Belakangan ini media ramai memberitakan soal “16 miliar password yang bocor ke publik”. Bayangkan, 16 miliar password bocor artinya ada dua akun milik masing-masing orang yang bocor.
Password bocor bisa disalahgunakan oleh penipu untuk mengakses akun-akun digital kita. Atau bisa jadi digunakan untuk penipuan berantai.
Kebocoran 16 miliar password ini tidak terjadi satu kali dari satu perusahaan atau platform, melainkan kompilasi data bocor lama yang dikumpulkan menjadi satu. Artinya, password bocor sudah berlangsung lama dan melibatkan banyak korban.
Password bocor benar-benar sebuah ancaman. Bahkan kita perlu meninggalkan password untuk keperluan login. Bagaimana kita menggunakan cara login baru untuk menghindari jadi korban kebocoran password? Berikut ulasannya.
Bukan Satu Kali Kasus Kebocoran
Cybernews, platform berita siber yang menyebarkan berita ini dengan headline yang menggemparkan. Namun faktanya, 16 miliar password ini merupakan kompilasi dari kasus-kasus kebocoran sebelumnya. Tim peneliti Cybernews menemukan 30 kompilasi data berbeda, masing-masing berisi 10 juta hingga 3,5 miliar data.
Adapun kompilasi data ini didapatkan dari Infostealer malware, data-data dari credential sutffing, dan kompilasi lainnya. Nah, yang bocor sebenarnya bukan cuma password tapi juga ada URL, username, dan email. Data-data ini disebut dengan kredensial login. Ini adalah struktur standar hasil pencurian oleh malware.
Bahkan, beberapa kumpulan data menyertakan informasi sensitif seperti cookie dan token sesi dapat melewati otentikasi multi-faktor (MFA).
"Data ini jadi sangat berbahaya karena berisi campuran log lama dan baru dari malware pencuri data, termasuk token, cookie, dan informasi tambahan. Kalau perusahaan belum pakai autentikasi dua faktor atau masih sembarangan dalam mengelola password, risikonya makin besar.” Peneliti Cybernews memberi pernyataan.
Nah, kebocoran kredensial ini tentu saja menjadi celah empuk bagi berbagai serangan siber, termasuk phishing, pengambilalihan akun, intrusi ransomware, dan serangan business email compromise (BEC).
Kebocoran password bukan sekadar masalah privasi, ini bisa jadi pintu masuk bagi kejahatan siber yang lebih serius. Berikut beberapa ancaman yang bisa muncul:
Credential stuffing adalah ketika hacker mencoba kombinasi username dan password yang telah mereka curi.
Contohnya, kamu pernah daftar di situs e-commerce A dengan email dan password yang sama seperti akun email utama kamu. Kalau data dari situs A bocor, hacker bisa otomatis mencoba kredensial itu untuk masuk ke akun email kamu, dan dari situ, mereka bisa mengakses ke semua akunmu.
Inilah pentingnya menggunakan password yang berbeda untuk masing-masing akun digital yang kamu miliki. Pertanyaannya, sudahkah kamu melakukan itu? Sebagian besar dari kita malah menggunakan password yang sama untuk semua akun agar mudah mengingatnya. Benar, kan?
Account takeover atau pembajakan akun terjadi ketika akunmu berhasil diambil sebagai akibat dari kredensial yang dicuri. Kalau akunmu sudah diambil, maka kamu tidak bisa login lagi. Kamu pun kehilangan akses ke akunmu.
Di tingkat perusahaan, kredensial yang bocor bisa digunakan untuk menyusup ke sistem internal dan menyebarkan ransomware, atau meniru identitas eksekutif perusahaan untuk menipu divisi keuangan.
Contoh kasusnya, akun email direktur keuangan berhasil diambil alih, lalu digunakan untuk menginstruksikan transfer dana ke rekening palsu.
Yang paling berbahaya: beberapa data log yang bocor menyertakan cookie dan token sesi, yang dalam kondisi tertentu bisa digunakan untuk login tanpa harus melewati MFA.
Artinya, meskipun akunmu memakai OTP atau otentikasi dua langkah, kalau token sesimu bocor, hacker bisa masuk tanpa harus input OTP.
Kunjungi situs HaveIBeenPwned.com atau Cybernews Leak Checker untuk mengecek apakah email/password kamu termasuk dalam data yang bocor.
Kalau kamu masih pakai satu password untuk semua akun, saatnya berubah. Gunakan password yang unik dan kuat untuk setiap akun. Gunakan password manager kalau perlu.
Dengan MFA, walaupun password kamu bocor, akunmu tetap aman karena ada lapisan keamanan tambahan (misalnya OTP lewat SMS atau aplikasi authenticator).
Sekarang sudah banyak platform yang mendukung login tanpa password, yaitu menggunakan passkey. Passkey adalah teknologi pengganti password yang menggunakan kriptografi kunci publik, sehingga jauh lebih aman.
Passkey itu seperti kunci digital pribadi yang hanya ada di perangkat kamu. Nah, kamu nggak perlu ingat atau ketik apapun. Cukup pakai sidik jari atau wajah lalu bisa langsung masuk dengan aman.
Passkey adalah hasil pengembangan dari FIDO Alliance (Fast Identity Online) sebuah organisasi global yang dibentuk pada Juli 2012 oleh para pemimpin industri teknologi, termasuk Google, Apple, Microsoft, dan lainnya.
Tujuan utama mereka adalah menghilangkan kelemahan sistem otentikasi tradisional, seperti password yang mudah ditebak, bisa digunakan ulang, dan rawan dicuri.
Google, Apple, dan sekarang Meta (Facebook & Instagram) juga sudah mulai mendukung login dengan passkey. Jadi kalau ada pilihan “Login dengan passkey” gunakanlah!
Kebocoran 16 miliar password di internet membuktikan satu hal: password sudah usang. Bukan cuma mudah ditebak, password juga mudah dicuri lewat phishing, malware, atau serangan rekayasa sosial (social engineering).
Kalau perusahaan masih menggunakan sistem login berbasis password, itu artinya:
Perusahaan yang ingin dipercaya pelanggan, harus mengganti cara login. Passkey menjadi pilihan karena cara ini tidak meminta pengguna memasukkan data apapun. Passkey cukup menggunakan “kunci digital” yang tertanam di HP milik pengguna.
VIDA sebagai penyedia otentikasi digital bersertifikasi di Indonesia menawarkan dua solusi otentikasi yang memiliki backbone yang sama dengan passkey, namun lebih cocok untuk dunia finansial dan regulasi lokal. Berikut cara otentikasi yang ditawarkan VIDA:
Alih-alih OTP atau password, PhoneToken mengikat akun kamu ke perangkat tertentu menggunakan teknologi Public Key Infrastructure (PKI). Saat kamu login, sistem akan memverifikasi apakah perangkat yang kamu pakai benar-benar terdaftar dan terpercaya.
FaceToken menggabungkan face recognition dan deteksi liveness, memastikan bahwa hanya wajah asli kamu yang bisa melakukan otentikasi, bukan bot, video, atau deepfake.
Hasilnya? Login Tanpa password dan OTP. Dengan kombinasi PhoneToken dan FaceToken, login menjadi lebih cepat, anti-phishing, dan lebih praktis.
Nah, dalam dunia digital, yang penting bukan cuma data yang bocor hari ini, tapi apa yang bisa dilakukan orang jahat dengan data itu besok.
Cari tahu tentang VIDA Phone Token dan Face Token di sini!