Password

Kata sandi telah mati? Dukungan passkey diluncurkan ke stabil Chrome

December 10, 2022 by Søren

Kunci sandi ada di sini untuk (mencoba) mematikan kata sandi. Mengikuti peluncuran fitur beta Google pada bulan Oktober, kunci sandi sekarang tersedia di Chrome stable M108. “Passkey” dibuat berdasarkan standar industri dan didukung oleh semua vendor platform besar—Google, Apple, Microsoft—bersama dengan FIDO Alliance.

Blog terbaru Google mengatakan: “Dengan Chrome versi terbaru, kami mengaktifkan kunci sandi di Windows 11, macOS, dan Android.” Pengelola Kata Sandi Google di Android siap untuk menyinkronkan semua kunci sandi Anda ke cloud, dan jika Anda dapat memenuhi semua persyaratan perangkat keras dan menemukan layanan pendukung, Anda sekarang dapat masuk ke sesuatu dengan kunci sandi.

Kunci sandi adalah langkah selanjutnya dalam evolusi pengelola kata sandi. Saat ini pengelola kata sandi sedikit meretas — kotak teks kata sandi pada awalnya dimaksudkan untuk manusia untuk mengetik teks secara manual, dan Anda diharapkan untuk mengingat kata sandi Anda.

Kemudian, pengelola kata sandi mulai mengotomatiskan pengetikan dan penghafalan tersebut, membuatnya nyaman untuk menggunakan kata sandi yang lebih panjang dan lebih aman. Saat ini, cara yang tepat untuk menangani bidang kata sandi adalah meminta pengelola kata sandi Anda membuat serangkaian karakter sampah acak yang tidak dapat diingat untuk ditempelkan di bidang kata sandi.

Kunci sandi menghilangkan antarmuka kotak teks lawas itu dan sebagai gantinya menyimpan rahasia, meneruskan rahasia itu ke situs web, dan jika cocok, Anda masuk. Alih-alih meneruskan string teks yang dibuat secara acak, kunci sandi menggunakan “WebAuthn” standar untuk menghasilkan keypair publik-swasta, seperti SSH.

Selengkapnya: ars TECHNICA

34 Grup Cybercrime Rusia Mencuri Lebih dari 50 Juta Kata Sandi dengan Malware Stealer

November 25, 2022 by Coffee Bean

Sebanyak 34 geng berbahasa Rusia mendistribusikan malware pencuri informasi di bawah model pencuri sebagai layanan mencuri tidak kurang dari 50 juta kata sandi dalam tujuh bulan pertama tahun 2022.

Mayoritas korban berada di AS, diikuti oleh Brasil, India, Jerman, Indonesia, Filipina, Prancis, Turki, Vietnam, dan Italia. Secara total, lebih dari 890.000 perangkat di 111 negara terinfeksi selama jangka waktu tersebut.

Group-IB mengatakan anggota dari beberapa grup scam yang menyebarkan pencuri informasi sebelumnya berpartisipasi dalam operasi Classiscam.

Setelah kompromi yang berhasil, para penjahat dunia maya menjajakan informasi yang dicuri di web gelap untuk mendapatkan uang.

Perkembangan tersebut menyoroti peran penting yang dimainkan oleh Telegram dalam memfasilitasi berbagai kegiatan kriminal, termasuk berfungsi sebagai pusat untuk mengumumkan pembaruan produk, menawarkan dukungan pelanggan, dan mengekstraksi data dari perangkat yang disusupi.

Temuan ini juga mengikuti laporan baru dari SEKOIA, yang mengungkapkan bahwa tujuh tim traffer yang berbeda telah menambahkan pencuri informasi yang sedang naik daun yang dikenal sebagai Aurora ke perangkat mereka.

“Popularitas skema yang melibatkan pencuri dapat dijelaskan dengan hambatan masuk yang rendah,” jelas Group-IB. “Pemula tidak perlu memiliki pengetahuan teknis lanjutan karena prosesnya sepenuhnya otomatis dan satu-satunya tugas pekerja adalah membuat file dengan pencuri di bot Telegram dan mengarahkan lalu lintas ke sana.”

sumber : the hacker news

Pengguna LastPass Memperingatkan Kata Sandi Utama Mereka Dikompromikan

December 29, 2021 by Eevee

Banyak pengguna LastPass melaporkan bahwa kata sandi utama mereka telah dikompromikan setelah menerima peringatan email bahwa seseorang mencoba menggunakannya untuk masuk ke akun mereka dari lokasi yang tidak dikenal.

Pemberitahuan email juga menyebutkan bahwa upaya login telah diblokir karena dibuat dari lokasi yang tidak dikenal di seluruh dunia.

“Seseorang baru saja menggunakan kata sandi utama Anda untuk mencoba masuk ke akun Anda dari perangkat atau lokasi yang tidak kami kenali,” peringatan login memperingatkan.

“LastPass memblokir upaya ini, tetapi Anda harus melihat lebih dekat. Apakah ini kamu?”

Laporan kata sandi master LastPass yang dikompromikan mengalir melalui beberapa situs media sosial dan platform online, termasuk Twitter, Reddit, dan Hacker News (laporan asli dari Greg Sadetsky).

Namun, pengguna yang menerima peringatan ini telah menyatakan bahwa kata sandi mereka unik untuk LastPass dan tidak digunakan di tempat lain. BleepingComputer telah bertanya kepada LastPass tentang masalah ini tetapi belum menerima jawaban.

Sementara LastPass tidak berbagi rincian mengenai bagaimana aktor ancaman di balik upaya isian kredensial ini, peneliti keamanan Bob Diachenko mengatakan dia baru-baru ini menemukan ribuan kredensial LastPass saat melalui log malware Redline Stealer.

Pengguna LastPass disarankan untuk mengaktifkan autentikasi multifaktor untuk melindungi akun mereka bahkan jika kata sandi utama mereka dikompromikan.

Dua tahun lalu, pada September 2019, LastPass memperbaiki kerentanan keamanan dalam ekstensi Chrome pengelola kata sandi yang dapat memungkinkan aktor ancaman mencuri kredensial yang terakhir digunakan untuk masuk ke situs.

Selengkapnya: Bleepingcomputer

Pemerintah Inggris membagikan 585 juta kata sandi dengan Have I Been Pwned

December 21, 2021 by Winnie the Pooh

Badan Kejahatan Nasional Inggris telah menyumbangkan lebih dari 585 juta kata sandi ke layanan Have I Been Pwned yang memungkinkan pengguna memeriksa apakah informasi login mereka telah bocor secara online.

Sama seperti kata sandi yang berasal dari FBI, kumpulan besar password ini telah ditambahkan ke data Kata Sandi Pwned yang dapat dicari jika kata sandi telah disusupi.

Pengumpulan kata sandi NCA berasal dari Unit Kejahatan Siber Nasional (NCCU), yang dikumpulkan selama investigasi insiden keamanan siber.

Troy Hunt, pencipta layanan Have I Been Pwned (HIBP), hari ini mengumumkan bahwa setelah mengimpor dan menguraikan data dari NCA, satu set 225.665.425 kata sandi ditemukan benar-benar baru.

Proyek Kata Sandi Pwned HIBP memungkinkan lembaga penegak hukum di banyak negara menambahkan kata sandi yang ditemukan selama penyelidikan. Dengan demikian, layanan lain yang menggunakan Pwned Passwords API dapat melindungi penggunanya dari serangan pengambilalihan akun.

NCA memberi tahu Hunt bahwa sumber kata sandi adalah lokasi penyimpanan cloud milik perusahaan Inggris yang digunakan aktor tak dikenal untuk menyimpan data login yang disusupi.

Para penyelidik menyadari bahwa kredensial berasal dari beberapa pelanggaran data dan bahwa pihak ketiga dapat mengaksesnya “untuk melakukan penipuan lebih lanjut atau pelanggaran dunia maya.”

Selengkapnya: Bleeping Computer

Kata sandi tiga kata acak lebih baik daripada variasi kompleks, kata para ahli

August 9, 2021 by Winnie the Pooh

Jauh lebih baik untuk membuat kata sandi untuk akun online yang terdiri dari tiga kata acak daripada membuat variasi huruf, angka, dan simbol yang rumit, kata pakar pemerintah.

Dalam sebuah blogpost, National Cyber Security Center (NCSC) – yang merupakan bagian dari Government Communications Headquarters – mengatakan sistem tiga kata menciptakan kata sandi yang mudah diingat.

Selain itu, ini menciptakan kombinasi huruf yang tidak biasa, yang berarti sistemnya cukup kuat untuk menjaga keamanan akun online dari penjahat dunia maya. Sebaliknya, kata sandi yang lebih kompleks tidak efektif karena susunannya sering kali dapat ditebak oleh penjahat menggunakan perangkat lunak khusus.

Badan tersebut mengatakan penjahat dunia maya menargetkan strategi yang dapat diprediksi yang dimaksudkan untuk membuat kata sandi lebih kompleks. Contohnya termasuk mengganti huruf O dengan nol, atau angka satu dengan tanda seru.

Penjahat mengizinkan pola seperti itu dalam perangkat lunak peretasan mereka, meniadakan keamanan tambahan apa pun dari pola kata sandi tersebut.

Sebaliknya, kata sandi yang dibuat dari tiga kata acak cenderung lebih panjang dan sulit diprediksi, dan menggunakan kombinasi huruf yang lebih sulit dideteksi oleh algoritma peretasan, katanya.

Tulisan pada blogpost mengakui bahwa menggunakan tiga kata acak tidak 100% aman, karena orang mungkin menggunakan kombinasi kata yang dapat diprediksi, tetapi mengatakan keuntungan utama dari sistem ini adalah kegunaannya “karena keamanan yang tidak dapat digunakan sama saja tidak berfungsi”.

Selengkapnya: The Guardian

Perbarui Kata Sandi Anda Sekarang Juga

March 1, 2021 by Winnie the Pooh

Aktor jahat membobol lebih banyak sistem daripada yang Anda pikirkan hanya dengan menebak kode. Ada beberapa insiden yang benar-benar tidak masuk akal selama bertahun-tahun di mana entitas besar dan terkemuka diretas karena kecanggihan kata sandinya buruk.

Misalnya, firma keamanan global Gunnebo baru-baru ini menjadi korban pencurian data, dan diduga bahwa sandi salah satu karyawan yang sangat tidak dapat ditembus (“password01”) berperan dalam kejadian tersebut.

Selama bertahun-tahun, peretas telah mengembangkan metode canggih untuk mengidentifikasi detail pribadi yang Anda gabungkan untuk membuat benteng kriptografi tersebut (masukkan nama hewan peliharaan ditambah angka ulang tahun, misalnya).

Mereka biasanya memanfaatkan seluruh rangkaian perangkat lunak otomatis untuk melakukan hal ini, menerapkannya dalam apa yang disebut serangan siber “brute force” di mana mereka berulang kali mencoba untuk menerobos sistem melalui tebakan otomatis.

Jadi, perbarui kata sandi Anda sekarang! Dan coba ingat untuk memperbaruinya dengan frekuensi tertentu! Pasti ada beberapa perdebatan tentang seberapa sering Anda harus melakukannya, tetapi kebijaksanaan umumnya adalah Anda harus memperbarui setiap 60 hingga 90 hari — jadi setiap dua hingga tiga bulan.

Tentu saja, ada banyak langkah keamanan kata sandi lain yang dapat Anda lakukan, bersama dengan pembaruan yang konsisten. Autentikasi dua faktor, tentu saja, selalu merupakan ide yang bagus juga — karena memerlukan banyak bukti bahwa penggunanya adalah seperti yang mereka katakan.

Sumber: Gizmodo

Google: Fitur perlindungan sandi baru ini akan hadir di Chrome

January 21, 2021 by Winnie the Pooh

Setelah merilis Chrome 88 minggu ini, Google telah mengumumkan sejumlah fitur perlindungan kata sandi baru yang akan mulai diluncurkan ke Chrome 88 dalam beberapa minggu mendatang.

Chrome 88 menyertakan fitur baru untuk dengan cepat memeriksa kata sandi yang lemah atau disusupi dan memulihkan masalahnya. Setelah mengklik avatar profil, sekarang ada ikon kunci yang dapat diklik untuk mulai memeriksa kata sandi yang lemah.

Juga di Chrome 88, pengguna dapat mengelola dan mengedit semua kata sandi di Pengaturan Chrome di desktop dan iOS. Google berencana untuk segera menghadirkan fitur ini ke aplikasi Android Chrome.

Fitur ini dimaksudkan untuk mempermudah memperbarui kata sandi yang disimpan di tempat sentral, dibandingkan dengan hanya mengandalkan permintaan Chrome untuk memperbarui kata sandi tunggal saat masuk ke situs web.

Chrome 88, yang dirilis awal minggu ini, adalah versi pertama Chrome dalam beberapa tahun yang tidak menyertakan Adobe Flash Player dalam browsernya. Flash mencapai akhir masa pakainya pada akhir tahun 2020, jadi Mozilla, Google, Apple dan Microsoft juga telah menghilangkan dukungan untuk Flash di browser masing-masing.

Sumber: ZDNet

Berikut adalah kata sandi paling umum pada tahun 2020

November 19, 2020 by Winnie the Pooh

Kembali ke tahun 2015, kata sandi terburuk yang masih umum digunakan termasuk “123456” dan “password.” Lima tahun berlalu, dan contoh-contoh ini masih banyak digunakan.

Setelah menganalisis 275.699.516 kata sandi yang bocor selama pelanggaran data tahun 2020, NordPass dan mitranya menemukan bahwa kata sandi yang paling umum sangat mudah ditebak – dan mungkin perlu waktu kurang dari satu atau dua detik bagi penyerang untuk membobol akun menggunakan kredensial ini. Hanya 44% dari yang tercatat dianggap “unik”.

Pada hari Rabu, penyedia solusi pengelola kata sandi menerbitkan laporan tahunannya tentang keadaan keamanan kata sandi, menemukan bahwa opsi yang paling populer adalah “123456”, “123456789”, “picture1”, “password”, dan “12345678.”

Dengan pengecualian “picture1”, yang akan membutuhkan waktu sekitar tiga jam untuk dipecahkan menggunakan serangan brute-force, setiap sandi memerlukan hanya beberapa detik saja menggunakan dictionary scripts – yang mengumpulkan frasa umum dan kombinasi numerik untuk dicoba – atau lebih sederhana, tebakan manusia.

Sebagai salah satu peserta dalam daftar 200-strong menggambarkan keadaan dalam hal keamanan kata sandi, “whatever”, tampaknya banyak dari kita masih enggan menggunakan kata sandi yang kuat dan sulit untuk dipecahkan – dan sebaliknya, kita malah menggunakan opsi termasuk “football”, “iloveyou”, “letmein”, dan “pokemon”.

10 kata sandi paling umum tahun 2020, berdasarkan kumpulan data NordPass, tercantum di bawah ini:

Sumber: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Password

Cookies Settings