Setelah pengungkapan bahwa Badan Keamanan Nasional mengambil data online kami, NPR menayangkan serial yang menjelaskan “betapa jelas gambar digital orang pada umumnya – dan betapa mudahnya bagi orang lain untuk melihatnya”.
Ini bukan tahun 2006, jadi kami tidak akan berbicara tentang pentingnya menyembunyikan foto samar dari media sosial. (Tanyakan saja pada Anthony Weiner, jika Anda belum lupa namanya.)
Sayangnya, kekhawatiran hari ini tentang informasi pribadi di Web jauh lebih dalam daripada calon pemberi kerja yang melihat foto lama di Facebook.
Karena kita semakin sering menggunakan perbankan online dan layanan berbasis cloud seperti Gmail dan Dropbox tidak hanya untuk mengatur hidup kita, tetapi juga mengarsipkannya, kita harus mengandalkan protokol keamanan layanan ini untuk menjauhkan kehidupan digital kita dari mata-mata, baik itu pemerintah , pencuri identitas, atau kekasih yang cemburu.
Untuk saat ini, langkah-langkah keamanan di situs-situs ini berfungsi hampir sepanjang waktu. Namun baru-baru ini kami mengetahui bahwa teman-teman kami di NSA telah mulai mengelak dari metode enkripsi standar – situs algoritme pengacakan digital digunakan untuk melindungi informasi sensitif seperti kata sandi dan data perbankan kami. Dan jika NSA bisa melakukannya, peretas juga bisa.
Akun email Anda adalah tautan terlemah
Katakanlah saya seorang peretas yang ingin mentransfer uang dari rekening giro Anda ke rekening saya. Di mana saya harus memulai? Situs web bank Anda?
Mungkin tidak.
Dari semua layanan digital yang kami gunakan, situs web bank kami dianggap paling aman, karena alasan yang jelas. Beberapa upaya login yang gagal di situs Web perbankan biasanya akan mengunci Anda, memerlukan panggilan ke layanan pelanggan untuk membuktikan identitas Anda dengan informasi seperti nomor Jaminan Sosial dan tanggal lahir Anda. Sebagai seorang pencuri, jika saya sudah memiliki informasi ini, saya lebih baik membuka akun kredit baru atas nama Anda daripada mencuri beberapa ratus dolar dari akun yang sudah ada.
Tapi seperti yang ditunjukkan NPR, jika saya hanya ingin mendapatkan akses ke akun email Anda, tiba-tiba saya mendapatkan lebih dari sekadar mengintip rencana akhir pekan Anda dan menyimpan pertukaran dengan ongkos. Mungkin saya akan belajar:
- Nama bank Anda
- Alamat dan tanggal lahir Anda
- Nama teman dan keluarga (umpan tebak kata sandi yang bagus)
Jika Anda tidak berhati-hati, mungkin juga saya akan menemukan:
- Nomor jaminan sosial Anda
- Perutean rekening bank dan nomor rekening
- Kata sandi akun
Plus, pikirkan berapa banyak situs Web yang memungkinkan Anda mengatur ulang kata sandi hanya dengan mengirim email ke akun Anda? Bahkan beberapa kartu kredit akan melakukan ini jika Anda juga memberikan beberapa informasi pengenal lainnya seperti DOB atau sosial Anda. Dan coba tebak? Saya mendapatkannya dari email Anda.
Cara mengunci perbankan online Anda
Pertama mari kita nyatakan yang sudah jelas:
1. Jangan membuat kata sandi yang mudah ditebak (tanpa nama keluarga) dan ubahlah setiap beberapa bulan.
2. Pilih kata sandi yang kuat.
Phil: Kata sandi Anda omong kosong1?
Tuan Chow: Yah, dulu hanya omong kosong, tapi sekarang mereka membuatmu menambahkan nomor!
Sebagian besar situs Web yang kuat akan tetap membutuhkan ini.
3. Pilih kata sandi unik untuk setiap akun online yang Anda gunakan.
Ini sangat menyakitkan, tetapi setidaknya pilih kata sandi unik untuk akun sensitif seperti bank. Anda mungkin pernah mendengar cerita tentang peretas yang mendapatkan daftar login dan kata sandi dari situs blog. Mengapa mereka peduli dengan banyak kata sandi dari akun Gawker? Mereka tidak; mereka akan mencoba semuanya di Chase.com dan BankofAmerica.com. Dan banyak yang akan berhasil.
Sebagai seorang blogger, saya hidup di dunia digital dan memiliki lebih dari 100 login untuk diingat. (Tidak akan terjadi.) Jadi beberapa tahun yang lalu saya mulai menggunakan LastPass, add-on browser freemium yang menyimpan kata sandi.
LastPass melindungi kata sandi Anda dengan kata sandi utama terenkripsi yang, jika terlupa, tidak dapat dipulihkan. Apakah LastPass seaman mengingat setiap login di kepala Anda? Tidak, tetapi terkadang kita harus membuat konsesi antara keamanan dan kepraktisan.
Pertimbangkan langkah-langkah di atas seminimal mungkin. Jika Anda setidaknya tidak mengambil tindakan pencegahan ini dan menemukan rekening bank Anda diretas, ya, itu salah Anda sendiri. Tapi saya telah mengambil beberapa langkah lagi.
4. Buat nama pengguna yang tidak dapat diidentifikasi untuk akun perbankan.
Jika Anda menggunakan akun email secara profesional, hari-hari menjadi [email protected] hilang. Sebagian besar dari kita menggunakan beberapa kombinasi inisial dan nama kita di akun email kita.
Masalahnya adalah – dengan Google misalnya – alamat email kami menjadi login kami untuk layanan lain yang tak terhitung jumlahnya. Jika Anda memiliki nama yang tidak biasa seperti saya, mudah ditebak bahwa pemilik login mungkin milik saya.
Sepertinya saya tidak akan mengubah nama pengguna saya menjadi [email protected], tapi yang bisa saya lakukan adalah berhenti menggunakan dweliver untuk akun keuangan. Alih-alih, saya membuat nama pengguna unik untuk akun ini yang tidak menyertakan nama saya (sehingga tidak dapat dikaitkan kembali dengan saya dengan mudah). Seringkali, login saya berisi angka dan huruf sehingga lebih terlihat seperti kata sandi.
Sekali lagi, LastPass berguna untuk mengingat ini, tetapi saya tidak membuat login terlalu rumit sehingga saya tidak akan mengingatnya – tujuan utamanya adalah untuk menghapus informasi pengenal pribadi (nama saya).
5. Gunakan verifikasi dua langkah untuk akun-akun penting.
Sebagian besar Situs Web menggunakan satu langkah – nama pengguna dan kata sandi – untuk mengautentikasi bahwa Anda sebenarnya adalah Anda. Masalah dengan kata sandi, tentu saja, siapa saja yang mengetahui kata sandi dapat menggunakannya.
Inilah sebabnya mengapa banyak situs mulai menawarkan verifikasi langkah (juga dikenal sebagai autentikasi dua langkah). Dengan verifikasi dua langkah, saat masuk ke akun dari komputer baru (atau setelah menghapus kuki peramban), Anda harus memasukkan nama pengguna dan sandi serta kode keamanan sekali pakai yang unik.
Situs Web secara otomatis menghasilkan kode keamanan dan memberikannya kepada Anda dalam beberapa cara: Anda dapat menerimanya melalui panggilan telepon atau pesan teks atau — dengan beberapa situs — Anda dapat mengunduh aplikasi yang menghasilkan kode tersebut.
Kelemahan dari verifikasi dua langkah adalah tanpa ponsel, Anda tidak akan bisa masuk. Tapi itulah intinya: Seorang peretas di seluruh dunia tidak akan memiliki ponsel Anda.
Dan karena Anda hanya perlu menggunakan verifikasi dua langkah saat pertama kali masuk, biasanya ini bukan masalah besar. (Ini juga merupakan pengingat yang baik bahwa masuk ke akun sensitif dari komputer publik adalah praktik yang tidak pasti.)
Saat ini saya menggunakan verifikasi dua langkah dengan kartu kredit Chase, Dropbox, dan Google saya. Jika Anda menggunakan Gmail dan cenderung mengarsipkan sebagian besar surat Anda (bersalah di sini), saya sarankan menyiapkan verifikasi dua langkah dengan akun Google Anda: begini caranya.
6. Dapatkan data sensitif keluar email Anda.
Oke begini masalahnya: Saat saya menulis ini, saya mencari melalui 8+ GB email di arsip Gmail saya untuk memastikan saya tidak meninggalkan Sosial saya di lampiran apa pun. Mungkin saja ada pengembalian pajak lama di suatu tempat. Dan itu sangat buruk.
Email tidak aman. Bahkan jika Anda memilih kata sandi yang kuat dan menggunakan verifikasi dua langkah, email standar tidak dienkripsi saat Anda mengirimkannya, sehingga orang dapat mengambilnya dari kedua sisi (seperti dengan mengendus koneksi WiFi Anda).
Biasanya, setidaknya ada tiga hal yang tidak akan saya kirimkan melalui email.
- Nomor Jaminan Sosial
- Nomor rekening bank
- Nomor kartu kredit
Untuk ini, formulir Web terenkripsi, telepon, faks, atau surat lama yang bagus adalah pilihan yang lebih baik.
Tapi inilah solusinya jika Anda bersahabat dengan penerima: Kirim setengah dari nomor tersebut melalui email (hapus setelah tentu saja) dan kirim setengah lainnya melalui pesan teks. Siapa pun yang mencegat salah satu pesan seharusnya tidak memiliki cukup data untuk menimbulkan masalah.
7. Jika Anda menggunakan mobile banking, setel ponsel Anda untuk dihapus setelah terlalu banyak upaya login yang gagal.
Aplikasi perbankan seluler memang nyaman, tetapi aplikasi tersebut menimbulkan potensi lubang lain dalam keamanan perbankan online. Jika Anda menggunakan mobile banking, letakkan kata sandi di layar kunci Anda.
Sekali lagi, calon pencuri perlu mengetahui kata sandi perbankan Anda untuk membobol aplikasi bank Anda, tetapi hanya dengan mengangkat telepon Anda, dia akan segera mengetahui bank mana yang Anda gunakan. Ini bukan seluruh teka-teki, tapi ini bagian pertama yang penting.
Sebagai tindakan pencegahan ekstra, sebagian besar ponsel akan menghapus sendiri setelah sejumlah akun masuk yang gagal. Bukan ide yang buruk untuk menggunakan fitur ini.
8. Buat akun email terpisah untuk notifikasi terkait perbankan.
Terakhir, saya tidak lagi menerima laporan bank dan kartu kredit di akun email utama saya. Saya membuat akun email gratis lainnya (dengan nama pengguna yang tidak dapat diidentifikasi) dan memilih untuk menerima komunikasi perbankan di sana.
Meskipun laporan bank seharusnya tidak mengungkapkan nomor rekening, itu memang menunjukkan di mana Anda bank. Dan meskipun seseorang masih dapat meretas akun ini, alamatnya tidak publik dan tidak terkait dengan saya, membuatnya jauh lebih sulit untuk menggunakan akun itu untuk mencuri kata sandi.
Mengapa melalui kesulitan?
Mengambil langkah-langkah ini untuk memperkuat keamanan akun perbankan online Anda membutuhkan waktu lebih dari satu jam. Ya, itu sedikit memperumit kehidupan digital saya. Namun saat saya memasukkan lebih banyak informasi pribadi ke cloud sementara secara bersamaan potensi ancaman terhadap privasi tumbuh secara eksponensial, itu adalah harga kecil yang harus dibayar untuk tidur sedikit lebih baik.
