Tech Friend: Seberapa Aman Pengelola Kata Sandi?

Tech Friend: Seberapa Aman Pengelola Kata Sandi?

Tech Friend adalah kolom saran kami tentang keamanan siber, privasi, dan teknologi sehari-hari. Email pertanyaan Anda ke [email protected]. Jika Anda memiliki pertanyaan tentang langganan ExpressVPN Anda atau memerlukan bantuan pemecahan masalah, silakan kunjungi Mendukung.


Berangkat dan pindah

Saya tidak mengerti bagaimana perusahaan pengelola kata sandi dapat mempertahankan daftar kata sandi dengan jaminan bahwa itu tidak akan diretas seperti layanan lainnya. Tolong jelaskan kepada saya bagaimana ini aman.

Dikirim oleh Tom, melalui komentar blog

Pengelola kata sandi adalah layanan yang memungkinkan Anda menyimpan semua kata sandi di satu tempat, dan satu-satunya hal yang Anda perlukan untuk mengaksesnya adalah kata sandi utama (atau master). Jadi, apa yang menghentikan seseorang untuk meretas server perusahaan pengelola kata sandi untuk mencuri set lengkap kata sandi tersimpan Anda atau, sama bergunanya, kata sandi utama Anda?

Mari kita mundur sejenak untuk membahas manfaat menggunakan pengelola kata sandi terlebih dahulu.

Anda mungkin memiliki lusinan akun online dan karenanya lusinan kata sandi untuk masuk ke akun tersebut. Karena banyak situs web menyarankan untuk memasukkan huruf, angka, simbol, jumlah karakter minimum, dll., kata sandi bisa menjadi rumit. Anda mungkin menggunakan kata sandi yang sama untuk banyak akun, atau rumus yang memungkinkan Anda menyesuaikan kata sandi yang berbeda dengan mudah.

Ada beberapa masalah di sini. Kata sandi berulang atau serupa membuat Anda sangat rentan, karena dalam kasus pelanggaran data yang terlalu umum, peretas dapat menggunakan kata sandi yang bocor untuk mencoba menebak kata sandi Anda untuk banyak akun lainnya.

Masalah lainnya adalah bahwa hampir tidak mungkin bagi kebanyakan orang untuk mengingat banyak kata sandi kuat yang berbeda – dan yang kami maksud dengan kuat, yang kami maksud adalah panjang dan acak. Kata sandi pendek jauh lebih rentan terhadap serangan brute force, di mana bot disiapkan untuk mencoba banyak kombinasi kata sandi. Yang non-acak – katakanlah, yang memiliki frasa umum – mungkin juga lebih mudah dipecahkan daripada yang tidak memiliki arti. (Satu pengecualian adalah Frasa sandi yang dihasilkan secara acakdi mana kata-kata nyata acak membentuk kata sandi.)

Untuk memiliki banyak kata sandi yang aman, Anda memerlukan sistem yang tidak mengharuskan Anda untuk mengingatnya. Itulah gunanya pengelola kata sandi.

Begini cara kerjanya. Anda memasukkan semua kredensial Anda ke dalam aplikasi pengelola kata sandi. Ini berfungsi seperti lemari besi, dan karena itu Anda memerlukan kunci untuk mengaksesnya, yang akan menjadi kata sandi utama Anda. Itulah satu-satunya hal yang perlu Anda pikirkan saat menggunakan pengelola kata sandi. Anda mungkin juga dapat mengaturnya sehingga Anda dapat menggunakan biometrik (sidik jari atau FaceID) untuk mengakses vault Anda.

Beberapa pengelola kata sandi juga memungkinkan Anda menyimpan detail seperti informasi kontak, informasi kartu kredit, dan bahkan informasi medis. Masuk akal jika Anda khawatir tentang menyimpan semua informasi Anda di satu tempat. Karena ketika pengelola kata sandi diretas, banyak informasi tentang Anda yang sampai ke tangan pihak ketiga.

Sayangnya, keamanan tidak mutlak – Anda hanya dapat mengurangi risiko, bukan menghilangkannya – dan baru-baru ini Pelanggaran data di LastPass telah menunjukkan pengelola kata sandi mungkin diretas. Jadi mengapa profesional keamanan siber terus mendukung penggunaan pengelola kata sandi? Jawaban singkatnya: Kata sandi Anda tetap tidak dapat dibaca.

Semuanya bermuara pada enkripsi. Jika Anda menyimpan kata sandi (atau data lainnya) di pengelola kata sandi, informasi itu harus dienkripsi. Pengelola kata sandi terkemuka menggunakan enkripsi AES 256-bit untuk melindungi kata sandi Anda — standar enkripsi yang sama yang digunakan oleh militer, bank, dan ExpressVPN.

Jika pihak ketiga berhasil meretas server pengelola kata sandi dan mencuri data pengguna, mereka tetap tidak dapat mendekripsi berkat enkripsi. Sebagai catatan, LastPass mengenkripsi kata sandi pengguna, tetapi membiarkan beberapa informasi — seperti URL — tidak terenkripsi, meningkatkan risiko terhadap privasi pengguna. Idealnya, semua data dienkripsi.

Selain itu, sebagian besar pengelola kata sandi menggunakan enkripsi tanpa pengetahuan. Data Anda dienkripsi pada perangkat Anda sebelum dikirim ke server. Jika Anda mendekripsinya dengan memasukkan kata sandi utama atau menggunakan biometrik Anda, semuanya terjadi kembali di perangkat Anda.

Itu berarti Perusahaan tidak memiliki akses ke kata sandi utama Anda atau kata sandi akun Anda– sehingga mereka tidak dapat dicuri. Tidak seorang pun kecuali Anda yang dapat membuka kunci brankas kata sandi Anda.

Salah satu aspek dari desain ini adalah jika Anda kehilangan kata sandi utama (dan kode pemulihan yang disediakan oleh sebagian besar pengelola kata sandi), Anda akan kehilangan semua yang telah Anda simpan di pengelola kata sandi. Tapi itu fitur, bukan bug.

Pengelola kata sandi dapat menerapkan tindakan keamanan tambahan untuk melindungi data Anda, seperti B. Penguatan kunci PBKDF2 dan enkripsi end-to-end. Ini bervariasi menurut penyedia, jadi sebaiknya lakukan riset sebelum memilih pengelola kata sandi.

Dalam hal fungsionalitas, sebagian besar pengelola kata sandi juga dapat membantu Anda menghasilkan kata sandi yang panjang dan acak untuk akun tertentu, dan Anda dapat mengonfigurasi layanan untuk mengisi detail login Anda secara otomatis saat Anda mencoba mengakses akses situs web.

Jika ada satu potensi kelemahan dalam penggunaan pengelola kata sandi, itu adalah kata sandi utama Anda. Pengelola kata sandi dapat melakukan apa saja untuk menjaga kerahasiaan informasi Anda, tetapi tetap terserah Anda untuk menyetel kata sandi utama yang kuat — dan menyimpannya untuk Anda sendiri. Jika Anda akan menentukan yang mudah ditebak atau kata sandi bersama, pengelola kata sandi Anda tidak akan aman. Anda harus mengatur dan mengaktifkan kata sandi utama yang kuat Autentikasi Dua Faktor untuk pengelola kata sandi Anda, jika tersedia.

Tonton video kami: Cara terbaik untuk menyimpan kata sandi Anda