Miliaran Kata Sandi yang Dicuri Tersedia Secara Online: Peringatan Penting untuk Pengguna
Oleh Davey Winder, Kontributor Senior. Baru-baru ini, sebuah laporan mengejutkan mengungkapkan bahwa miliaran kata sandi yang dicuri kini tersedia di internet. Dalam artikel saya sebelumnya, saya melaporkan bahwa 19 miliar kata sandi telah diterbitkan di dark web dan pasar kriminal online, dan artikel tersebut menjadi viral dalam cara yang tidak saya duga. Meskipun hal ini terdengar buruk, ada sisi positifnya karena informasi baru muncul yang sangat penting untuk diketahui.
Dua peringatan baru telah dikeluarkan, yang sangat relevan mengingat laporan yang terus berkembang mengenai kata sandi yang telah terkompromi dan bagaimana kata sandi ini digunakan dalam serangan siber. Sangat penting untuk memperhatikan peringatan-peringatan ini dan memastikan Anda tidak menjadi korban berikutnya. Meskipun Anda mungkin merasa telah menguasai cara membuat dan menggunakan kata sandi dengan baik, kenyataannya adalah banyak orang yang tidak melakukannya.
Ketika satu laporan baru mengungkapkan bahwa ada 2,9 miliar kata sandi yang unik namun terkompromi tersedia di forum dark web dan saluran Telegram sepanjang tahun 2024, kita harus bertanya-tanya, kata sandi siapa yang sedang Anda gunakan? Tanpa proses acak yang ketat dalam membuat kata sandi yang panjang dan kuat, misalnya dengan menggunakan pengelola kata sandi untuk menghasilkan kata sandi untuk Anda setiap kali, serta praktik manajemen yang aman untuk mencegah penggunaan ulang, Anda mungkin menjadi bagian dari masalah ini.
Tabel kata sandi 2025, yang diterbitkan oleh Hive Systems, memberikan wawasan nyata tentang seberapa cepat kata sandi Anda dapat dipecahkan. Meskipun saya bukan penggemar besar dari pendekatan 'seberapa lama waktu yang dibutuhkan untuk memecahkan kata sandi' dalam keamanan kredensial, mengingat kehadiran malware pencuri informasi yang membuatnya menjadi tidak relevan, hal ini tetap berfungsi untuk mengilustrasikan pentingnya kebersihan dalam konstruksi kata sandi.
Laporan tabel kata sandi yang baru diterbitkan, ditulis oleh Corey Neskey, wakil presiden risiko kuantitatif di Hive Systems, berfokus pada seorang peretas yang menggunakan proses black box untuk mulai dari awal dan memecahkan hash yang tidak diketahui. Namun, Neskey mengakui bahwa “jika kata sandi Anda merupakan bagian dari pelanggaran lain atau menggunakan kata-kata kamus, maka tampilan tabel kata sandi Anda akan seperti ini,” di mana 'ini' merujuk pada tabel yang hanya berisi kata 'seketika' berulang-ulang.
Marcus White, seorang spesialis keamanan siber di Specops yang mengkhususkan diri pada autentikasi, keamanan kata sandi, manajemen kata sandi, dan kepatuhan, adalah seorang ahli kata sandi tanpa keraguan. Laporan yang ditulisnya pada 13 Mei menjelaskan secara rinci tentang kata sandi yang digunakan oleh peretas untuk menyerang port file transfer protocol (FTP). Meskipun ini mungkin terdengar sangat khusus, serangan ini jauh dari hal yang sepele. FTP adalah salah satu target yang disukai oleh para peretas, seringkali menggunakan metode brute force karena merupakan jalan yang mudah untuk masuk ke jaringan Anda.
Tim penelitian Specops telah menganalisis 30 hari terakhir serangan port FTP terhadap jaringan yang aktif untuk menentukan kata sandi paling umum yang digunakan oleh aktor ancaman. “Mengetahui taktik yang digunakan oleh penyerang di dunia nyata,” kata White, “dapat membantu Anda membentuk kebijakan kata sandi organisasi Anda dan melindungi dari serangan brute-force.” Penting untuk dicatat bahwa serangan brute-force akan menggunakan kombinasi kata sandi dan nama pengguna yang dikenal hingga akses diperoleh. Apakah Anda dapat menebak dari mana banyak kredensial ini berasal? Tepat sekali! Dari log pencuri informasi tersebut.
Sebagai ahli keamanan siber di platform eksposur ancaman NordStellar, Vakaris Noreika, menyatakan kepada saya bahwa ancaman dari malware pencuri informasi jauh lebih besar daripada yang dibayangkan kebanyakan orang. Ini bukan hanya tentang banyaknya kata sandi dan kredensial lain seperti cookie sesi yang dicuri untuk melewati perlindungan autentikasi dua faktor, tetapi juga tentang kemudahan akses yang dimiliki para penjahat siber. “Pengguna dark web dapat membeli log pencuri dengan berlangganan saluran pribadi,” kata Noreika, merujuk pada saluran Telegram di mana akses ke jutaan kata sandi yang terkompromi dapat diperoleh dengan harga serendah $81.
Apa solusi untuk masalah kata sandi yang dicuri dalam skala besar? Anda mungkin tidak suka mendengar ini, tetapi jawabannya sederhana: berhenti menggunakan kata sandi. Mengapa mempertaruhkan kata sandi Anda yang sudah dibangun dengan hati-hati dan tampak kuat ketika Anda dapat menggunakan passkey yang jauh lebih aman dan jauh lebih sulit untuk dikompromikan? Jika Anda belum dapat menggunakan passkey untuk layanan apa pun, maka saya mohon, jangan gunakan ulang kata sandi Anda.
