image featured from : unsplash.com
- Pengelola kata sandi terkemuka LastPass baru saja mengalami pelanggaran keamanan kedua tahun ini, tetapi seorang ahli mengatakan pengelola kata sandi masih menawarkan manfaat perlindungan terbaik.
- Bahkan saat dilanggar, pengelola kata sandi memiliki skema enkripsi rumit yang masih dapat melindungi Anda.
- Pengguna dapat memantau “skor keamanan” mereka untuk memeriksa potensi masalah.
Karena pelanggaran data menjadi semakin umum, pakar keamanan siber menyarankan penggunaan kata sandi yang unik dan kompleks untuk setiap situs. Melacak kata sandi tersebut dapat dengan cepat menjadi tugas, jadi pengelola kata sandi memasukkan gambar untuk membuat, menyimpan, dan mengelolanya dengan mudah. Tapi apa yang Anda lakukan ketika, ironisnya, pengelola kata sandi Anda sendiri terus mengalami pelanggaran data?
Pekan lalu, pengelola kata sandi populer LastPass mengumumkan telah mengalami pelanggaran keamanan kedua pada tahun 2022. , ”CEO Karim Toubba menulis dalam posting blog perusahaan, merujuk pada insiden sebelumnya selama musim panas. Dalam pelanggaran itu, pihak yang tidak sah “mengambil bagian dari kode sumber dan beberapa informasi teknis hak milik LastPass”.
LastPass jelas bukan satu-satunya pengelola kata sandi yang dapat diakses oleh peretas dengan satu atau lain cara. Pada April 2021, penyerang mengirimkan file berbahaya ke pengguna Passwordstate selama pembaruan, yang menarik nama pengguna, kata sandi, dan nama domain pelanggan. Setelah itu, aktor jahat meluncurkan kampanye phishing, berpura-pura bersama perusahaan induk Passwordstate, dan mendesak pengguna untuk memasang tambalan untuk melindungi diri mereka dari file jahat, yang hanya berfungsi untuk melanjutkan serangan asli.
Jadi, haruskah Anda memercayai pengelola kata sandi, atau kembali menulis semua login Anda di selembar kertas lepas?
Kevin Higgins, pakar keamanan siber senior di perusahaan keamanan jaringan Optiv yang berbasis di Denver, mengatakan kepada Popular Mechanics bahwa pengelola kata sandi masih merupakan pilihan terbaik meskipun ada berita terbaru. “Meskipun ini dapat dilanggar, ini masih merupakan salah satu cara terbaik untuk mengelola kata sandi pribadi Anda.”
“Manfaat memiliki alat yang dapat menghasilkan kata sandi yang kuat secara otomatis atas nama Anda dan memasukkannya untuk Anda saat menavigasi ke situs tertentu secara signifikan meningkatkan keamanan di situs individual tersebut,” catat Higgins. Selain itu, jika kata sandi ini kemudian disimpan dengan cara terenkripsi, seperti yang dilakukan LastPass di servernya, kata sandinya masih cukup kuat dan kompleks, “meminimalkan kemungkinan penyerang dapat membalikkan enkripsi dan mendapatkan kata sandi teks-jelas.”
Dalam dua pelanggaran LastPass tahun ini, perusahaan menyatakan bahwa tidak ada data pelanggan atau brankas kata sandi terenkripsi yang disentuh. Itu masih menimbulkan pertanyaan tentang apa yang harus dilakukan jika Anda telah menjadi bagian dari pelanggaran data. Dan bagaimana Anda tahu jika Anda pernah menjadi bagian dari salah satunya?
“Sama seperti pelanggaran data lainnya, hal pertama yang harus Anda lakukan adalah mengubah kata sandi Anda,” kata Higgins. “Apakah ditentukan atau tidak bahwa kata sandi dilanggar atau tidak, setelah Anda mengubah kata sandi Anda, ‘kata sandi terenkripsi’ yang dimiliki aktor jahat menjadi sia-sia.” Higgins lebih lanjut merekomendasikan “frasa sandi yang kuat dan unik untuk kata sandi, terutama untuk pengelola kata sandi di mana Anda hanya perlu mengingat satu kata sandi ini.”
Setelah Anda mengubah kata sandi, pengguna harus meninjau “skor keamanan” di dalam dasbor keamanan pengelola kata sandi mereka dan melihat penyesuaian apa yang dapat dilakukan untuk meningkatkan skor mereka. “Ini memerlukan kata sandi yang digunakan kembali, lemah, atau hilang dalam LastPass untuk dievaluasi,” kata Higgins. “Sebagian besar solusi pengelola kata sandi akan memiliki pengaturan serupa yang akan membantu pengguna akhir memberikan kesan menyeluruh tentang jejak keamanan mereka pada kredensial mereka.”
Sayangnya, ada kalanya Anda bahkan mungkin tidak tahu bahwa Anda adalah bagian dari pelanggaran data. Higgins mengatakan satu cara cepat untuk menentukan apakah alamat email atau nomor telepon Anda telah dilanggar adalah dengan menggunakan situs agregasi pelanggaran yang populer, seperti Have I Been Pwned. Ada juga layanan pemantauan berbasis langganan untuk memperingatkan pengguna secara real-time tentang situasi apa pun. Untuk pengguna pengelola kata sandi, Higgins mengatakan Anda mungkin perlu masuk ke pengaturan Anda dan mengaktifkan fitur khusus untuk peringatan tentang pelanggaran data yang melibatkan alamat email Anda.
“Tanggapi pelanggaran apa pun dengan serius, meskipun mereka mungkin telah menyatakan ‘tidak ada kredensial yang diperoleh,’” kata Higgins. “Setiap kali terjadi pelanggaran, lakukan uji tuntas Anda untuk mengamankan akun Anda yang mungkin terpengaruh oleh pelanggaran tersebut. [Pastikan] bahwa autentikasi multi-faktor [sedang digunakan] dan [gunakan] kata sandi yang kuat dan rumit yang dikonfigurasi untuk apa pun yang mendukungnya, termasuk pengelola kata sandi Anda.”
Milano – UKDW 2018
Be the first to comment