Kata sandi (bahasa Inggris: password, passcode) adalah kumpulan karakter atau string yang digunakan oleh pengguna jaringan atau sebuah sistem operasi yang mendukung banyak pengguna (multiuser) untuk memverifikasi identitas dirinya kepada sistem keamanan yang dimiliki oleh jaringan atau sistem tersebut. Kata sandi juga dapat diartikan sebagai kata rahasia yang digunakan sebagai pengenal.[1]

Cuplikan masuk log Wikipedia dengan cara menuliskan nama pengguna dan kata sandi.

Terlepas dari namanya, sebuah kata sandi tidak perlu menjadi sebuah kata sesungguhnya; memang, kata yang bukan kata (dalam pengertian kamus) mungkin lebih sulit ditebak, yang merupakan properti kata sandi yang diinginkan. Rahasia yang dihafal yang terdiri dari rangkaian kata atau teks lain yang dipisahkan oleh spasi kadang-kadang disebut frasa sandi. Frasa sandi mirip dengan kata sandi dalam penggunaannya, namun kata sandi umumnya lebih panjang untuk keamanan tambahan.[2]

Cara kerja

sunting

Sistem keamanan akan membandingkan kode-kode yang dimasukkan oleh pengguna (yang terdiri atas nama pengguna/user name dan password) dengan daftar atau basis data yang disimpan oleh sistem keamanan sistem atau jaringan tersebut (dengan menggunakan metode autentikasi tertentu, seperti halnya kriptografi, hash atau lainnya). Jika kode yang dibandingkan cocok, maka sistem keamanan akan mengizinkan akses kepada pengguna tersebut terhadap layanan dan sumber daya yang terdapat di dalam jaringan atau sistem tersebut, sesuai dengan level keamanan yang dimiliki oleh pengguna tersebut. Idealnya, kata kunci merupakan gabungan dari karakter teks alfabet (A-Z, a-z), angka (0-9), tanda baca (!?,.=-) atau karakter lainnya yang tidak dapat (atau susah) ditebak oleh para intruder sistem atau jaringan. Meskipun begitu, banyak pengguna yang menggunakan kata sandi yang berupa kata-kata yang mudah diingat, seperti halnya yang terdapat dalam kamus, ensiklopedia (seperti nama tokoh, dan lainnya), atau yang mudah ditebak oleh intruder sistem.

Memecah kata sandi

sunting

Mencoba memecahkan kata sandi dengan mencoba sebanyak mungkin kemungkinan sesuai izin waktu dan uang adalah serangan brute force. Sebuah metode terkait, yang lebih efisien dalam banyak kasus adalah serangan kamus. Dalam serangan kamus, semua kata dalam satu atau banyak kamus diuji Daftar kata sandi umum juga biasanya diuji.

Kekuatan kata sandi adalah kemungkinan bahwa kata sandi tidak dapat ditebak atau ditemukan, dan bervariasi dengan algoritma serangan yang digunakan. Ahli kriptologi dan ilmuwan komputer sering menyebut kekuatan atau 'kekerasan' dalam istilah entropi.[3]

Kata sandi yang mudah ditemukan disebut lemah atau rentan; kata sandi yang sulit atau tidak mungkin untuk ditebak disebut kuat. Ada beberapa program yang tersedia untuk serangan kata sandi (atau bahkan audit dan pemulihan oleh personel sistem) seperti L0phtCrack, John the Ripper, dan Cain; beberapa di antaranya menggunakan kerentanan desain kata sandi (seperti yang ditemukan di sistem Microsoft LANManager) untuk meningkatkan efisiensi. Program ini terkadang digunakan oleh administrator sistem untuk mendeteksi kata sandi lemah yang diajukan oleh pengguna.

Penelitian dari produksi sistem komputer telah secara konsisten menunjukkan bahwa sebagian besar dari semua kata sandi yang dipilih pengguna dapat ditebak secara otomatis. Misalnya, Universitas Columbia menemukan 22% kata sandi pengguna dapat dipulihkan dengan sedikit usaha.[4] Menurut Bruce Schneier, memeriksa data dari serangan phishing pada tahun 2006, 55% kata sandi MySpace akan dapat dipecahkan dalam 8 jam menggunakan Password Recovery Toolkit yang tersedia secara komersial yang mampu menguji 200.000 kata sandi per detik pada tahun 2006.[5] Dia juga melaporkan bahwa satu-satunya kata sandi yang paling umum adalah password1, menegaskan sekali lagi kurangnya kehati-hatian dalam memilih kata sandi di kalangan pengguna. (Namun ia menyatakan, berdasarkan data ini, bahwa kualitas kata sandi secara umum telah meningkat selama bertahun-tahun—misalnya, panjang rata-rata kata sandi mencapai delapan karakter dari di bawah tujuh karakter pada survei sebelumnya, dan kurang dari 4% adalah kata-kata kamus.[6])

Metode pemilihan

sunting

Kata sandi yang paling aman digunakan adalah karakter acak, namun kata sandi seperti ini sangat sulit untuk diingat dan pada akhirnya hanya akan menimbulkan kesulitan. Ada beberapa metode yang dapat Anda gunakan agar password acak mudah diingat, salah satunya:

Metode Kata Sandi Bruce Schneier

sunting

Ahli keamanan Bruce Schneier mengemukakan sebuah teori tentang pembuatan kata sandi dengan cara mengambil susunan suku kata pada suatu kalimat untuk digunakan sebagai kata sandi, metode ini masih direkomendasikan sampai saat ini, karena telah terbukti menghasilkan kombinasi kata sandi yang aman dan mudah diingat.

Cukup membuat sebuah kalimat yang mudah diingat, kemudian mengambil bagian suku kata dalam kalimat itu, Metode ini telah diuji menggunakan beberapa software pemecah kata sandi dan terbukti dapat menghasilkan kata sandi yang aman.

Metode Person-Action-Object (PAO)

sunting

Teknik menghafal dan strategi mnemonic dapat membantu untuk membuat kata sandi yang aman dan mudah diingat, Setidaknya, itulah teori yang diajukan oleh Carnegie Mellon University, ilmuwan komputer yang menyarankan menggunakan metode Person-Action-Object (PAO) untuk membuat password yang sulit dipecahkan.

Metode PAO merupakan metode kognitif, otak mudah mengingat sesuatu dengan lebih baik dengan visual bersamaan dengan sebuah skenario yang aneh.

Metode Campuran

sunting

Metode kata sandi campuran adalah metode yang digunakan untuk membuat kata sandi dengan menggabungkan dua atau lebih metode pembuatan kata sandi. Seperti mencampur metode kata sandi PAO dan Metode Kata Sandi Bruce Schneier.

"The password is dead"

sunting

"The password is dead" adalah ide berulang dari keamanan komputer. Alasan yang diberikan sering kali mencakup referensi terhadap kegunaan dan masalah keamanan kata sandi. Hal ini sering kali disertai argumen bahwa penggantian kata sandi dengan cara otentikasi yang lebih aman diperlukan dan segera dilakukan. Klaim ini telah dibuat oleh banyak orang setidaknya sejak tahun 2004.[7][8][9][10][11][12][13][14]

Alternatif untuk kata sandi termasuk biometrik, otentikasi dua faktor atau sistem masuk tunggal, Cardspace Microsoft, Higgins project, Liberty Alliance, NSTIC, FIDO Alliance dan berbagai proposal Identity 2.0.[15][16]

Namun, meskipun ada prediksi dan upaya untuk menggantinya, kata sandi masih menjadi bentuk otentikasi yang dominan di peramban. Dalam "The Persistence of Passwords", Cormac Herley dan Paul van Oorschot menyarankan bahwa setiap usaha yang harus dilakukan untuk mengakhiri "asumsi yang sangat salah" bahwa kata sandi sudah mati.[17] Mereka berpendapat demikian "tidak ada teknologi lain yang menandingi kombinasi biaya, kecepatan, dan kenyamanannya" dan bahwa "kata sandi itu sendiri adalah yang paling sesuai untuk banyak skenario yang digunakan saat ini."

Lihat pula

sunting

Catatan kaki

sunting
  1. ^ (Indonesia) Pusat Bahasa Departemen Pendidikan Republik Indonesia "Kamus Besar Bahasa Indonesia dalam jaringan". Diarsipkan dari versi asli tanggal 2014-05-27. Diakses tanggal 2012-07-30. 
  2. ^ "Passphrase". Computer Security Resource Center (NIST). Diakses tanggal 17 May 2019. 
  3. ^ Kesalahan pengutipan: Tag <ref> tidak sah; tidak ditemukan teks untuk ref bernama SS1
  4. ^ "Password". Diarsipkan dari versi asli tanggal 23 April 2007. Diakses tanggal 20 May 2012.  . cs.columbia.edu
  5. ^ Schneier, Real-World Passwords Diarsipkan 23 September 2008 di Wayback Machine.. Schneier.com. Retrieved on 20 May 2012.
  6. ^ MySpace Passwords Aren't So Dumb Diarsipkan 29 March 2014 di Wayback Machine.. Wired.com (27 October 2006). Retrieved on 2012-05-20.
  7. ^ Kesalahan pengutipan: Tag <ref> tidak sah; tidak ditemukan teks untuk ref bernama CNET
  8. ^ Kotadia, Munir (25 February 2004). "Gates predicts death of the password". ZDNet. Diakses tanggal 8 May 2019. 
  9. ^ "IBM Reveals Five Innovations That Will Change Our Lives within Five Years". IBM. 19 December 2011. Diarsipkan dari versi asli tanggal 17 March 2015. Diakses tanggal 14 March 2015. 
  10. ^ Honan, Mat (15 May 2012). "Kill the Password: Why a String of Characters Can't Protect Us Anymore". Wired. Diarsipkan dari versi asli tanggal 16 March 2015. Diakses tanggal 14 March 2015. 
  11. ^ "Google security exec: 'Passwords are dead'". CNET. 25 February 2004. Diarsipkan dari versi asli tanggal 2 April 2015. Diakses tanggal 14 March 2015. 
  12. ^ "Authentciation at Scale". IEEE. 25 January 2013. Diarsipkan dari versi asli tanggal 2 April 2015. Diakses tanggal 12 March 2015. 
  13. ^ Mims, Christopher (14 July 2014). "The Password Is Finally Dying. Here's Mine". The Wall Street Journal. Diarsipkan dari versi asli tanggal 13 March 2015. Diakses tanggal 14 March 2015. 
  14. ^ "Russian credential theft shows why the password is dead". Computer World. 14 August 2014. Diarsipkan dari versi asli tanggal 2 April 2015. Diakses tanggal 14 March 2015. 
  15. ^ "NSTIC head Jeremy Grant wants to kill passwords". Fedscoop. 14 September 2014. Diarsipkan dari versi asli tanggal 18 March 2015. Diakses tanggal 14 March 2015. 
  16. ^ "Specifications Overview". FIDO Alliance. 25 February 2014. Diarsipkan dari versi asli tanggal 15 March 2015. Diakses tanggal 15 March 2015. 
  17. ^ "A Research Agenda Acknowledging the Persistence of Passwords". IEEE Security&Privacy. Jan 2012. Diarsipkan dari versi asli tanggal 20 June 2015. Diakses tanggal 20 June 2015. 

Pranala luar

sunting