Mengelola sandi online
Saat mengelola keamanan online, banyak pengguna merasa kewalahan. Mark Risher dan Stephan Micklitz dari Google membahas pentingnya mempertimbangkan hal yang dirasakan pengguna saat mengembangkan prosedur keamanan
Risher, Anda adalah Director of Product Management di Google yang bekerja menangani keamanan internet. Apakah Anda pernah menjadi korban scam online?
Mark Risher: Saya lupa contoh konkretnya, tetapi sepertinya saya pernah mengalaminya. Saya membuat kesalahan saat mengakses web sama seperti orang lain. Misalnya, baru-baru ini saya memasukkan sandi Google saya di situs yang salah. Untungnya, saya sudah menginstal plugin Notifikasi Sandi Chrome, yang menunjukkan kesalahan saya. Tentu saya langsung mengganti sandi saya.
Stephan Micklitz, Director of Engineering di tim Privasi dan Keamanan Google: Itu sangat manusiawi. Ketika kita mengingat sebuah sandi, kita bisa saja langsung mengetikkannya tanpa memperhatikan halaman tempat kita memasukkannya.
Risher: Kami bisa saja menghapus penggunaan sandi secara menyeluruh, tetapi sayangnya tidak sesederhana itu.
"Banyak prosedur keamanan terjadi di balik layar."
Mark Risher
Apa sisi negatif dari sandi?
Risher: Sandi memiliki banyak kelemahan: Sandi mudah dicuri dan kita mudah melupakannya. Selain itu, pengelolaan sandi dapat menjadi hal yang merepotkan. Banyak pengguna percaya bahwa sandi harus dibuat sepanjang dan serumit mungkin, meskipun hal ini sebenarnya justru meningkatkan risiko keamanan. Pengguna merasa aman saat menggunakan sandi yang rumit untuk beberapa akun, namun hal ini dapat membuat keamanan mereka semakin rentan.
Micklitz: Semakin jarang pengguna memasukkan sandi, semakin baik bagi mereka. Itulah mengapa Anda seharusnya tidak login dan logout berulang kali ke akun Anda. Seiring waktu, hal ini dapat menyebabkan pengguna tidak memperhatikan halaman web yang sedang mereka buka, sehingga sandi jadi semakin mudah dicuri. Oleh karena itu, kami menyarankan pengguna untuk tetap login.
Situs bank saya membuat saya logout secara otomatis jika tidak aktif selama beberapa menit.
Micklitz: Sayangnya, beberapa perusahaan masih mengikuti aturan yang sudah ketinggalan zaman. Saran agar logout secara rutin berasal dari masa ketika banyak orang terhubung ke internet melalui warnet atau berbagi komputer dengan orang lain. Riset kami menunjukkan bahwa semakin sering pengguna memasukkan sandi, semakin besar kemungkinan mereka menjadi korban serangan siber. Oleh karena itu, agar lebih aman, Anda cukup mengaktifkan kunci layar di ponsel atau komputer Anda.
Risher: Benar. Sayangnya, beredar banyak saran yang salah atau tidak praktis, sehingga membingungkan banyak pengguna. Dalam skenario terburuk, pengguna pada akhirnya merasakan ketidakpastian sehingga menyerah dengan keadaan: “Jika melindungi diri harus sesulit ini, mungkin lebih baik saya berhenti berusaha." Hal ini seperti membiarkan pintu depan rumah terbuka karena Anda tahu ada pencuri berkeliaran di sekitar.
Mark Risher menjabat sebagai Director of Product Management untuk divisi keamanan dan privasi di Google. Pada tahun 2010, dia mendirikan Imperium, yakni perusahaan start-up keamanan siber yang diakuisisi oleh Google pada tahun 2014. Sejak saat itu, Risher telah bekerja di kantor pusat Google di Mountain View, California. Di sebelah kanan: Kunci keamanan yang digunakan di Program Perlindungan Lanjutan. Kunci ini tersedia dengan harga terjangkau dan dapat digunakan di berbagai situs.
Bagaimana Google akan memastikan keamanan pengguna jika sandi tidak lagi digunakan?
Risher: Kami sudah memiliki banyak prosedur keamanan tambahan yang berjalan di balik layar. Seorang peretas bisa saja mengetahui sandi dan nomor ponsel Anda, tetapi kami masih dapat menjamin 99,9 persen keamanan untuk Akun Google Anda. Misalnya, kami memeriksa dari perangkat atau negara mana seseorang melakukan login. Jika seseorang mencoba login ke akun Anda beberapa kali dengan sandi yang salah secara berturut-turut, sistem keamanan kami akan mendeteksinya sebagai aktivitas yang mencurigakan.
Micklitz: Kami juga telah mengembangkan Pemeriksaan Keamanan, yang memungkinkan pengguna mengelola setelan keamanan pribadi mereka di Akun Google langkah demi langkah. Selain itu, dengan Program Perlindungan Lanjutan, kami dapat menjaga keamanan pengguna dengan lebih baik.
Apa ide yang mendasari program ini?
Micklitz: Awalnya, program ini dikembangkan untuk tokoh-tokoh seperti politisi, CEO, atau jurnalis yang berpotensi menjadi target tindak kriminal. Namun, program ini kini tersedia bagi siapa saja yang menginginkan perlindungan online tambahan. Hanya pengguna yang memiliki dongle USB atau Bluetooth khusus yang dapat mengakses Akun Google yang dilindungi miliknya.
Risher: Pengalaman memberi tahu kami betapa efektifnya sistem ini, karena semua karyawan Google menggunakan kunci keamanan untuk menjaga keamanan akun perusahaan. Sejak prosedur keamanan ini diperkenalkan, kami belum pernah mengalami kasus phishing yang terjadi melalui konfirmasi sandi. Token ini meningkatkan keamanan Akun Google secara signifikan, karena meskipun penyerang mengetahui sandi, mereka tidak dapat mengakses akun tanpa menggunakan token. Umumnya, akun online dapat diretas dari mana saja di seluruh dunia. Hal ini tidak berlaku untuk akun yang dilindungi dengan token keamanan fisik.
Micklitz: Sekadar informasi, token keamanan ini dapat digunakan untuk banyak situs, tidak hanya untuk Program Perlindungan Lanjutan Google. Anda dapat membelinya dari kami atau penyedia lain dengan harga terjangkau. Semua detailnya dapat ditemukan di g.co/advancedprotection.
"Pengguna terkadang sulit menilai risiko yang ada di internet."
Stephan Micklitz
Menurut Anda, apa bahaya terbesar yang mengintai di internet saat ini?
Risher: Salah satu masalahnya adalah ada banyak daftar pengguna dan sandi yang tersebar di web. Rekan kami Tadek Pietraszek dan timnya menghabiskan waktu enam minggu menjelajahi internet dan menemukan ada 3,5 miliar kombinasi nama pengguna dan sandi. Ini bukanlah hasil retasan dari Akun Google, tetapi merupakan data yang dicuri dari penyedia layanan lainnya. Namun, karena banyak pengguna menggunakan sandi yang sama untuk beberapa akun, daftar tersebut juga menimbulkan masalah bagi kami.
Micklitz: Saya melihat spear phishing sebagai masalah besar. Kasus ini terjadi saat penyerang dengan cerdik membuat pesan yang dipersonalisasi sehingga sulit bagi korban untuk mengenalinya sebagai penipuan. Kami melihat para peretas semakin sering menggunakan metode ini, dan mereka berhasil.
Risher: Saya setuju dengan Stephan. Ditambah lagi, spear phishing tidak membutuhkan waktu yang lama seperti yang kita kira. Hanya butuh waktu beberapa menit untuk membuat email spam yang dipersonalisasi. Peretas dapat menggunakan informasi yang dipublikasikan oleh pengguna tentang diri mereka di internet. Hal ini merupakan masalah di bisnis mata uang kripto, misalnya: Pengguna yang memberitahukan bahwa mereka memiliki 10.000 bitcoin secara publik seharusnya tidak terkejut jika informasi ini menarik perhatian para penjahat siber.
Micklitz: Ini seperti seolah-olah saya berdiri di tengah-tengah keramaian sambil memegang megafon, kemudian mengumumkan jumlah saldo rekening saya. Siapa coba yang ingin melakukannya? Tak seorang pun. Namun, pengguna terkadang sulit menilai risiko yang ada di internet.
Apakah email spam biasa masih menjadi masalah?
Risher: Penautan perangkat dan layanan merupakan tantangan besar bagi kami. Orang-orang tidak hanya menggunakan laptop dan smartphone untuk terhubung ke internet, mereka juga menggunakan TV, smartwatch, dan smart speaker. Berbagai aplikasi berjalan di semua perangkat ini, sehingga peretas memiliki banyak potensi titik serangan. Selain itu, karena banyaknya perangkat yang kini saling terhubung, peretas dapat menggunakan satu perangkat untuk mencoba mengakses informasi yang disimpan di perangkat lainnya. Jadi, kami harus menjawab pertanyaan yang muncul: Bagaimana kami bisa menjamin keamanan pengguna terlepas dari banyaknya kebiasaan penggunaan yang baru?
Micklitz: Kami memulainya dengan menanyai diri kami sendiri data mana yang benar-benar dibutuhkan untuk setiap layanan, serta data mana yang dipertukarkan antar-layanan.
Stephan Micklitz
menjabat sebagai Director of Engineering di tim Privasi dan Keamanan Google. Dia menyelesaikan studinya dalam bidang ilmu komputer di Technical University of Munich dan telah bekerja di kantor Google Munich sejak tahun 2007 akhir. Micklitz tergabung dalam dewan inisiatif keamanan internet Jerman, Deutschland sicher im Netz (DsiN).
Bagaimana cara Anda menggunakan kecerdasan buatan untuk membantu melindungi pengguna?
Micklitz: Saat ini Google telah menggunakan kecerdasan buatan dalam waktu cukup lama.
Risher: Teknologi ini diintegrasikan ke dalam layanan email kami, Gmail, sejak awal diluncurkan. Google bahkan mengembangkan library machine learning-nya sendiri yang disebut TensorFlow, yang memudahkan pekerjaan para programmer yang menangani machine learning. Gmail mendapatkan manfaat khusus dari Tensorflow, karena teknologi ini sangat berguna untuk mengenali pola yang biasanya muncul.
Bagaimana cara kerja pengenalan pola ini?
Risher: Katakanlah kami mendapati aktivitas yang mencurigakan di antara beberapa pengguna yang tidak dapat kami kategorikan. Machine learning otonom dapat membandingkan peristiwa semacam ini. Selain itu, dalam skenario kasus terbaik, bentuk-bentuk penipuan baru bahkan dapat dideteksi sebelum tersebar secara online.
Micklitz: Namun, teknologi ini memiliki keterbatasan: Kecerdasan mesin hanya akan bermanfaat jika pengguna tahu cara menggunakannya. Jika saya memberi mesin data yang salah atau parsial, pola yang dikenalinya juga akan salah atau parsial. Terlepas dari antusiasme seputar kecerdasan buatan, efektivitasnya selalu bergantung pada orang yang menggunakannya. Semua tergantung pengguna apakah akan melatih mesin dengan data berkualitas tinggi dan memeriksa seperti apa hasilnya.
Risher: Saat saya bekerja untuk penyedia email lain, saya pernah menerima pesan dari karyawan bank di Lagos. Pada saat itu, beredar banyak sekali kasus email penipuan, yang diduga berasal dari Nigeria. Orang tersebut mengeluh bahwa emailnya selalu masuk ke folder spam penerima, meskipun dia bekerja untuk bank ternama. Hal ini merupakan contoh umum dari generalisasi yang salah dalam pengenalan pola karena informasi yang tidak memadai. Kami dapat membantu mengatasi masalah ini dengan mengubah algoritmenya.
Foto oleh: Conny Mirbach
Kemajuan dalam pengamanan cyber
Pelajari lebih lanjut bagaimana kami melindungi lebih banyak orang di internet dibanding penyedia teknologi lain.
Pelajari lebih lanjut