Melindungi Kata laluan anda - Securing the Human
Melindungi Kata laluan anda - Securing the Human
Melindungi Kata laluan anda - Securing the Human
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
OUCH! | Mei 2011<br />
<br />
DALAM ISU KALI INI<br />
• <strong>Kata</strong> <strong>laluan</strong> yang tegar tetapi mudah diingati<br />
• Jangan kongsi kata <strong>laluan</strong> <strong>anda</strong><br />
• Menggunakan kata <strong>laluan</strong> dengan selamat<br />
<strong>Melindungi</strong> <strong>Kata</strong> <strong>laluan</strong> <strong>anda</strong><br />
EDITOR JEMPUTAN<br />
Eric Cole ialah editor jemputan untuk edisi Mei OUCH! kali<br />
ini. Dr Cole ialah pengasas Secure Anchor Consulting,<br />
telah menjadi Ketua Pegawai Teknologi untuk beberapa<br />
organisasi besar dan merupakan felo kanan SANS Institute.<br />
Dr Cole adalah seorang yang berminat dalam membantu<br />
sesuatu organisasi dalam mengambil tindakan terbaik bagi<br />
meningkatkan keselamatan organisasi mereka. Maklumat<br />
lebih lanjut boleh di dapati di www.securityhaven.com.<br />
PENGENALAN<br />
<strong>Kata</strong> <strong>laluan</strong> adalah kunci untuk sebarang maklumat yang<br />
<strong>anda</strong> miliki di dunia siber dan apabila digabungkan dengan<br />
nama pengguna <strong>anda</strong>, ia menjadi satu kaedah yang paling<br />
mudah bagi membuktikan identiti <strong>anda</strong> sama ada untuk<br />
capaian masuk ke komputer <strong>anda</strong>, laman web atau<br />
mengakses maklumat tersebut. Malangnya, kita selalu<br />
mengambil sikap mudah dan sambil lewa dalam melindungi<br />
kata <strong>laluan</strong> kita seperti menggunakan gabungan sederhana<br />
seperti "123456", "password", "qwerty" atau "abc123".<br />
Dalam sesetengah kes, penggunaan nama haiwan<br />
kesayangan atau tarikh lahir juga popular, serta maklumat<br />
yang mudah ditemui di internet, seperti Facebook. Jika<br />
penggodam boleh mendapatkan akses kepada kata <strong>laluan</strong><br />
<strong>anda</strong>, mereka boleh mencuri identiti digital, mengakses<br />
akaun bank, bahkan mengakses maklumat sulit organisasi<br />
<strong>anda</strong>, yang boleh mendatangkan akibat yang besar. Satu<br />
perkara penting yang perlu diingat, jika seseorang mencuri<br />
kata <strong>laluan</strong> <strong>anda</strong>, <strong>anda</strong> bertanggung jawab terhadap apaapa<br />
yang mereka lakukan! Bagi melindungi diri <strong>anda</strong>,<br />
keluarga dan organisasi <strong>anda</strong>, mari kita belajar tentang<br />
maklumat yang boleh digunakan untuk membina kata<br />
<strong>laluan</strong> yang baik dan bagaimana menggunakannya dengan<br />
selamat.<br />
KATA LALUAN YANG TEGAR<br />
Penjenayah siber telah membangunkan program-program<br />
yang mampu untuk meneka atau mencuba berkali-kali kata<br />
<strong>laluan</strong> secara automatik. Untuk melindungi diri, <strong>anda</strong><br />
memerlukan kata <strong>laluan</strong> yang sukar untuk diteka oleh pihak<br />
lain, tetapi pada masa yang sama mudah bagi <strong>anda</strong> untuk<br />
mengingatinya.<br />
Berikut adalah beberapa panduan yang kami syorkan untuk<br />
membina kata <strong>laluan</strong> <strong>anda</strong>:-<br />
• mesti mempunyai sekurang-kurangnya satu<br />
nombor.<br />
• mesti mempunyai sekurang-kurangnya satu<br />
HURUF BESAR<br />
• mesti mempunyai sekurang-kurangnya satu simbol<br />
Kami menyarankan kata <strong>laluan</strong> <strong>anda</strong> mestilah sekurangkurangnya<br />
12 aksara panjangnya. Bagi laman web atau<br />
maklumat yang sangat sulit, kami syorkan 15 aksara.<br />
Semak dengan penyelia di organisasi <strong>anda</strong> untuk sebarang<br />
polisi khusus yang mungkin telah ditetapkan oleh<br />
organisasi berkenaan kata <strong>laluan</strong>.<br />
Sepintas lalu, pendekatan ini mungkin dirasakan sangat<br />
sulit. Namun, dengan menggunakan huruf pertama dari<br />
setiap perkataan dalam sesuatu ayat, ia akan menjadi lebih<br />
mudah untuk diingati.<br />
© The SANS Institute 2011 http://www.securing<strong>the</strong>human.org
OUCH! | Mei 2011<br />
<strong>Melindungi</strong> <strong>Kata</strong> Laluan <strong>anda</strong> <br />
Misalnya, ayat di bawah ini mungkin sangat mudah untuk<br />
diingati.<br />
Anak ke 2 saya dilahirkan di Hospital Putrajaya pada<br />
6.30 petang<br />
Akan tetapi, kita boleh menggunakan ayat tersebut untuk<br />
mencipta kata <strong>laluan</strong> seperti:<br />
Kunci untuk melindungi kata<br />
<strong>laluan</strong> <strong>anda</strong> adalah dengan<br />
menggunakan kata <strong>laluan</strong> tegar<br />
yang sukar diteka, jangan kongsi<br />
dengan sesiapa dan berhati-hati<br />
ketika <strong>anda</strong> menggunakannya. <br />
Ak2sd@HP@6:30ptg<br />
Apa yang kami lakukan hanyalah menggunakan huruf<br />
pertama daripada setiap perkataan. Kami kemudian<br />
menukarkan kepada beberapa HURUF BESAR. Selain itu<br />
kami menukar kata "di" dengan simbol "@". Akhirnya kami<br />
masukkan waktu di akhirannya. Ini adalah kata <strong>laluan</strong> yang<br />
panjang, kompleks yang sangat sulit untuk diteka, tetapi<br />
mudah diingat.<br />
MELINDUNGI KATA LALUAN ANDA<br />
Perlu diingatkan bahawa dengan memiliki kata <strong>laluan</strong> yang<br />
tegar tidak mencukupi. Walaupun <strong>anda</strong> mempunyai kata<br />
<strong>laluan</strong> yang paling kompleks di dunia, jika <strong>anda</strong> gagal untuk<br />
mengambil langkah-langkah berikut juga boleh<br />
menyebabkan kata <strong>laluan</strong> <strong>anda</strong> dicerobohi.<br />
1. Jangan menjadi mangsa godam! Salah satu cara<br />
yang paling biasa bagi penjenayah siber untuk mencuri<br />
kata <strong>laluan</strong> <strong>anda</strong> adalah dengan menjangkiti komputer<br />
<strong>anda</strong> dengan malware. Setelah dikompromi, penjenayah<br />
akan memasang malware khusus pada komputer <strong>anda</strong><br />
yang merekodkan semua aktiviti pada papan kekunci,<br />
termasuklah log masuk dan kata <strong>laluan</strong> untuk perbankan<br />
internet. Apabila <strong>anda</strong> log masuk ke bank <strong>anda</strong>, maklumat<br />
<strong>anda</strong> secara automatik akan dicuri, dan akan dihantar<br />
kepada penjenayah siber. Seterusnya, mereka akan<br />
mengakses akaun bank dengan menyamar seperti <strong>anda</strong><br />
dan mencuri semua wang yang <strong>anda</strong> miliki. Sebagai<br />
langkah melindungi diri, pastikan komputer <strong>anda</strong> dilindungi<br />
secara aktif, termasuk memastikan pengemaskinian antivirus<br />
secara automatik dan terkini.<br />
2. Pastikan <strong>anda</strong> menggunakan kata <strong>laluan</strong> yang<br />
berbeza untuk akaun yang berbeza. Sebagai contoh,<br />
jangan sekali-kali menggunakan kata <strong>laluan</strong> yang sama<br />
untuk akaun di tempat kerja atau bank dengan akaun<br />
peribadi <strong>anda</strong>, seperti Facebook, YouTube atau Twitter.<br />
Dengan cara ini jika salah satu kata <strong>laluan</strong> <strong>anda</strong> diceroboh,<br />
akaun-akaun yang lain masih selamat.<br />
3. Jangan berkongsi kata <strong>laluan</strong> <strong>anda</strong> dengan orang<br />
lain, walaupun mereka ialah penyelia <strong>anda</strong> atau pegawai<br />
© The SANS Institute 2011 http://www.securing<strong>the</strong>human.org
z <br />
OUCH! | Mei 2011<br />
<strong>Melindungi</strong> <strong>Kata</strong> Laluan <strong>anda</strong> <br />
sokongan teknologi maklumat (IT). Ingatlah, kata <strong>laluan</strong><br />
adalah rahsia, jika orang lain mengetahui kata <strong>laluan</strong> <strong>anda</strong>,<br />
ia tidak lagi selamat.<br />
4. Jangan menggunakan komputer awam seperti di<br />
hotel atau perpustakaan untuk log masuk ke akaun. Oleh<br />
kerana sesiapa saja boleh menggunakan komputer ini dan<br />
mereka mungkin dijangkiti atau sengaja menjangkiti<br />
komputer tersebut dengan kod berbahaya yang merekod<br />
semua penekanan butang di papan kekunci <strong>anda</strong>. Hanya<br />
log masuk ke akaun kerja atau akaun peribadi di komputer<br />
yang boleh dipercayai.<br />
Anda boleh menggunakan komputer awam untuk<br />
mendapatkan maklumat tidak sensitif seperti memeriksa<br />
cuaca, status penerbangan <strong>anda</strong>, atau membaca berita.<br />
Sekiranya <strong>anda</strong> tiada pilihan selain menggunakan<br />
komputer awam untuk membuat transaksi atau menghantar<br />
maklumat sensitif, anggaplah bahawa maklumat yang <strong>anda</strong><br />
masukkan telah dikompromi termasuk kata <strong>laluan</strong> <strong>anda</strong>.<br />
Sentiasa pantau akaun-akaun yang telah diakses dan tukar<br />
kata <strong>laluan</strong> sebaik sahaja <strong>anda</strong> mendapat capaian ke<br />
komputer dan rangkaian yang boleh dipercayai.<br />
5. Ada ketikanya, <strong>anda</strong> mempunyai terlalu banyak<br />
kata <strong>laluan</strong> yang tidak mungkin <strong>anda</strong> dapat mengingati<br />
semuanya, dan menyimpannya secara bertulis adalah satusatunya<br />
pilihan yang ada. Jika <strong>anda</strong> menulisnya, pastikan<br />
<strong>anda</strong> menyimpan semua kata <strong>laluan</strong> dalam simpanan yang<br />
dikunci yang hanya <strong>anda</strong> dapat mengaksesnya, dan jangan<br />
menyimpannya di p<strong>anda</strong>ngan umum. Pilihan lain adalah<br />
dengan menyimpan kata <strong>laluan</strong> tersebut dalam aplikasi<br />
yang boleh dienkripsi yang direka untuk menyimpan kata<br />
<strong>laluan</strong>, seperti di telefon pintar <strong>anda</strong> atau komputer. Contoh<br />
alat tersebut boleh didapati di,<br />
http://preview.tinyurl.com/622v9m2 dan<br />
http://preview.tinyurl.com/2p385o.<br />
6. Berhati-hati terhadap laman web yang<br />
menghendaki <strong>anda</strong> menjawab soalan-soalan peribadi.<br />
Soalan-soalan ini selalunya akan digunakan jika <strong>anda</strong> lupa<br />
kata <strong>laluan</strong> akaun <strong>anda</strong> dan perlu mencipta kata <strong>laluan</strong><br />
yang baru. Masalahnya adalah jawapan kepada<br />
pertanyaan-pertanyaan tersebut selalunya mudah didapati<br />
di Internet, seperti laman peribadi Facebook <strong>anda</strong>. Pastikan<br />
bahawa jika <strong>anda</strong> menjawab soalan-soalan peribadi <strong>anda</strong><br />
hanya menggunakan maklumat yang tidak diketahui awam.<br />
Jika laman web menyediakan pilihan reset kata <strong>laluan</strong> yang<br />
lain, seperti mesej SMS ke telefon pintar, <strong>anda</strong> mungkin<br />
ingin mempertimbangkan alternatif-alternatif ini.<br />
7. Jika <strong>anda</strong> yakin kata <strong>laluan</strong> <strong>anda</strong> telah dicerobohi<br />
atau mempunyai alasan untuk percaya bahawa ianya tidak<br />
lagi rahsia, hubungi talian bantuan dan serta merta tukar<br />
kata <strong>laluan</strong> menggunakan komputer yang <strong>anda</strong> percayai.<br />
MAKLUMAT LANJUT<br />
Langgani Surat Berita Bulanan berkenaan Keselamatan<br />
OUCH!, capai arkib OUCH! dan dapatkan maklumat terkini<br />
tentang penyelesaian Kesedaran Keselamatan SANS<br />
dengan melawat kami di http://www.securing<strong>the</strong>human.org.<br />
VERSI MALAYSIA<br />
Perterjemahan oleh SNSC.<br />
Pusat Keselamatan Rangkaian SKMM (SKMM Network<br />
Security Centre- SNSC) beroperasi di bawah Suruhanjaya<br />
Komunikasi dan Multimedia Malaysia (SKMM) dengan<br />
matlamat menjamin keselamatan maklumat,<br />
kebolehpercayaan dan keutuhan rangkaian di Malaysia.<br />
Laman Web: http://www.skmm.gov.my/cybersecurity.<br />
OUCH! diterbitkan oleh program "SANS <strong>Securing</strong> The <strong>Human</strong>" dan diedarkan di bawah lesen Creative Commons BY-‐NC-‐ND 3.0 license. <br />
Kebenaran diberikan untuk mengedarkan surat berita ini selagi <strong>anda</strong> menyatakan sumber rujukan, tiada perubahan kepada <br />
kandungan pengedaran dantidak digunakan untuk tujuan Mei komersil. 2011 Untuk penterjemahan atau maklumatlanjut, sila hubungi <br />
ouch@securing<strong>the</strong>human.org. <br />
Editor: Bill Wyman, Scrivens Walt, Hoffman Phil, Spitzner Lance, CarmenRuyle Hardy <br />
© The SANS Institute 2011 http://www.securing<strong>the</strong>human.org