Wednesday, June 01, 2016

Hati-hati password Anda

Baru-baru ini, ya baru-baru ini bukan dulu-dulu, saya membuat account di sebuah perusahaan hosting (sebut saja namanya kumbang, hehe).

Biasalah setelah isi order, karena pengguna baru kita diminta membuat account. Kemudian seperti biasa juga kita diminta memasukkan username / alamat email dan password. Password pakai password standar yang mudah diingat dan dipakai di beberapa tempat lain. Semua seperti biasa.

Sejurus kemudian seperti biasa juga sih sebenernya, datanglah sebuah email pemberitahuan registrasi berhasil. yang tampak sebagai berikut (gambar saya edit, supaya Anda tahu saya bisa menggunakan microsoft paint):

Email Otomatis


Emailnya sih standar, pemberitahuan kita sudah registrasi, yang masalah di dalam email juga menyertakan password yang saya buat. Ini artinya password saya di dalam sistem mereka dapat dibuka / tidak di-hashed , bisa saja di dalam database berupa plaintext atau memang dienkripsi tetapi dapat didekripsi oleh aplikasi biasanya sih pakai base64_encode (terbukti di email otomatis tersebut password saya kelihatan).

Untuk seorang auditor sistem informasi yang baru2 ini sedang saya pelajari, tentunya ini menjadi the BIGGEST concern (yang sedang persiapan ujian CISA nyengir deh). 

Kasus serupa/mirip jika pada sebuah aplikasi / website ada fitur forget password dan Anda mendapatkan password lama Anda tanpa membuat password baru (misal berupa link ke halaman ubah password atau konfirmasi). Anda patut waspada dan segeralah mengganti password di situ dengan password baru yang tidak Anda gunakan di account Anda yang lain.


Yah tanpa prasangka buruk kepada pihak pemegang account, tapi jelas resiko password kita terekspos lebih besar. Waspadalah, waspadalah, mooooo .... seperti pesang bang sapi :).