut.”

Yah, barangkali masih ada yang lupa, kombinasi kebocoran data pribadi plus password gampang tertebak bakal sangat merepotkan. Terutama jika akun bersangkutan bisa dipakai untuk membeli dan memesan barang, serta menransfer uang. Kebocoran data lain kayak data KPU dan E-KTP juga sama horornya sih, tapi ya… gimana….