Belakangan ini media ramai memberitakan soal “16 miliar password yang bocor ke publik”. Bayangkan, 16 miliar password bocor artinya ada dua akun milik masing-masing orang yang bocor.
Password bocor bisa disalahgunakan oleh penipu untuk mengakses akun-akun digital kita. Atau bisa jadi digunakan untuk penipuan berantai.
Kebocoran 16 miliar password ini tidak terjadi satu kali dari satu perusahaan atau platform, melainkan kompilasi data bocor lama yang dikumpulkan menjadi satu. Artinya, password bocor sudah berlangsung lama dan melibatkan banyak korban.
Password bocor benar-benar sebuah ancaman. Bahkan kita perlu meninggalkan password untuk keperluan login. Bagaimana kita menggunakan cara login baru untuk menghindari jadi korban kebocoran password? Berikut ulasannya.
Bukan Satu Kali Kasus Kebocoran
Cybernews, platform berita siber yang menyebarkan berita ini dengan headline yang menggemparkan. Namun faktanya, 16 miliar password ini merupakan kompilasi dari kasus-kasus kebocoran sebelumnya. Tim peneliti Cybernews menemukan 30 kompilasi data berbeda, masing-masing berisi 10 juta hingga 3,5 miliar data.
Adapun kompilasi data ini didapatkan dari Infostealer malware, data-data dari credential sutffing, dan kompilasi lainnya. Nah, yang bocor sebenarnya bukan cuma password tapi juga ada URL, username, dan email. Data-data ini disebut dengan kredensial login. Ini adalah struktur standar hasil pencurian oleh malware.
Bahkan, beberapa kumpulan data menyertakan informasi sensitif seperti cookie dan token sesi dapat melewati otentikasi multi-faktor (MFA).
"Data ini jadi sangat berbahaya karena berisi campuran log lama dan baru dari malware pencuri data, termasuk token, cookie, dan informasi tambahan. Kalau perusahaan belum pakai autentikasi dua faktor atau masih sembarangan dalam mengelola password, risikonya makin besar.” Peneliti Cybernews memberi pernyataan.
Nah, kebocoran kredensial ini tentu saja menjadi celah empuk bagi berbagai serangan siber, termasuk phishing, pengambilalihan akun, intrusi ransomware, dan serangan business email compromise (BEC).
Risiko Nyata dari Kebocoran Password
Kebocoran password bukan sekadar masalah privasi, ini bisa jadi pintu masuk bagi kejahatan siber yang lebih serius. Berikut beberapa ancaman yang bisa muncul:
1. Credential Stuffing
Credential stuffing adalah ketika hacker mencoba kombinasi username dan password yang telah mereka curi.
Contohnya, kamu pernah daftar di situs e-commerce A dengan email dan password yang sama seperti akun email utama kamu. Kalau data dari situs A bocor, hacker bisa otomatis mencoba kredensial itu untuk masuk ke akun email kamu, dan dari situ, mereka bisa mengakses ke semua akunmu.
Inilah pentingnya menggunakan password yang berbeda untuk masing-masing akun digital yang kamu miliki. Pertanyaannya, sudahkah kamu melakukan itu? Sebagian besar dari kita malah menggunakan password yang sama untuk semua akun agar mudah mengingatnya. Benar, kan?
2. Account Takeover (Pembajakan Akun)
Account takeover atau pembajakan akun terjadi ketika akunmu berhasil diambil sebagai akibat dari kredensial yang dicuri. Kalau akunmu sudah diambil, maka kamu tidak bisa login lagi. Kamu pun kehilangan akses ke akunmu.
3. Ransomware & BEC (Business Email Compromise)
Di tingkat perusahaan, kredensial yang bocor bisa digunakan untuk menyusup ke sistem internal dan menyebarkan ransomware, atau meniru identitas eksekutif perusahaan untuk menipu divisi keuangan.
Contoh kasusnya, akun email direktur keuangan berhasil diambil alih, lalu digunakan untuk menginstruksikan transfer dana ke rekening palsu.
4. Bypass Multi-Factor Authentication (MFA)
Yang paling berbahaya: beberapa data log yang bocor menyertakan cookie dan token sesi, yang dalam kondisi tertentu bisa digunakan untuk login tanpa harus melewati MFA.
Artinya, meskipun akunmu memakai OTP atau otentikasi dua langkah, kalau token sesimu bocor, hacker bisa masuk tanpa harus input OTP.
Apa yang Harus Kamu Lakukan?
1. Cek apakah data kamu bocor
Kunjungi situs HaveIBeenPwned.com atau Cybernews Leak Checker untuk mengecek apakah email/password kamu termasuk dalam data yang bocor.
2. Berhenti pakai password yang sama
Kalau kamu masih pakai satu password untuk semua akun, saatnya berubah. Gunakan password yang unik dan kuat untuk setiap akun. Gunakan password manager kalau perlu.
3. Aktifkan verifikasi dua langkah (MFA)
Dengan MFA, walaupun password kamu bocor, akunmu tetap aman karena ada lapisan keamanan tambahan (misalnya OTP lewat SMS atau aplikasi authenticator).
4. Beralih ke passkey
Sekarang sudah banyak platform yang mendukung login tanpa password, yaitu menggunakan passkey. Passkey adalah teknologi pengganti password yang menggunakan kriptografi kunci publik, sehingga jauh lebih aman.
Passkey itu seperti kunci digital pribadi yang hanya ada di perangkat kamu. Nah, kamu nggak perlu ingat atau ketik apapun. Cukup pakai sidik jari atau wajah lalu bisa langsung masuk dengan aman.
Passkey adalah hasil pengembangan dari FIDO Alliance (Fast Identity Online) sebuah organisasi global yang dibentuk pada Juli 2012 oleh para pemimpin industri teknologi, termasuk Google, Apple, Microsoft, dan lainnya.
Tujuan utama mereka adalah menghilangkan kelemahan sistem otentikasi tradisional, seperti password yang mudah ditebak, bisa digunakan ulang, dan rawan dicuri.
Google, Apple, dan sekarang Meta (Facebook & Instagram) juga sudah mulai mendukung login dengan passkey. Jadi kalau ada pilihan “Login dengan passkey” gunakanlah!
Perusahaan Harus Mengganti Cara Login
Kebocoran 16 miliar password di internet membuktikan satu hal: password sudah usang. Bukan cuma mudah ditebak, password juga mudah dicuri lewat phishing, malware, atau serangan rekayasa sosial (social engineering).
Kalau perusahaan masih menggunakan sistem login berbasis password, itu artinya:
- Pelanggan masih rentan dibajak akunnya
- Risiko kebocoran data tetap tinggi
- Proses login tidak memberikan rasa aman dan nyaman
Perusahaan yang ingin dipercaya pelanggan, harus mengganti cara login. Passkey menjadi pilihan karena cara ini tidak meminta pengguna memasukkan data apapun. Passkey cukup menggunakan “kunci digital” yang tertanam di HP milik pengguna.
VIDA sebagai penyedia otentikasi digital bersertifikasi di Indonesia menawarkan dua solusi otentikasi yang memiliki backbone yang sama dengan passkey, namun lebih cocok untuk dunia finansial dan regulasi lokal. Berikut cara otentikasi yang ditawarkan VIDA:
1. VIDA PhoneToken: Kunci Kriptografi di Dalam HP
Alih-alih OTP atau password, PhoneToken mengikat akun kamu ke perangkat tertentu menggunakan teknologi Public Key Infrastructure (PKI). Saat kamu login, sistem akan memverifikasi apakah perangkat yang kamu pakai benar-benar terdaftar dan terpercaya.
- Tidak bisa dicuri, karena kunci privat disimpan di secure enclave HP-mu.
- Tidak bisa dipalsukan, karena setiap transaksi ditandatangani secara kriptografi.
- Tidak bisa digunakan dari HP lain alias hanya perangkat kamu yang bisa login.
2. VIDA FaceToken: Login dengan Wajah Asli
FaceToken menggabungkan face recognition dan deteksi liveness, memastikan bahwa hanya wajah asli kamu yang bisa melakukan otentikasi, bukan bot, video, atau deepfake.
- Wajah kamu dibandingkan dengan data biometrik yang telah diverifikasi.
- Ada liveness detection pasif untuk memastikan wajah itu benar-benar “hidup”.
- Semua proses berjalan dalam hitungan detik, tanpa perlu ketik apapun.
Hasilnya? Login Tanpa password dan OTP. Dengan kombinasi PhoneToken dan FaceToken, login menjadi lebih cepat, anti-phishing, dan lebih praktis.
Nah, dalam dunia digital, yang penting bukan cuma data yang bocor hari ini, tapi apa yang bisa dilakukan orang jahat dengan data itu besok.
Cari tahu tentang VIDA Phone Token dan Face Token di sini!
