Apakah Anda merayakan Hari Password sedunia? Sama, saya juga tidak.
Hari Password Sedunia jatuh pada 5 Mei lalu. Hari itu MicrosoftMichrosoft, Google, dan Apple mengumumkan akan mengganti password dengan model otentikasi yang lebih aman.
(https://www.windowscentral.com/microsoft-google-and-apple-want-you-say-farewell-passwords)
Password dikenal tidak aman. Kebanyakan orang memakai password yang sama untuk masuk ke beberapa aplikasi atau layanan yang berbeda. Anda bisa cek https://haveibeenpwned.com/Passwords, misalnya, untuk memeriksa ada berapa password yang sama di dunia ini. Mungkin Anda juga menemukan email atau nomor telepon Anda di database berisi data-data yang sudah dicuri dan diperjualbelikan.
Sebagian besar orang memakai password yang mudah diingat, misalnya nama pasangan dan anak, tanggal lahir orang tercinta, hingga yang paling konyol menggunakan kata “password” sebagai password. Ini dilakukan meskti sudah banyak peringatan akan password yang terlalu sederhana.
Password-password semacam ini sangat mudah dicuri karena mudah ditebak dan biasanya pendek. Jarang sekali ada orang membuat password sepanjang 30-50 karakter, apalagi dengan kombinasi karakter-karakter yang bukan angka dan huruf.
Namun, ada dua langkah yang selama ini bisa ditempuh untuk menghindari pencurian password.
Pertama memakai password manager dan kedua memakai otentikator. Password manager berguna karena mampu menciptakan password yang luar biasa panjang. Anda bahkan tidak perlu mengingat satu per satu password yang Anda gunakan.
Beberapa layanan password manager seperti Bitwarden, misalnya, juga memberikan notifikasi seandainya password kita berkeliaran di jagat maya.
Langkah kedua adalah menggunakan aplikasi otentikator kedua. Aplikasi ini menyediakan semacam ’password kedua’ yang terus berganti setiap 1 menit. Sebagai alat otentikasi ganda (2FA), otentikator jauh lebih aman dari otentikasi lewat email atau nomor telepon (yang bisa dikloning).
Tentu, yang masih menjadi persoalan adalah server aplikasi di mana kita menyimpan password dan bagaimana caranya password kita disimpan. Di titik itu ada beberapa otentikator yang bermasalah. Google Authenticator, misalnya, menyimpan sandi dalam bentuk plaintext (alias teks yang tidak disamarkan), bukan hash atau salt. Aplikasi Google Authenticator juga tidak dilindungi oleh password atau biometrik (https://privacypros.io/u2f/stop-using-google-auth/)
Risiko lainnya adalah jika gawai yang menyimpan aplikasi otentikator kita hilang sehingga kita kesulitan masuk ke akun-akun yang biasa kita gunakan. Risiko ini bisa diminimalisirdiminalisir dengan menggunakan aplikasi otentikasi kedua seperti Authy yang bisa dibuka di beberapa gawai sekaligus. Meski kelihatannya riskan, Authy memberlakukan enkripsi untuk backup di masing-masing gawai.
Ada banyak cara yang sangat aman untuk melindungi password (dan identitas Anda) di internet. Tapi perusahaan-perusahaan teknologi raksasa memilih cara lain: menghapus password secara keseluruhan. (Tenang, ini belum dilakukan. Baru direncanakan).
Salah satu solusi termudah yang diajukan big tech adalah memanfaatkan biometrik. Sidik jari, pupil mata, dan bentuk wajah pun menggantikan password. Biometrik memang lebih nyaman dipakai. Anda tidak perlu menghapal kode. Tidak perlu mengambil 2-3 langkah ekstra untuk mengakses password manager agar bisa masuk ke email, misalnya.
Sebelum digunakan di gawai harian seperti laptop atau ponsel, alat pemindai biometrik telah umum dijumpai di bandara, kantor, bank, atau kedutaan besar (untuk melayani permohonan visa).
Namun, seperti yang telah banyak dilaporkan, biometrik memiliki kecacatan fundamental: tidak seperti password, ia tidak bisa diubah. Sidik jari, pupil, dan garis wajah tidak bisa diubah (kecuali jika Anda mengalami luka fisik yang betul-betul mengubah rupa sidik jari, menghilangkan pupil mata, atau merusak wajah).
Masalah lainnya: data-data biometrik tersebut disimpan di dalam server terpusat. Agustus 2019, Guardian melaporkan dua peneliti Israel Noam Rotem and Ran Locar menemukan 1 juta sidik jari, nama user, password dan informasi tentang facial recognition yang dikumpulkan oleh Suprema beredar di sebuah database yang bisa diakses publik. https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms
Suprema adalah perusahaan keamanan pembuat sistem kunci biometrik Biostar 2, yang digunakan oleh 5.700 organisasi di 83 negara, termasuk pemerintahan, bank, dan kepolisian Inggris. Database Biostar 2 secara umum tidak terenkripsi. Dua peneliti menemukan akses ke 27,8 juta berkas dan 23 gigabita data terkait panel admin, dashboard, data sidik jari, data facial recognition, foto wajah pengguna, nama user dan password yang tidak terenkripsi, dan berbagai data pribadi staf.”
Windows disebut-sebut sebagai sistem operasi yang paling tidak aman karena rentan virus. Ada insentif besar untuk meretas Windows karena sistem operasi ini paling banyak digunakan. Demikian pula sistem biometrik. Ketika sistem biometrik masih jarang digunakan, insentif untuk meretas juga rendah. Ketika ia semakin banyak digunakan, insentif untuk meretasnya pun meningkat.
Pada 2014, Apple memperkenalkan TouchId untuk mempermudah penggunanya masuk ke berbagai aplikasi atau layanan yang membutuhkan password. Saat itu, TouchId konon mustahil diretas.
Tapi, tak lama setelah peluncuran itu, muncul kabar seorang hacker bernama Jan Krissler berhasil mengkloning sidik jari Menteri Pertahanan Jerman saat itu, Ursula von der Leyen, melalui foto-fotonya yang mudah diakses publik. Krissler memproses foto sidik jari melalui VeriPrint. (https://www.tomsguide.com/us/iphone-touch-id-hack,news-20066.html)
Hacker-hacker lain juga sudah mencoba mengakali FaceID Apple dengan cara membuat tiruan wajah melalui printer 3D. https://books.google.co.id/books?id=7A1gEAAAQBAJ&pg=PA38&lpg=PA38&dq=fingerprint,+krissler,+3d+printing&source=bl&ots=F2G1Du_smK&sig=ACfU3U2pj3iQt6uTmfg0tKCf1ueLphLoSA&hl=en&sa=X&ved=2ahUKEwjnj5nx48X4AhXTjOYKHWNbCiwQ6AF6BAhPEAM#v=onepage&q=fingerprint%2C%20krissler%2C%203d%20printing&f=false
Dalam kesempatan lain Krissler menyatakan ia lebih percaya password-passwordnya ketimbang biometrik.
Suprema hanyalah satu contoh data breach yang melibatkan tereksposnya informasi yang paling intim dari diri Anda: biometrik. Ada banyak lainnya yang terjadi—dan mungkin belum diketahui. Anda bahkan bisa cek situs seperti Wikipedia yang memuat daftar kasus data breach sejak 2004. Google, Amazon, Apple masuk ke dalam daftar tersebut. Informasi dari laman Wikipedia ini terus diperbarui, lengkap dengan sumber-sumber yang bisa diverifikasi. (https://en.wikipedia.org/wiki/List_of_data_breaches)
Biometrik bisa menjadi pilihan yang aman jika sistemnya tidak mengirimkan data Anda ke server eksternal. Beberapa sistem operasi ponsel seperti GrapheneOS dan CalyxOS, misalnya, tidak mengirimkan data Anda ke komputer lain karena keduanya tidak menggunakan Google.
Namun, biometrik adalah kartu mati apabila ada pihak yang mampu mengakses gawai Anda secara fisik sekaligus memaksa Anda untuk menyediakan akses masuk ke dalamnya. Bayangkan ketika Anda berada dalam situasi penculikan atau interogasi aparat lalim.
Tidak ada teknologi yang bebas retas. Yang bisa Anda lakukan adalah menyusun model ancaman serta membuat akses masuk ke gawai dan akun-akun Anda sebirokratis dan seberlapis mungkin.