Bertahun-tahun saya menunda untuk membenahi aspek keamanan dari akun-akun digital saya. Rekayasa kasus yang menimpa Ravio Patra bukan saja meningkatkan kesadaran saya soal keamanan digital, tapi juga memaksa saya untuk segera berbenah.
Lewat berbagai artikel dan video, dan dengan pengetahuan seadanya, saya mempelajari cara meningkatkan keamanan digital pribadi. Saya kemudian menuliskan beberapa prinsip yang saya terapkan dan membagikannya ke teman-teman.
Tapi, kenapa tidak saya bagikan ke lebih banyak orang saja?
Maka catatan berikut adalah hasil tulis ulang dari apa yang saya sudah edarkan sebelumnya ke lingkaran terdekat. Tapi perlu dipahami bahwa catatan ini ditulis oleh seorang awam yang tidak memiliki keahlian pada bidang keamanan digital. Saya berharap catatan ini bisa dikoreksi dan ditambahkan oleh siapa pun yang berminat (silakan tulis di kolom komentar, ya).
1. Bedakan akun email seturut fungsinya
Jangan memusatkan seluruh aktivitas daring pada satu akun email. Kebiasaan kebanyakan orang, termasuk saya, adalah memiliki satu akun Gmail di mana akun tersebut dipakai untuk banyak fungsi (korespondensi, mendaftar media sosial, langganan newsletter, layanan perbankan, dan sebagainya).
Karena itu, mulailah bikin beberapa akun email dengan fungsinya masing-masing. Ini untuk meminimalisir dampak yang ditimbulkan apabila akun email kita dibajak: tidak merembet ke semua hal karena kita telah memecah konsentrasi di satu akun email.
2. Bikin akun email di perusahaan non-Google dan sejenisnya
Kita sebaiknya punya akun email pada perusahaan yang lebih aman seperti protonmail.com, tutanota.com, atau hushmail.com. Selain karena faktor keamanannya, akun email non-mainstream ini juga bisa mengecoh orang yang ingin meretas, karena mengira email utama kita di Gmail, Yahoo, Hotmail, dan semacamnya.
Kemudian, akun email ini sebaiknya difungsikan sebagai “email tersembunyi”; tidak diketahui orang dan hanya untuk kepentingan pribadi. Karena itu, akun email baru ini bisa menjadi recovery email buat akun email kita yang bersifat publik. Pada akun baru ini sebaiknya kita tidak membuat alamat yang bisa ditebak seperti “nama depan + nama belakang@protonmail.com”. Alamat seperti ini lebih aman: “chayank.justinbieber_virgoboy@tutanota.com”.
3. Gunakan password manager
Password manager berguna untuk membantu kita mengingat beragam password yang berbeda untuk tiap akun. Jadi kita cukup mengingat username dan password dari password manager kita untuk bisa mengakses semua akun digital yang disimpan di melaluinya.
Beberapa password manager yang bisa digunakan ada Bitwarden, Lastpass, Keepass, atau 1Password. Saya tidak memakai password manager bawaan yang ada di Chrome sebab, pertama, saya tidak suka memusatkan semua hal di Google; dan kedua, saya berpikir bahwa perusahaan yang jualan utamanya adalah soal keamanan pasti punya perhatian lebih tinggi untuk terus memperbaharui produknya.
Meski begitu, beberapa orang tidak sepenuhnya percaya dengan password manager, dan mereka lebih mengandalkan ingatan mereka untuk menghafal berbagai password.
4. Periksa dan benahi alamat email yang dipakai untuk recovery
Akun kita di Twitter, Facebook, Tokopedia, Gojek, dan lainnya meminta dihubungkan dengan alamat email aktif. Alamat email tersebut akan diperlukan ketika kita lupa dengan password Twitter, Facebook, dan lainnya.
Sekarang, periksalah ke alamat email mana tiap akun Anda disambungkan. Saya sendiri dulunya menjadikan alamat Gmail saya sebagai recovery email untuk beragam akun lainnya. Apa yang saya lakukan ini tidak aman, karena menjadikan email publik saya sebagai pusat dari semesta akun digital saya.
Karena itu, putuskanlah sambungan akun Instagram, PayPal, atau Slack Anda dari akun email yang sekarang, dan pindahkan sambungannya ke akun email baru yang sudah dibahas di poin 2 di atas.
5. Ubah password dan jangan gunakan lebih dari satu kali
Ketika mengubahnya, janganlah memakai password yang mudah ditebak. Tips dari Edward Snowden ini bisa disimak. Jangan gunakan password (satu kata), melainkan passphrase (frasa). Jangan pakai password yang berkaitan dengan diri kita, misalnya tanggal lahir, nama anak, klub bola favorit, dan lainnya. Kalau Anda tidak masalah menggunakan password manager, Anda bisa menggunakan password generator yang disediakan, jadi Anda tidak perlu pusing memikirkan password apa yang hendak dipakai di setiap akun.
6. Gunakan 2-step verification via aplikasi, bukan SMS
Dengan menggunakan 2-step verification, akun kita tidak hanya membutuhkan password, tapi juga kode yang lain. Biasanya, banyak orang menerapkan 2-step verification via SMS. Dengan begitu, sebuah kode akan dikirim ke SMS dan kita pakai untuk mengakses akun kita. Namun, verifikasi via SMS ini tidaklah aman. Peretas bisa menggunakan berbagai trik untuk mengakses SMS Anda, salah satunya adalah metode SIM Swap.
Karena itu, gunakanlah aplikasi di ponsel sebagai metode 2-step verification. Anda bisa memakai Google Authenticator, 2FA Authenticator (2FAS), LastPass Authenticator, dan lainnya. Aplikasi ini nantinya secara offline akan menghasilkan kode tiap 30 detik. Kode ini yang Anda pakai untuk mengakses akun Anda.
Namun, menggunakan 2-step authenticator ini berisiko. Karena kalau ponsel kita hilang, kita akan gak bisa akses seluruh akun yang menerapkan 2-step verification. Karena itu, sebelum menerapkannya, kita perlu menyimpan kode-kode yang disediakan oleh tiap akun. Kode-kode ini bisa didapatkan di akun Twitter, Facebook, atau Google ketika kita ingin menerapkan 2-step authenticator di masing-masing akun.
Kode-kode itu sebaiknya kita cetak dan simpan di tempat yang aman. Kode-kode ini akan diperlukan ketika semua cara dalam mengakses akun kita sudah tidak memungkinkan.
Ada cara yang lebih praktis, yakni dengan menggunakan alat semacam flashdisk bernama Yubico. Dengan alat ini kita cukup mencolokkannya di perangkat yang kita pakai untuk mengakses akun. Namun, selain alat ini mahal, risikonya mungkin lebih tinggi kalau hilang.
7. Hapus passwords yang tersimpan di browser
Ini adalah saran yang terakhir. Hapuslah semuanya. Gunakan saja password manager yang terpisah (baca poin nomor 3), atau hafalkan kalau mungkin.
Membenahi keamanan akun digital memang ribet. Saya sendiri menghabiskan satu hari penuh untuk membereskannya. Nanti ceritakan ya pengalaman Anda di kolom komentar.
Halo Mas Roy. Saya mampir kesini dari twit Margianta.
Saya juga mulai ganti-ganti password karena kasus Ravio dan Tokopedia. Mulai buat email baru, memisahkan semua yang “kecantol” di email publik. Baru sadar se-bahaya itu karena sekali masuk ke email publik, semua akun termasuk bank bisa saja diretas.
Pengalaman saya membereskan akun2 ini .. lebih dari sehari. Kesulitan ada di memindahkan akun2 yang menyambung ke email utama, belum lagi ganti-ganti password. Benar-benar khawatir karena perlindungan data di Indonesia seperti ini kondisinya.
Oh ya, terima kasih untuk tips-tips di atas ya Mas, terutama untuk nomor 2 dan 6. Saya punya akun di proton dan tutanota, tapi belum berani saya jadikan email recovery. Authenticator apps juga tidak saya pakai karena menurut saya merepotkan, tapi kalau kondisinya seperti saat ini mungkin ada baiknya berhati-hati saja.
Halo Gabriele Jane,
Terima kasih atas komentarnya ya. Ya, authenticator memang merepotkan. Beberapa teman memilih untuk menguatkan saja password-nya. Kalau ada pengalaman-pengalaman baru tolong diceritain lagi ya. 🙂