Mengapa Password Minimal 8 karakter dan Kombinasi angka serta abjad

Oleh :S.N.M.P. Simamora*

Saat end-user membuat account di sebuah layanan internet seperti: media-sosial (Facebook, twitter, instagram), media-streaming (Youtube, tiktok), email (Gmail, Yahoo, Hotmail), bahkan mobile-banking, disyaratkan minimal panjang password adalah delapan dan kombinasi abjad serta bilangan. Adapun peranan password sebagai metode verifikasi untuk disandingkan dengan id pengguna (yakni user-account) untuk diperiksa di basis-data apakah sesuai dengan entry pada saat account didaftarkan; atau sebaliknya tidak sama.

Mekanisme melakukan verifikasi dilakukan dengan cara mencocokkan dengan relasi logika AND (yakni bila salah-satu nilai entry salah yakni id pengguna atau password) maka end-user tidak memiliki otoritas untuk mengakses layanan; namun bila sebaliknya cocok sesuai yang disimpankan pada basis-data maka tervalidasi untuk melakukan akses ke layanan yang disajikan. Proses verifikasi adalah serangkaian mekanisme pemeriksaan suatu data yang di-input-kan untuk tujuan otentikasi data tersebut, sedangkan proses validasi adalah tahapan pemeriksaan sebuah data yang telah di-input-kan sebelumnya untuk tujuan pemberian otorisasi penggunaan suatu layanan yang disajikan.

Metode yang umum digunakan untuk mengamankan password yang dibuat, yakni dengan mengubah setiap digit password menjadi kode lain sehingga bila pun ada tindakan uji-coba menerobos atau membongkar password; maka data yang asli tidak dapat diperoleh. Cara yang digunakan untuk menerobos password menggunakan segala kemungkinan yang ada disebut dengan Bruce Force Attack. Misalkan seperti diperlihatkan pada Gambar 2. Ilustrasikan ada dua kolom untuk diisikan password dari dua kode yang ditetapkan, yakni: a dan b.

Dalam hal ini kemungkinan password yang ada adalah: aa, ab, ba, bb. Selain keempat kemungkinan ini, pasti tidak mungkin. Demikian juga bila ada tiga kode yang ditetapkan untuk diisikan pada tiga kolom yang tersedia; maka ada 27 kemungkinan kombinasi kode pada password tersebut. Dari ilustrasi dan Gambar 2 bisa diartikan, bahwa semakin Panjang digit sebuah password (yang diwakilkan oleh jumlah kolom tersebut) serta jumlah kode yang ditetapkan juga semakin bervariasi, maka kemungkinan serangan membongkar suatu password membutuhkan waktu yang lebih lama.

Walaupun membutuhkan waktu yang lama, namun kemungkinan masih ada untuk keberhasilan serangan menerobos password tersebut. Dan metode ini masih linier karena tidak ada perubahan kode pada password yang dibuat.

Agar isi password dapat diamankan dengan mengubah setiap kode pada digit password, maka digunakan metode keamanan data yang disebut cryptography. Dalam cryptography ada dua teknik pemrosesan untuk mengamankan data asli (disebut plain-text) yakni enkripsi dan dekripsi. Saat proses enkripsi, plain-text diubah bentuknya dalam format lain yang disebut cipher-text. Data cipher-text yang disimpankan ke basis-data; sehingga bila ada serangan Bruce Force Attack maka data yang diambil tersebut masih dalam bentuk cipher-text bukan plain-text.

Salah satu metode cryptography yang sederhana adalam teknik ROT 13, yakni mengubah setiap karakter sebanyak 13-steps ke depan. Seperti diketahui bersama bahwa jumlah abjad (tanpa memandang huruf kapital atau bukan) ada sebanyak 26 karakter; maka bila setiap huruf digantikan sebanyak 13-steps ke depan; ditunjukkan pada Gambar 1.

Gambar 1. Metode/teknik ROT-13

Misalkan, isi password yang dituliskan: “logikakaryono”; maka di-secure dengan metode ROT-13 menjadi: “ybtvxnxnelbab”; ini disebut cipher-text dan cipher-text ini yang disimpankan pada basis-data. Kelemahan metode ROT-13 hanya terbatas pada karakter jenis huruf saja.

Gambar 2. Kombinasi pasangan karakter yang mungkin muncul

Alhasil bila panjang minimal karakter adalah delapan, dan ada dua kelompok jenis karakter yang dikombinasikan (26 huruf dan 10 bilangan); maka minimal ada kemungkinan 3636 minimal kemungkinan dilakukan cara ‘coba-coba’ kombinasi. Bila ditotal akan muncul 106387358923717000000000000000000000000000000000000000000 cara ‘coba-coba’ kemungkinan yang dapat dilakukan. Dan bila dikombinasikan dengan metode ROT-13, data yang diambil dari basis-data bukan isi yang asli melainkan masih dalam bentuk cipher-text. Bagaimana bila metode cryptography yang digunakan tidak sesederhana seperti ROT-13; tentu akan lebih sulit lagi.

Dengan demikian jelas sudah end-user (pengguna) harus menggunakan minimal 8 karakter dengan terdiri dari kombinasi huruf dan angka untuk memperkuat kode password yang disimpankan ke basis-data; terlebih lagi dikombinasikan dengan karakter kode lain seperti: underscore (‘¬_’). Namun harus dipahami kembali bahwa password yang dibuat haruslah yang mudah diingat dan jangan sampai lupa.

Gambar 3a.Format isian pada user_id

 

Gambar 3b. Format isian pada password

S.N.M.P. Simamora – Dosen Institut Digital Ekonomi LPKIA, Bandung-Alumni Dept. Elektroteknik, ITB Bandung