Ada perbedaan besar antara aturan yang Anda langgar dan aturan yang tidak mungkin Anda penuhi. “Satu kata sandi berbeda untuk setiap situs” termasuk yang kedua.
Dari seluruh hafalan yang dulu kita telan mentah-mentah — huruf kapital, angka, simbol, keharusan ganti sandi tiap tiga bulan — NIST membuang hampir semuanya di SP 800-63B. Panjang menjadi lebih penting daripada kerumitan. Rotasi paksa dihapus kecuali ada indikasi pembobolan. Keharusan memakai simbol diganti dengan sesuatu yang jauh lebih masuk akal: mencocokkan kata sandi dengan daftar sandi yang sudah bocor.
Hanya satu aturan yang selamat. Aturan jangan mengulang. Dan justru itulah yang paling kita abaikan, karena untuk memenuhinya dibutuhkan sesuatu yang tak pernah disebut di poster mana pun di kantor.
Mengapa ingatan Anda tidak sanggup
Coba hitung berapa akun yang Anda punya. Bukan yang Anda pakai: yang Anda punya. Bank, email, email satunya lagi, toko online tempat Anda membeli sepatu pada 2019, forum, maskapai, aplikasi parkir, aplikasi tagihan listrik, dan situs pemerintah yang memaksa Anda mendaftar demi urusan lima menit.
Sekarang bayangkan menghafal satu rangkaian panjang, acak, dan berbeda untuk masing-masing. Bukan soal susah. Ini bukan target yang bisa dicapai otak manusia, dan bertahun-tahun berpura-pura sebaliknya adalah salah satu kekejaman kecil dunia keamanan informasi.
Maka kita melakukan satu-satunya hal yang bisa dilakukan: satu kata sandi bagus
beserta variasinya. Rendang2019! untuk bank dan Rendang2019? untuk forum.
Atau sekalian sandi yang sama di mana-mana, dengan catatan kaki di kepala:
“tenang, yang di bank beda kok”.
Di situlah masalahnya, karena serangan yang sesungguhnya bukan menebak kata sandi Anda. Melainkan mencoba sandi yang sudah dicuri dari Anda di tempat lain. Forum tahun 2019 itu bocor — forum tahun 2019 memang bocor — lalu seseorang mengambil daftar email dan sandi itu dan mencobanya, otomatis, ke semua layanan yang terpikirkan. Tidak ada yang perlu dijebol. Kuncinya sudah Anda serahkan sendiri; dia tinggal mencoba pintu mana yang terbuka. Itulah credential stuffing, dan ia berhasil justru karena satu-satunya aturan yang penting adalah aturan yang tak seorang pun mampu penuhi.
Pengelola sandi bukan soal kenyamanan
Di sinilah pengelola kata sandi biasanya dijual sebagai kemewahan: praktis sekali, mengisi sendiri, tak perlu mengetik. Betul, dan itu bagian yang paling tidak penting.
Pengelola sandi tidak menghemat tenaga Anda: ia membuat sebuah aturan yang tanpanya mustahil menjadi mungkin. Ini beda antara menyuruh Anda berlari seratus kilometer dan memberi Anda sepeda. Angkanya tidak berubah; yang berubah adalah apakah Anda sanggup.
Begitu ada satu di depan Anda, sisa SP 800-63B beres dengan sendirinya. Panjang lebih penting daripada rumit? Pengelola sandi membuatnya sepanjang apa pun yang Anda mau, karena toh tidak akan Anda ketik. Berbeda di setiap situs? Sepele, memang begitu cara kerjanya. Tanpa rotasi paksa? Sempurna: Anda hanya mengganti yang bocor, dan banyak pengelola sandi memberi tahu Anda saat itu terjadi. Satu-satunya yang tetap harus Anda hafal adalah sandi induk, dan yang itu memang layak dibuat dengan hati-hati — empat atau lima kata acak di generator lalu lihat seberapa tahan di pemeriksa.
Keberatan yang jujur
“Menaruh semua telur dalam satu keranjang.” Sudah seribu kali saya dengar dan itu bukan omong kosong. Kalau ada yang berhasil masuk ke pengelola sandi Anda, dia masuk ke semuanya. Itu titik kegagalan tunggal, dan siapa pun yang bilang bukan sedang menjual sesuatu kepada Anda.
Jawabannya juga harus jujur: ya, itu keranjang tunggal, tetapi alternatifnya bukan telur yang tersebar rapi. Alternatifnya telur berserakan di lantai. Tanpa pengelola sandi Anda tidak berakhir dengan delapan puluh kata sandi mandiri; Anda berakhir dengan kata sandi yang sama di delapan puluh situs — keranjang yang sama, tapi tanpa tutup, tanpa enkripsi, dan disalin ke delapan puluh server orang lain yang keamanannya sama sekali tidak Anda ketahui.
Perhatikan model ancaman yang sebenarnya. Membobol brankas terenkripsi milik pengelola sandi yang serius menuntut satu dari dua hal: cacat berat pada produknya, atau sandi induk Anda. Sementara mencoba sandi toko online Anda di email Anda tidak menuntut apa pun: cukup sebuah skrip dan sebuah daftar. Anda sedang membandingkan serangan yang butuh banyak sekali dengan serangan yang sudah berjalan, terus-menerus, dengan mode otomatis.
Yang memang tindakan bijak: sandi induk yang panjang dan unik, faktor kedua diaktifkan di pengelola sandi, dan kesadaran bahwa sandi induk kini adalah titik kritis Anda. Perlakukan ia sebagaimana mestinya.
Yang mana, dan mengapa tidak ada satu jawaban
Di sini saya harus mengatakan sesuatu yang tidak nyaman untuk situs yang punya tautan afiliasi: pengelola sandi terbaik adalah yang benar-benar akan Anda pakai, dan yang bagus lebih dari satu.
Bitwarden adalah perangkat lunak bebas, punya paket gratis yang sudah cukup untuk hampir semua orang, dan bisa Anda inangi sendiri kalau mau. Kodenya bisa diaudit, dan itu bukan bahasa pemasaran: artinya Anda tidak perlu percaya pada ucapan siapa pun.
KeePass — beserta turunannya — menyimpan semuanya dalam satu berkas lokal. Tanpa awan, tanpa akun, tanpa penyedia. Kalau kekhawatiran Anda adalah “saya tidak mau kata sandi saya nongkrong di server orang lain”, kekhawatiran itu selesai secara harfiah. Imbalannya, sinkronisasi antarperangkat jadi urusan Anda sendiri.
1Password berbayar dan itulah yang kami tautkan dari sini — afiliasi, biar jelas. Yang ia lakukan dengan baik adalah bagian yang biasanya menentukan apakah sebuah pengelola sandi bertahan di sebuah rumah: agar orang yang tidak teknis paham, mau berbagi dengan pasangannya, dan tidak menyerah dalam seminggu. Ia tidak lebih aman daripada Bitwarden hanya karena berbayar. Ia, bagi banyak orang, lebih sulit ditinggalkan.
Dan pengelola sandi bawaan peramban Anda. Gratis, sudah terpasang, sudah menawarkan diri untuk menyimpan. Ia berada di bawah yang lain soal kendali, portabilitas, dan berbagi, serta mengikat Anda ke satu ekosistem. Tidak apa-apa: memakai bawaan peramban jauh lebih baik daripada tidak memakai apa pun, karena ia menyelesaikan masalah yang besar. Siapa pun yang bilang sebaliknya sedang menaruh kemurnian di atas risiko yang nyata.
Satu kalimat yang merangkum semuanya
Bertahun-tahun kita diberi tahu setiap kata sandi harus seperti apa, dan hampir tidak pernah diberi tahu bagaimana kita akan mengingat semuanya. Itulah langkah yang hilang, dan tanpanya satu-satunya aturan yang selamat bukanlah aturan: ia sekadar teguran.
Pilih satu. Yang mana pun. Perdebatan soal yang mana itu remeh dibandingkan jarak antara punya pengelola sandi dan tidak punya sama sekali.
Sumber: NIST SP 800-63B, “Digital Identity Guidelines: Authentication and Lifecycle Management” (panjang di atas kerumitan, tanpa rotasi paksa kecuali ada indikasi pembobolan, pencocokan dengan daftar kata sandi yang telah bocor) · dokumentasi dan model keamanan yang diterbitkan oleh Bitwarden, KeePass dan 1Password.