Membongkar Kegagalan Kebijakan Kata Sandi

Image credit: Magnific

Membongkar Kegagalan Kebijakan Kata Sandi – Kata sandi yang paling banyak digunakan secara global ternyata masih merupakan kombinasi yang sangat mudah ditebak: ‘123456.’

Berdasarkan laporan tahunan terbaru dari NordPass mengenai kata sandi yang terpapar dalam pelanggaran data di seluruh dunia.

Pilihan-pilihan klasik lainnya seperti ‘123456789’, ‘12345678’, ‘12345’, dan ‘admin’ tetap menunjukkan dominasinya tahun demi tahun.

Meskipun peringatan mengenai kebersihan kata sandi (password hygiene) yang buruk sering kali dianggap sebagai sekadar materi menakut-nakuti.

Kenyataan di lapangan membuktikan bahwa banyak platform besar masih belum menerapkan standar keamanan yang ketat.

Bahkan di peringatan Hari Kata Sandi Sedunia pada Mei 2026 ini, hasil pengujian menunjukkan bahwa situs-situs populer masih mengizinkan penggunaan rangkaian enam digit sederhana tersebut.

Baca juga: Botnet Ganas Serang Industri Game dan Perusahaan Teknologi

Kegagalan Menegakkan Kebijakan Keamanan

Sebuah pengujian dilakukan pada platform undangan daring populer, Evite, yang ternyata masih mengizinkan penggunaan ‘123456’ sebagai kata sandi.

Hal ini sangat ironis mengingat perusahaan tersebut pernah mengalami kebocoran data pada tahun 2019 yang memengaruhi lebih dari 100 juta orang.

Data pribadi pada undangan dan respons tamu kini berada dalam risiko besar hanya karena kebijakan kata sandi yang sangat lemah.

Kondisi serupa juga ditemukan pada layanan raksasa seperti Facebook dan X. Meskipun mereka mewajibkan tingkat kompleksitas tambahan, sistem mereka tetap meloloskan kata sandi sederhana seperti ‘1234567!’.

Walaupun Facebook memberikan saran untuk mencampur huruf besar-kecil dan menggunakan frasa panjang, kenyataan bahwa pola berurutan dengan satu tanda seru di akhir masih diizinkan menunjukkan adanya celah besar bagi skrip otomatis yang melakukan serangan brute-force secara masif.

Menariknya, platform dengan konten yang kurang sensitif seperti kamus daring justru sering kali menerapkan kebijakan yang lebih ketat, mewajibkan minimal delapan karakter dengan kombinasi angka, huruf, dan simbol.

Faktor Warisan dan Motivasi Industri

Ada beberapa faktor yang menyebabkan data kata sandi buruk ini terus muncul dalam laporan tahunan:

  1. Akun Dormant (Tidak Aktif): Banyak perusahaan yang telah berdiri lama tidak pernah menghapus akun pengguna yang tidak aktif. Ketika terjadi pelanggaran data, informasi akun lama dari era sebelum kebijakan kata sandi ketat diberlakukan ikut terekspos.
  2. Kepentingan Vendor: Publikasi data mengenai kata sandi lemah sering kali menguntungkan vendor pengelola kata sandi (password manager) yang menawarkan solusi berbasis langganan.
  3. Hambatan Pendaftaran: Perusahaan yang mengandalkan pendapatan dari iklan atau pengumpulan data pribadi cenderung menolak kebijakan keamanan yang ketat (seperti MFA wajib) karena dianggap dapat menghalangi calon pengguna baru untuk mendaftar.

Baca juga: Rumitnya Keamanan Siber ESET Punya Solusinya

Rekomendasi Pengamanan Akun

Sudah saatnya industri siber berhenti membicarakan masalah “kata sandi lemah” dan mulai mengambil tindakan tegas melalui regulasi dan teknologi.

Berikut adalah panduan mitigasi yang harus diterapkan untuk memutus siklus keamanan yang buruk ini:

  1. Jangan hanya mengandalkan kata sandi. Aktifkan MFA pada setiap akun daring yang Anda buat, terlepas dari seberapa “tidak penting” layanan tersebut bagi Anda.
  2. Manfaatkan alat pengelola kata sandi untuk menghasilkan dan menyimpan rangkaian karakter acak yang unik untuk setiap situs web. Jangan pernah menggunakan kembali (reuse) kata sandi yang sama.
  3. Bagi pengelola platform, terapkan aturan yang melarang penggunaan pola berurutan (seperti 123456) dan daftar kata sandi yang paling sering bocor secara global.
  4. Dukung dan gunakan teknologi passkeys yang menggunakan biometrik atau kunci keamanan fisik, yang secara struktural lebih aman daripada kata sandi tradisional.
  5. Belajar dari industri keuangan yang mewajibkan MFA melalui regulasi seperti PSD2, pemerintah perlu mendorong aturan serupa bagi industri lain untuk melindungi data pribadi warga negara secara layak.
  6. Secara berkala, lakukan audit pada layanan yang tidak lagi Anda gunakan dan hapus akun tersebut untuk meminimalkan jejak digital jika terjadi kebocoran data di masa depan.

Mengakhiri Era Kata Sandi Lemah

Selama lebih dari 30 tahun, pesan mengenai bahaya kata sandi lemah telah digaungkan setiap hari, namun pola ini tidak kunjung berubah selama platform masih memberikan opsi “mudah” bagi konsumen.

Solusi efektifnya sangat sederhana, mandat penggunaan kata sandi kompleks atau, lebih baik lagi, MFA wajib. Hanya dengan menstandarisasi langkah-langkah keamanan teknis yang kuat di seluruh industri, kita dapat benar-benar melindungi privasi pengguna dan mengakhiri diskusi tanpa ujung mengenai kerentanan kata sandi di internet modern.

 

 

Baca artikel lainnya: 

 

 

Sumber berita:

 

Prosperita IT News

Tags:

Related News

Iklan Google Palsu Incar Akun ManageWP

Iklan Google Palsu Incar Akun ManageWP

May 8, 2026 0
Thread Injection atau Phising Off The Inbox

Thread Injection atau Phising Off The Inbox

May 8, 2026 0

You may have missed

Membongkar Kegagalan Kebijakan Kata Sandi

Membongkar Kegagalan Kebijakan Kata Sandi

May 8, 2026 0
Iklan Google Palsu Incar Akun ManageWP

Iklan Google Palsu Incar Akun ManageWP

May 8, 2026 0
Thread Injection atau Phising Off The Inbox

Thread Injection atau Phising Off The Inbox

May 8, 2026 0
Eksploitasi Sandbox vm2 Bikin Geger

Eksploitasi Sandbox vm2 Bikin Geger

May 8, 2026 0
Plugin Pheno Pencuri OTP via Phone Link

Plugin Pheno Pencuri OTP via Phone Link

May 7, 2026 0
Teknik Baru yang Perlu Anda Waspadai

Teknik Baru yang Perlu Anda Waspadai

May 7, 2026 0