- January 19, 2019
- Posted by: admin
- Category: Berita
Foto: Internet
Jakarta – Situs https://haveibeenpwned.com/ membantu mengidentifikasi apakah email kalian masuk dalam 773 juta email yang bocor. Hanya saja, banyak netizen khawatir situs tersebut malah mengumpulkan data.
Untuk memperjelasnya, detikINET menghubungi ahli keamanan cyber dari Vaksincom, Alfons Tanujaya. Dia mengatakan, situs pengecekan Have I been Pwned sebenarnya hanya berisi data alamat email dan keterangan apakah email tersebut masuk dalam data kredensial yang pernah bocor atau tidak.
“Jadi isinya hanya database. Kalau kita memasukkan alamat email, jika email kita termasuk dalam database tersebut, maka akan muncul peringatan bahwa email tersebut pernah bocor,” kata Alfons.
Demikian pula situs untuk mengecek password, situs tersebut berisi rekomendasi password yang digunakan dan tidak ada hubungan dengan akun atau alamat email.
“Mereka mengekstrak data password tersebut dan dikompilasikan menjadi database sehingga bisa memberikan penilaian berapa kali atau berapa sering password tersebut digunakan,” jelas Alfons.
Dia memperkirakan, mayoritas email yang aktif akan masuk dalam daftar. Karena beberapa layanan besar seperti Yahoo dan LinkedIn pernah mengalami kebocoran besar.
“Kalau tidak masuk, menurut perkiraan saya kemungkinan karena akun tersebut jarang digunakan sebagai kredensial akun,” katanya.
Alfons kemudian mencontohkan alamat email billgates@microsoft.com. Identifikasi situs menunjukkan email ini mengalami kebocoran data di 44 situs dan data kredensial tersebut dibagikan 8 kali di berbagai situs pembagian data kredensial.
Tapi ini tidak menunjukkan kalau pemilik akun salah, karena ini adalah murni kesalahan pengelola layanan seperti Yahoo dan LinkedIn yang berhasil dieksploitasi. Pun begitu, kita perlu menyadari risiko kebocoran kredensial yang utama.
“Jika kredensial yang sama digunakan berulang kali pada berbagai situs, itu sama saja dengan bunuh diri karena artinya akun lain juga akan berhasil diretas,” ujar Alfons.
“Karena itu, disiplin untuk tidak menggunakan password yang sama pada berbagai layanan menjadi keharusan,” tegasnya.
Dia menambahkan, sebaiknya kita mengaktifkan standar pengamanan Two Factor Authentication (TFA) atau One Time Password (OTP).
“Sekalipun peretas mengetahui kredensial, mereka tidak akan bisa login maupun melakukan transaksi penting karena tidak mengetahui OTP,” pungkasnya. (afr/rns)