"Hampir waktu untuk makan siang" Cameron berpikir, saat dia mengklik emailnya. "Tinjauan dokumen... peninjauan dokumen... deposisi..." Dia suka menjadi pengacara, tetapi berharap perusahaannya akan menyewa beberapa orang lagi untuk membantu beban kerja.
Dia menjeda sejenak untuk melihat email dari Tailwind Toys yang telah tiba sehari sebelumnya. Rupanya, mereka memiliki semacam pelanggaran keamanan tapi mereka tidak berpikir penyerang punya informasi pembayaran. "Hebat," dia berpikir dengan terkekeh "Sekarang mereka tahu apa mainan favorit anakku."
Beberapa saat kemudian dia bertemu temannya Akihito untuk makan siang. Menarik kursinya Akihito dengan santai menjatuhkan rantai kuncinya di atas meja.
"Hai!" Cameron berseru, "Di mana Anda mendapatkan kubus teka-teki yang mengagumkan di rantai kunci Anda?!"
"Ini cukup menyenangkan," jawab Akihito. "Itu $5 di Tailwind Toys."
"Ooh" Cameron mengatakan, tiba-tiba mengingat email yang dia lihat sebelumnya. "Apakah Anda mendengar mereka diretas dan kehilangan sekelompok info pelanggan?"
"Benarkah? Wow."
"Ya, aku yakin mereka senang mengetahui bahwa Ethan menyukai blok biru." Cameron menjawab, tertawa.
"Apakah itu semua yang mereka punya?"
"Oh, hal biasa 'Nama pelanggan, alamat email, kata sandi' juga. Tapi rupanya tidak ada kartu kredit." Cameron menjawab.
"Hmmm.. tetapi email dan kata sandi?" Akihito tampak prihatin.
"Ya, mereka mendapatkan kata sandi saya yang benar-benar luar biasa. Mereka mungkin semua menggunakannya untuk diri mereka sendiri sekarang! Panjangnya 23 karakter dan terlihat seperti ditulis di Klingon. Saya menggunakan hal itu di mana-mana."
"Di mana-mana? Apakah alamat email Anda dan kata sandi tersebut masuk untuk bank atau media sosial Anda?"
"Yah... Ya..." Cameron menjawab, "Tapi itu situs yang berbeda."
"Tidak masalah." kata Akihito. "Ada semacam serangan yang disebut 'Isian kredensial'. Ketika penjahat mendapatkan nama pengguna dan kata sandi di satu situs, mereka pergi ke semua situs lain dan mencoba nama pengguna dan kombo kata sandi tersebut untuk melihat berapa banyak dari mereka bekerja. Jika Anda menggunakan kata sandi yang sama di mana saja, dan mereka tahu kata sandi tersebut disertakan dengan alamat email Anda, mereka bisa masuk ke akun Anda di sistem apa pun yang menggunakan nama pengguna dan kata sandi yang sama."
Sekarang Cameron khawatir. "Saya pikir alamat email saya adalah nama pengguna saya di banyak tempat, termasuk di kantor. Apa yang harus saya lakukan?"
"Apakah Anda mengaktifkan verifikasi dua langkah untuk situs tersebut?" Akihito bertanya.
"Sepertinya seperti repot, jadi saya tidak mengaktifkannya." Dia mengakuinya.
"Oh. Nah, maka saya tidak akan membuang-buang waktu dan saya akan mulai mengubah kata sandi tersebut, dimulai dengan kata sandi kerja Anda. Gunakan kata sandi unik untuk semuanya, dan Anda benar-benar harus mengaktifkan verifikasi dua langkah di mana pun Anda bisa. Ini tidak benar-benar mengganggu Anda untuk langkah kedua sangat sering dan ada baiknya untuk menghentikan penjahat masuk ke rekening bank atau pekerjaan Anda."
"Ugh, aku benci mengingat semua kata sandi itu. Saya hanya tahu saya akan terus-menerus mengklik 'lupa kata sandi'." Dia merasa sedikit kewalahan pada tugas di depan.
"Dapatkan pengelola kata sandi. Mereka dapat mengingat kata sandi Anda untuk Anda, dan bahkan menyarankan kata sandi kuat baru." Akihito menyarankan. "Saya menggunakan browser Microsoft Edge untuk itu. Ini membuat hidup saya jauh lebih mudah, dan bahkan disinkronkan ke semua perangkat saya." Dia bilang, memegang ponselnya.
"OK, kurasa aku bisa melakukan itu." Dia bilang.
"Anda harus pergi melakukannya sekarang, aku akan mendapatkan makan siang." Dia bilang, mengambil dompetnya. "Nona... Bisakah dia meminta perintahnya untuk pergi?"
"Terima kasih, aku akan mendapatkan yang berikutnya." Dia bilang, menuju ke meja untuk mengumpulkan makanannya.
Rangkuman
Penggunaan kembali kata sandi sangat berbahaya. Penjahat mungkin kesulitan menerobos sistem bank Anda, tetapi hanya membutuhkan satu situs dengan keamanan yang lemah untuk dibobol dan mereka bisa mendapatkan nama pengguna dan kata sandi Anda. Dalam beberapa jam, mereka dapat mencoba kombinasi nama pengguna dan kata sandi tersebut pada ratusan, atau ribuan situs di web. Kemungkinannya, mereka akan menemukan setidaknya beberapa situs lain di mana nama pengguna dan kata sandi tersebut bekerja.
Jika Anda tidak memiliki proteksi tambahan, seperti verifikasi dua langkah ( kadang-kadang dikenal sebagai multi-factor authentication) diaktifkan, mereka bisa berada di akun Anda bahkan sebelum Anda tahu situs pertama dilanggar.
Itulah yang kredensial stuffing attack adalah.
Apa yang bisa Cameron lakukan lebih baik?
Hal besar adalah tidak menggunakan kembali kata sandinya, tidak peduli seberapa besar kata sandi itu.
Dia juga bisa mengaktifkan verifikasi dua langkah di mana pun itu tersedia. Dengan cara itu bahkan jika orang jahat mendapatkan kata sandinya akan jauh lebih sulit bagi mereka untuk masuk ke akunnya.
Apa yang Cameron lakukan dengan benar?
Begitu dia menyadari potensi bahaya dia segera pergi dan mengubah kata sandinya, mengaktifkan manajemen kata sandi di Microsoft Edge, dan mulai menggunakan verifikasi dua langkah.
Untuk mempelajari selengkapnya, kunjungi https://support.microsoft.com/security.
Jika Anda menikmati ini...
Jika Anda suka belajar tentang keamanan cyber dalam cerita pendek seperti ini, Anda mungkin juga ingin melihat Cerita phish.Inilah kisah seorang eksekutif akun yang mengalami serangan pengelabuan di kantor.