Ketika sebuah formulir menanyakan nama gadis ibu kandungmu, ia tidak sedang meminta sebuah rahasia. Ia sedang meminta data catatan sipil.
Di situ seluruh kritiknya; sisanya cuma detail. Pertanyaan keamanan adalah kata sandi dengan tiga cacat yang tidak dimiliki kata sandi biasa: kamu tidak memilihnya, jawabannya bisa ditebak karena banyak orang menjawab hal yang sama, dan sering kali jawaban itu sudah tertulis di tempat yang tidak kamu kendalikan. Sebagai gantinya ia diberi hak istimewa yang luar biasa: ia bisa menggantikan kata sandimu. Itu pintu belakang akunmu, dan pintu belakang itu lebih rapuh daripada pintu depannya.
Ini bukan firasat orang dalam industri. Ini yang diukur Google.
Studi yang tidak pernah dibaca sebelum formulirnya dirancang
Pada 2015, lima peneliti —Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson dan Mike Williamson— mempresentasikan sebuah makalah di konferensi WWW, di Florence, yang judulnya sudah bercerita hampir semuanya: Secrets, Lies, and Account Recovery. Ini bukan laboratorium dengan tiga puluh sukarelawan: mereka menganalisis ratusan juta jawaban rahasia dan jutaan percobaan pemulihan akun yang nyata.
Temuannya punya dua paruh. Yang biasa diceritakan hampir selalu cuma satu.
Paruh pertama: jawabannya ketebak
Model ancaman dalam makalah itu bukan tetangga kepo yang iseng: ini orang yang menyerang akun secara massal dan cuma butuh benar pada sebagian kecil saja. Dengan kaca pembesar itu, angka-angkanya berubah makna.
Dengan satu kali percobaan saja, penyerang akan menebak benar 19,7% jawaban pengguna berbahasa Inggris untuk “Apa makanan favoritmu?”. Satu. Jawabannya, kalau masih ragu, cenderung persis seperti yang sedang kamu pikirkan. Dengan sepuluh kali percobaan ia akan menebak benar 39% jawaban pengguna Korea untuk “Kota kelahiranmu?”. Dan dengan satu percobaan saja, 3,8% jawaban pengguna berbahasa Spanyol tertebak untuk pertanyaan yang Google sajikan kepada mereka dengan terjemahan “Nama belakang pertama ayahmu?”.
Angka 3,8% terdengar kecil sampai kamu ingat bahwa penyerang itu tidak menyerang akunmu: ia menyerang satu juta akun. Dan tidak perlu jadi Google untuk menyusun daftarnya. Para penulis membuktikannya: hanya dengan seribu jawaban yang dibeli lewat layanan crowdsourcing mereka menyusun distribusi yang 75% sampai 80% seefektif distribusi aslinya ketika diberi hingga seratus percobaan. Eksperimen itu memakan biaya 100 dolar dan kurang dari satu hari.
Yang paling menghancurkan: pertanyaan yang dirancang supaya unik pun tidak selamat. Nomor frequent flyer semestinya tak terulang menurut definisinya; pada praktiknya, satu percobaan saja sudah menebak benar 4,2% di kalangan pengguna berbahasa Inggris. Alasannya indah sekali dan kita akan kembali ke sana: orang berbohong, dan mereka berbohong secara berjamaah.
Paruh kedua: jawabannya terlupakan
Di sinilah argumennya runtuh sepenuhnya, karena satu-satunya alasan kita masih
memakai pertanyaan keamanan adalah keyakinan bahwa pertanyaan itu andal.
Premisnya masuk akal: mengingat kota kelahiranmu semestinya lebih gampang
daripada mengingat xK4$mz. Ternyata tidak. 40% pengguna Amerika berbahasa
Inggris tidak mampu mengingat jawaban mereka sendiri ketika mereka
membutuhkannya. Mereka tidak lupa dalam arti abstrak: mereka sedang berusaha
masuk ke akun mereka dan gagal.
Lalu muncullah pembalikan yang sempurna, yang seharusnya sudah membunuh teknologi ini satu dekade lalu. Makin aman sebuah pertanyaan, makin buruk jawabannya diingat. Di populasi yang sama, “Apa nama tengah ayahmu?” —sebuah pertanyaan lemah— punya tingkat keberhasilan 76%. “Nomor telepon pertamamu?”, yang jauh lebih sulit ditebak, turun ke 55%. Dan kandidat yang secara teori paling aman malah ambruk: “Nomor kartu perpustakaanmu?” 22%, “Nomor frequent flyer?” 9%.
Waktu menyelesaikan pekerjaan itu. Untuk “Apa makanan favoritmu?”, keberhasilan mencapai 74% setelah satu bulan, 53% setelah tiga bulan, dan tinggal 47% setelah setahun. Dan pemulihan akun tidak menumpuk di awal: para penulis menemukan bahwa pengguna tidak lebih cenderung memulihkan akun cepat daripada lambat, jadi kebanyakan orang sampai ke pertanyaan itu ketika ingatannya sudah menguap.
Kesimpulan para penulis tidak menyisakan banyak ruang tafsir: tampaknya nyaris mustahil menemukan pertanyaan rahasia yang sekaligus aman dan mudah diingat.
Berbohong tidak menyelamatkanmu, ia mengunci kamu di luar
Reaksi yang masuk akal, begitu kamu paham masalahnya, adalah berbohong: kalau ditanya kota kelahiran, jawab saja “Reykjavik” lalu lanjut hidup.
Makalah itu mengukur hal ini juga, lewat survei terhadap populasi Amerika. Di antara mereka yang mengaku memberi jawaban palsu, 37% melakukannya untuk mempersulit penyerang, 15% supaya lebih gampang diingat —baca dua kali— dan 31,9% demi privasi, karena mereka tidak sudi menghadiahkan biografinya ke sebuah perusahaan.
Masalahnya, mengeraskan sebuah jawaban adalah gerakan yang bisa ditebak. Di situlah angka 4,2% untuk nomor frequent flyer: kebohongan banyak orang saling mirip jauh lebih sering daripada kebenarannya. Dan harganya dibayar di paruh yang satu lagi. Pengguna Amerika yang mengisi “Nomor telepon pertamamu?” dengan sesuatu yang panjangnya tujuh digit —jawaban yang masuk akal— mengingat jawabannya 55% dari waktu. Yang mengisi enam karakter, alias yang mengarang, berhasil 18%.
Berbohong tanpa mencatatnya bukan strategi keamanan. Itu membuang kuncinya.
Dalam bahasa Indonesia, pertanyaannya bahkan tidak masuk akal
Kembali ke nama gadis ibu kandungmu. Di Indonesia, “nama gadis” sering tidak berarti apa-apa: banyak orang tidak punya nama keluarga sama sekali, jadi nama ibu sebelum dan sesudah menikah adalah nama yang sama persis. Yang tersisa hanya “nama ibu kandung” — dan itu tercantum di akta kelahiran dan di kartu keluarga, serta kamu tuliskan sendiri di setiap formulir bank yang pernah kamu isi.
Ini bukan keanehan lokal. Makalah itu sendiri mengutip studi Griffith dan Jakobsson yang berhasil menyimpulkan nama gadis ibu untuk setidaknya 30% penduduk Texas dari catatan publik kelahiran dan pernikahan; dan mengutip Rabkin, yang menemukan bahwa 16% pertanyaan yang dipakai pada praktiknya punya jawaban yang rutin terpampang di profil media sosial publik.
Data yang tercatat di sebuah register dan muncul di profilmu bukanlah rahasia bersama. Itu informasi publik dengan kotak kata sandi di depannya.
Apa yang harus dilakukan dengan formulir yang memaksamu
Kadang memang tidak ada jalan keluar: bank menuntut tiga pertanyaan dan kamu tidak bisa lanjut tanpa mengisinya. Kalau begitu, berhentilah memperlakukannya sebagai pertanyaan dan perlakukan ia sebagaimana adanya.
- Jawab dengan kata sandi, bukan dengan riwayat hidupmu. “Kota kelahiranmu?” bisa dijawab dengan string acak dari generator, atau dengan frasa yang sudah kamu uji lebih dulu di pemeriksa. Itu satu-satunya jawaban yang tidak tercatat di register mana pun.
- Catat di pengelola kata sandi, di kartu situs yang sama. Ini bukan pilihan: inilah persisnya selisih antara 55% dan 18% tingkat ingat. Kebohongan hanya berhasil kalau kamu menyimpannya.
- Kalau layanannya mengizinkanmu memilih metode pemulihan lain, pilih itu. Dalam data Google, SMS berhasil 81% dari waktu dan surel 75%, berbanding 61% untuk pertanyaan rahasia di kalangan pengguna Amerika berbahasa Inggris —dan cuma 44% di kalangan pengguna Prancis.
Google bertindak sesuai datanya sendiri yang terpampang di depan mata: ia menurunkan pertanyaan rahasia ke pilihan terakhir, selalu ditemani sinyal lain. Yang direkomendasikan makalah itu adalah jangan pernah memakainya sendirian.
Sebelas tahun kemudian, perusahaan asuransimu masih menanyakan nama hewan peliharaan pertamamu. Jawab saja dengan enam belas karakter acak. Dia pantas mendapatkannya.
Sumber: J. Bonneau, E. Bursztein, I. Caron, R. Jackson dan M. Williamson, «Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google», WWW 2015, Florence · V. Griffith dan M. Jakobsson, «Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records», ACNS 2005, dan A. Rabkin tentang pertanyaan keamanan pada praktiknya, keduanya dikutip dalam karya sebelumnya.