Panduan singkat tentang dasar-dasar keamanan siber

Senin lalu, Saya mendapat email dari Spotify yang mengatakan bahwa seseorang di Brasil telah masuk ke akun saya.

saya memeriksa. Benar saja:Seorang asing menggunakan Spotify saya untuk mendengarkan Michael Jackson. Saya memberi tahu Spotify untuk "mengeluarkan saya di mana-mana" — tetapi saya tidak mengubah kata sandi saya.

Di hari Rabu, itu terjadi lagi. Pukul 2 pagi, Saya mendapat email lain dari Spotify. Kali ini, teman Brasil saya yang licik sedang mendengarkan Prince. Dan mereka tampaknya menyukai tampilan salah satu daftar putar saya (“Funk Adalah Hadiahnya Sendiri”), karena mereka juga mendengarkannya.

Saya keluar di mana-mana lagi, dan ini kali saya mengubah kata sandi saya. Dan saya membuat resolusi.

Kamu melihat, Saya telah melakukan pekerjaan yang buruk dalam menerapkan langkah-langkah keamanan online modern. Ya, Saya mengunci akun keuangan penting saya dengan otentikasi dua faktor, dll., tapi kebanyakan saya ceroboh dalam hal keamanan siber.

Sebagai contoh, Saya menggunakan kembali kata sandi. Saya masih menggunakan kata sandi dari tiga puluh tahun yang lalu untuk situasi keamanan rendah (seperti mendaftar ke klub anggur atau program loyalitas bisnis). Dan sementara saya mulai membuat kata sandi yang kuat (namun mudah diingat) untuk akun yang lebih penting, semua kata sandi ini mengikuti pola dan tidak diacak. Yang terburuk, Saya menyimpan dokumen teks biasa berusia 20 tahun tempat saya menyimpan semua informasi pribadi saya yang sensitif.

Ini bodoh. Dasar bodoh bodoh bodoh.

Aku tahu itu bodoh, tapi saya tidak pernah repot-repot melakukan perubahan — sampai sekarang. Sekarang, karena berbagai alasan, Saya merasa sudah waktunya bagi saya untuk membuat kehidupan digital saya sedikit lebih aman. Saya menghabiskan beberapa jam selama akhir pekan untuk mengunci segalanya. Begini caranya.

Panduan Singkat untuk Keamanan Siber

Secara kebetulan, pada hari yang sama saat akun Spotify saya digunakan untuk streaming lagu-lagu hits Prince di Brasil, seorang pengguna Reddit bernama /u/ACheetoBandito memposting panduan keamanan siber di /r/fatFIRE. Alangkah nyaman!

“Keamanan siber adalah komponen penting dari keamanan finansial, tapi jarang dibahas di kalangan keuangan pribadi, ” /u/ACheetoBandito menulis. “Perhatikan bahwa praktisi keamanan siber tidak setuju atas praktik terbaik untuk keamanan siber pribadi. Ini adalah Ku perspektif, karena saya memiliki beberapa keahlian di bidang tersebut.”

Saya tidak akan mereproduksi seluruh posting di sini — Anda harus membacanya, jika subjek ini penting bagi Anda — tetapi saya akan daftar ringkasan poin-poin bersama dengan beberapa pemikiran saya sendiri. Teman berjari oranye kami merekomendasikan agar siapa pun yang peduli dengan keamanan siber mengambil langkah-langkah berikut:

1. Dapatkan setidaknya dua kunci keamanan berbasis perangkat keras. Sobat saya Robert Farrington (dari The College Investor) menggunakan YubiKey. Google menawarkan Kunci Keamanan Titan-nya. (Saya memesan YubiKey 5c nano karena faktor bentuknya yang minimal.)
2. Siapkan akun email pribadi rahasia. Alamat email pribadi Anda tidak boleh ditautkan di setiap cara ke email publik Anda, dan alamatnya tidak boleh diberikan kepada siapa pun. (Saya sudah memiliki banyak akun email publik, tapi saya tidak punya alamat pribadi. saya lakukan sekarang.)
3. Aktifkan Perlindungan Lanjutan untuk akun gmail publik dan pribadi Anda. Perlindungan Lanjutan adalah add-on keamanan gratis dari Google. Tautkan ini ke kunci keamanan yang Anda peroleh di langkah pertama. (Saya belum menyiapkan ini karena kunci keamanan saya tidak akan tiba sampai sore ini.)
4. Siapkan pengelola kata sandi. Pengelola kata sandi mana yang Anda pilih terserah Anda. Kuncinya adalah untuk memilih salah satu yang Anda akan menggunakan . Sebaiknya aplikasi ini mendukung kunci keamanan baru Anda untuk autentikasi. (Saya akan membahas beberapa opsi di bagian selanjutnya dari artikel ini.)
5. Buat kata sandi baru untuk semua akun. Buat kata sandi yang mudah diingat untuk alamat email Anda secara manual, komputer Anda (dan perangkat seluler), dan untuk pengelola kata sandi itu sendiri. Semua kata sandi lainnya harus berupa kata sandi kuat yang dibuat secara acak oleh pengelola kata sandi.
6. Kaitkan akun penting dengan alamat email pribadi baru Anda. Ini akan mencakup akun keuangan, seperti bank Anda, broker, dan kartu kredit. Tapi itu bisa mencakup akun lain juga. (Saya akan menggunakan alamat email pribadi saya untuk layanan inti yang terkait dengan situs web ini, contohnya.)
7. Aktifkan langkah-langkah keamanan tambahan untuk semua akun. Fitur yang tersedia akan bervariasi dari satu penyedia ke penyedia lainnya, tetapi secara umum Anda harus dapat mengaktifkan otentikasi dua faktor (dengan kunci keamanan, bila memungkinkan) dan peringatan masuk.
8. Aktifkan peringatan teks/email untuk akun keuangan. Anda mungkin juga ingin mengaktifkan peringatan untuk perubahan pada skor kredit dan/atau laporan kredit Anda.
9. Aktifkan langkah-langkah keamanan di perangkat seluler Anda. Ponsel Anda harus dikunci dengan ukuran otorisasi yang kuat. Dan setiap aplikasi keuangan individual Anda harus dikunci dengan kata sandi dan tindakan keamanan lainnya yang memungkinkan.

/u/ACheetoBandito merekomendasikan beberapa tambahan, tindakan keamanan opsional. (Dan seluruh utas diskusi Reddit dipenuhi dengan tip keamanan yang hebat.)

Anda mungkin ingin membekukan kredit Anda (walaupun, jika kamu melakukan, ingat bahwa Anda kadang-kadang perlu un -membekukan kredit Anda untuk melakukan transaksi keuangan). Beberapa orang ingin mengenkripsi ponsel dan hard drive mereka. Dan jika Anda sangat memperhatikan keamanan, beli Chromebook murah dan gunakan ini sebagai hanya perangkat tempat Anda melakukan transaksi keuangan. (Percaya atau tidak, Saya mengambil langkah opsional terakhir ini. Masuk akal bagi saya - dan itu mungkin kesempatan bagi saya untuk bergerak melampaui Quicken.)

Menjelajahi Pengelola Kata Sandi Terbaik

Oke, Bagus! Saya telah memesan Chromebook baru seharga $150 dan dua kunci keamanan berbasis perangkat keras. Saya telah menyiapkan yang baru, alamat email rahasia, yang akan saya sambungkan ke akun mana pun yang membutuhkan keamanan tambahan. Tapi saya masih belum menangani titik terlemah dalam prosesnya:dokumen teks saya diisi dengan kata sandi.

Bagian dari masalahnya adalah kepuasan. Sistem saya sederhana dan saya menyukainya. Tetapi bagian lain dari masalahnya adalah kelumpuhan analisis. Ada sebuah banyak pengelola kata sandi di luar sana, dan saya tidak tahu bagaimana membedakannya, untuk mencari tahu mana yang tepat untuk saya dan kebutuhan saya.

Untuk bantuan, Saya meminta teman-teman Facebook saya untuk membuat daftar pengelola kata sandi terbaik. Saya mengunduh dan menginstal setiap saran mereka, kemudian saya mencatat beberapa kesan awal.

• LastPass:16 suara (2 dari kutu buku teknologi) — LastPass sejauh ini adalah pengelola kata sandi paling populer di antara teman-teman Facebook saya. Orang-orang menyukainya. Saya menginstalnya dan melihat-lihat, dan sepertinya… oke. Antarmuka sedikit kikuk dan set fitur tampaknya memadai (tetapi tidak kuat). Aplikasi ini menggunakan metafora "kubah" yang mudah dipahami, yang saya suka. LastPass gratis (dengan opsi premium tersedia untuk biaya tambahan).
• 1Password:7 suara (4 dari tech nerds) — Aplikasi ini memiliki fitur yang mirip dengan Bitwarden atau LastPass. Antarmukanya cukup bagus, dan tampaknya memberikan peringatan keamanan. 1Password berharga $36/tahun.
• Bitwarden:4 suara (2 dari kutu buku teknologi) — Bitwarden memiliki sederhana, antarmuka yang mudah dipahami. Ini menggunakan metafora "kubah" yang sama dengan yang digunakan produk seperti LastPass dan 1Password. Ini adalah pesaing kuat untuk menjadi alat yang saya gunakan. Bitwarden gratis. Untuk $10 per tahun, Anda dapat menambahkan fitur keamanan premium.
• KeePass:2 suara — KeePass adalah pengelola kata sandi Open Source gratis. Ada pemasangan KeePass yang tersedia untuk semua komputer utama dan sistem operasi seluler. Jika Anda seorang Linux nut (atau pendukung Open Source), ini mungkin pilihan yang baik. Saya tidak suka fungsinya yang terbatas dan antarmukanya yang buruk. KeePass gratis.
• Dashlane:2 suara — Dari semua pengelola kata sandi yang saya lihat, Dashlane memiliki antarmuka terbaik dan fitur terbanyak. Seperti banyak alat ini, itu menggunakan metafora "kubah", tetapi ini memungkinkan Anda untuk menyimpan lebih banyak barang di brankas ini daripada yang dilakukan alat lain. (Anda dapat menyimpan info ID — SIM, paspor — misalnya. Ada juga tempat untuk menyimpan tanda terima.) Dashlane memiliki opsi dasar gratis tetapi kebanyakan orang menginginkan opsi premium $60/tahun. (Ada juga opsi $ 120 / tahun yang mencakup pemantauan kredit dan asuransi pencurian ID.)
• Blur:1 suara — Blur berbeda dari kebanyakan pengelola kata sandi. Ini benar-benar mencoba mengaburkan identitas online Anda. Ini mencegah browser web melacak Anda, menutupi alamat email dan kartu kredit dan nomor telepon, dan (atau kursus) mengelola kata sandi. Saya ingin beberapa fitur yang tidak dimiliki Blur — dan tidak menginginkan beberapa fitur itu melakukan memiliki. Biaya blur minimal $39/tahun tapi harga itu bisa menjadi jauh lebih tinggi.
• Apple Keychain:1 suara — Keychain telah menjadi pengelola kata sandi bawaan Apple sejak 1999. Dengan demikian, itu tersedia secara bebas di perangkat Apple. Kebanyakan orang Mac dan iOS menggunakan Keychain tanpa menyadarinya. Itu tidak cukup kuat untuk melakukan apa pun selain menyimpan kata sandi, jadi saya tidak memberikan pertimbangan serius. Gantungan kunci gratis dan sudah terpasang di produk Apple.

Biarkan saya menjadi jelas: Saya hanya melakukan pemeriksaan sepintas terhadap pengelola kata sandi ini. Saya tidak menyelam dalam-dalam. Jika saya mencoba membandingkan setiap fitur dari setiap pengelola kata sandi, Saya tidak akan pernah memilih. Aku akan terkunci dalam kelumpuhan analisis lagi. Jadi, Saya memberi masing-masing kesempatan sekali lagi dan membuat keputusan berdasarkan insting dan intuisi.

Dari alat-alat tersebut, dua menonjol:Bitwarden dan Dashlane. Keduanya memiliki antarmuka yang bagus dan banyak fitur. Kedua alat menawarkan versi gratis, tetapi saya ingin meningkatkan ke paket premium berbayar untuk mendapatkan akses ke otentikasi dua faktor (menggunakan kunci keamanan perangkat keras baru saya) dan pemantauan keamanan. Di sinilah Bitwarden memiliki keuntungan besar. Itu hanya $10 per tahun. Untuk mendapatkan fitur yang sama, Dashlane adalah $60/tahun.

Tapi inilah masalahnya.

Saya mulai sebenarnya menggunakan kedua alat ini sekaligus, memasukkan kata sandi situs web saya satu per satu. Saya berhenti setelah memasukkan sepuluh situs ke masing-masing. Jelas bahwa saya lebih suka menggunakan Dashlane daripada Bitwarden. Itu hanya bekerja dengan cara yang masuk akal bagi saya. (Pengalaman Anda mungkin berbeda.) Jadi, setidaknya untuk sementara waktu, Saya akan menggunakan Dashlane sebagai pengelola kata sandi saya.

Masalah dengan Kata Sandi

Motif utama saya menggunakan pengelola kata sandi adalah untuk mendapatkan informasi sensitif saya dari dokumen teks biasa dan menjadi sesuatu yang lebih aman. Tetapi saya memiliki motif sekunder:Saya ingin meningkatkan kekuatan kata sandi saya.

Ketika saya mulai menggunakan internet — di tahun 1980-an, sebelum munculnya World Wide Web — saya tidak memikirkan kekuatan kata sandi. Kata sandi pertama yang saya buat (tahun 1989) hanyalah nama teman saya yang mengizinkan saya menggunakan komputernya untuk mengakses Sistem Papan Buletin lokal. Saya menggunakan kata sandi itu untuk bertahun-tahun pada segala hal mulai dari akun email hingga situs bank. Saya masih menganggapnya sebagai kata sandi "keamanan rendah" saya untuk hal-hal yang tidak penting.

Saya mungkin memiliki delapan atau sepuluh kata sandi seperti ini:pendek, kata sandi sederhana yang saya gunakan di banyak lokasi. Selama lima tahun terakhir, Saya sudah mencoba pindah ke kata sandi unik untuk setiap situs, password yang mengikuti suatu pola. Meskipun ini merupakan peningkatan, mereka masih belum hebat. Seperti yang saya katakan, mereka mengikuti suatu pola. Dan sementara mereka berisi surat, angka, dan simbol, mereka semua relatif pendek.

Seperti yang Anda harapkan, protokol kata sandi saya yang ceroboh telah menciptakan semacam mimpi buruk keamanan. Berikut adalah tangkapan layar dari alat Pemeriksaan Kata Sandi Google untuk salah satu akun saya.

Saya mendapatkan hasil yang serupa untuk semua dari akun Google saya. Astaga.

Plus, ada masalah berbagi akun.

Kim dan saya berbagi akun Netflix. Dan akun Amazon. Dan akun Hulu. Dan akun iTunes. Faktanya, kami mungkin berbagi dua puluh atau tiga puluh akun. Dia dan saya menggunakan kata sandi yang sama yang mudah diingat untuk semua proses masuk ini. Meskipun tidak satu pun dari akun ini yang super sensitif, apa yang kita lakukan masih merupakan ide yang buruk.

Jadi, Saya ingin mulai beralih ke kata sandi yang lebih aman — bahkan untuk akun yang saya bagikan dengan Kim.

Kabar baiknya adalah sebagian besar pengelola kata sandi — termasuk Dashlane — akan membuat kata sandi acak secara otomatis untuk Anda. Atau saya bisa mencoba sesuatu yang mirip dengan ide yang disarankan dalam komik XKCD ini:

Masalah, tentu saja, adalah bahwa setiap tempat memiliki persyaratan kata sandi yang berbeda. Beberapa membutuhkan angka. Beberapa membutuhkan simbol. Ada yang bilang tidak simbol. Dan seterusnya. Saya tidak tahu situs mana pun yang mengizinkan saya menggunakan empat kata umum acak untuk kata sandi!

Untuk sekarang, Saya akan mengambil pendekatan tiga cabang:

• Saya akan secara manual membuat kata sandi yang panjang (tapi mudah diingat) untuk akun saya yang paling penting. Ini adalah metode XKCD.
• Untuk akun yang saya bagikan dengan Kim — Netflix, dan sebagainya — saya akan membuat yang baru, kata sandi yang mudah diingat yang mengikuti suatu pola.
• Untuk segala sesuatu yang lain, Saya akan membiarkan pengelola kata sandi saya membuat kata sandi acak.

Ini sepertinya keseimbangan yang baik antara kegunaan dan keamanan. Setiap kata sandi akan berbeda. Hanya yang saya bagikan dengan Kim yang pendek; semua yang lain akan panjang. Dan sebagian besar kata sandi baru saya akan menjadi omong kosong acak.

Pemikiran Terakhir tentang Keamanan Siber

Dalam video singkat dari Tech Insider ini, seorang mantan pakar keamanan Badan Keamanan Nasional membagikan lima kiat terbaiknya untuk melindungi diri Anda sendiri secara online.

Anda akan perhatikan bahwa ini mirip dengan panduan keamanan siber Reddit yang saya posting sebelumnya di artikel ini. Berikut adalah langkah-langkah yang dia katakan untuk diambil untuk menjaga diri Anda tetap aman:

• Aktifkan otentikasi dua faktor bila memungkinkan.
• Jangan gunakan kata sandi yang sama di mana-mana.
• Tetap perbarui sistem operasi (dan perangkat lunak) Anda.
• Berhati-hatilah dengan apa yang Anda posting di media sosial.
• Mengerjakan bukan bagikan informasi pribadi kecuali Anda yakin Anda berurusan dengan perusahaan atau orang tepercaya.

Saya tidak akan berpura-pura bahwa langkah yang saya ambil akan melindungi saya sepenuhnya. Tetapi sistem baru saya tentu saja merupakan peningkatan dari apa yang telah saya lakukan selama lebih dari 20 tahun terakhir — yaitu, seperti yang telah saya sebutkan, bodoh bodoh bodoh.

Dan saya harus mengakui:Saya Suka gagasan untuk membatasi kehidupan finansial online saya ke satu komputer — Chromebook baru seharga $150. Saya tidak yakin apakah ini benar-benar bisa dilakukan, tapi aku akan mencobanya. Jika ini berhasil, maka saya dapat melihat apakah saya dapat menemukan alat pengelolaan uang yang saya sukai untuk mesin tersebut. Mungkin saya akhirnya bisa meninggalkan Quicken 2007 untuk Mac!