Keamanan kripto: kata sandi dan autentikasi

Siaran langsung ini membahas praktik keamanan esensial bagi pemegang mata uang kripto, mulai dari dasar-dasar manajemen kata sandi hingga autentikasi multifaktor. Andreas Antonopoulos menjelaskan prinsip-prinsip menyeimbangkan keamanan dengan kegunaan, menjelaskan mengapa pengelola kata sandi itu penting, memperkenalkan konsep frasa sandi XKCD, dan merinci hierarki metode autentikasi dua faktor.

Transkrip ini adalah salinan yang dapat diakses dari transkrip video asli (opens in a new tab) yang dipublikasikan oleh aantonop. Transkrip ini telah diedit sedikit agar lebih mudah dibaca.

Dasar-dasar keamanan dan menyeimbangkan risiko (3:05)

(bunyi bip) - Halo semuanya dan selamat datang di siaran langsung hari Sabtu ini. Siaran langsung bonus ini mengangkat topik tentang kata sandi, pengelola kata sandi, autentikasi, autentikasi multifaktor, dan segala hal yang berkaitan dengan keamanan akun Anda. Saat ini kita sudah memiliki banyak pertanyaan dalam antrean, tetapi saya tidak akan selalu berpatokan pada pertanyaan untuk sesi ini, karena saya ingin menjelaskan beberapa topik yang sulit. Dan mungkin akan lebih masuk akal bagi saya untuk membahas suatu topik sedikit lebih lama dari biasanya, atau mungkin sedikit lebih singkat dari biasanya dan membentuk alur saya sendiri melalui topik-topik ini. Topik-topik ini agak rumit. Keamanan adalah topik yang rumit. Jadi, daripada mencoba mencari pertanyaan yang paling sempurna, saya mungkin tidak akan melakukannya. Di sisi lain, saya memiliki beberapa pertanyaan bagus untuk memulai. Jadi pertama-tama, terima kasih semuanya telah bergabung. Senang rasanya

seperti biasa menghabiskan Sabtu pagi saya bekerja bersama Anda pada topik-topik baru dan menarik yang berkaitan dengan Bitcoin dan Blockchain terbuka. Nah, bagaimana kata sandi dan autentikasi multifaktor berkaitan dengan Bitcoin dan Blockchain terbuka? Anda tahu, untuk menjaga keamanan mata uang kripto Anda, Anda harus menjaga keamanan semua akun Anda. Sesuatu yang sangat menarik tentang mata uang kripto adalah bahwa bagi banyak orang, ini adalah pertama kalinya mereka harus memikirkan dengan saksama tentang keamanan identitas daring dan perangkat daring mereka. Karena sekarang ada uang yang tersimpan di sana dan itu menjadikannya target yang jauh lebih menggiurkan. Di masa lalu, orang-orang tidak terlalu termotivasi untuk melindungi keamanan mereka sendiri karena ketika Anda kehilangan privasi, ketika informasi Anda diretas, Anda tidak benar-benar merasakannya secara langsung. Dan itu memiliki banyak konsekuensi buruk, tetapi konsekuensi tersebut tidak secara langsung

terlihat dan tidak langsung terasa. Jika seseorang masuk dan mencuri beberapa ratus dolar atau beberapa ribu dolar atau lebih buruk lagi, puluhan ribu dari perangkat digital Anda, Anda merasakannya, dan Anda langsung merasakannya. Dan Anda dapat mengaitkannya secara nyata, yah secara tidak nyata lebih tepatnya. Anda dapat mengaitkannya secara tidak nyata, tetapi sangat, sangat terasa dengan keamanan Anda. Jadi ini adalah salah satu hal yang sayangnya merupakan pelajaran yang hanya benar-benar dipelajari melalui pengalaman yang menyakitkan. Dan karenanya saya dapat menghabiskan banyak waktu memberi tahu para pemula bagaimana dan mengapa mereka harus mengamankan akun mereka. Sampai mereka menginstal dompet panas mata uang kripto di salah satu perangkat mereka, dan kemudian kehilangan uang yang ada di dompet panas tersebut. Sangat sulit untuk memahami, atau termotivasi oleh apa yang saya bicarakan. Nah, hal lain yang sangat penting untuk dipahami dalam keseluruhan percakapan ini adalah bahwa keamanan

adalah sebuah keseimbangan. Ini semua tentang keseimbangan. Ini adalah manajemen risiko. Tidak ada yang namanya keamanan 100%. Tidak ada yang namanya keamanan yang sempurna. Dan Anda tidak dapat melindungi diri dari semua ancaman. Anda harus mencari tahu ancaman apa yang Anda hadapi. Anda harus mencari tahu berapa banyak dari ancaman tersebut yang benar-benar dapat Anda lindungi dan seberapa besar upaya yang akan Anda lakukan untuk melindungi diri dari ancaman tersebut, tergantung pada apa yang sebenarnya Anda lindungi. Anda juga harus mengetahui kapan solusi yang Anda bangun, sistem yang Anda gunakan menjadi sangat kompleks, sehingga hal itu menjadi risiko keamanan itu sendiri. Dan kita sering melihat para pemula, terutama di ruang mata uang kripto, membuat solusi yang terlalu kompleks. Dan kemudian kita berakhir di sisi yang salah dari keseimbangan ketahanan keamanan. Di mana mekanisme untuk mengamankan mata uang kripto Anda sangat kompleks sehingga pada kenyataannya, Anda pada akhirnya

kehilangannya karena Anda menggunakan sesuatu yang tidak standar, karena Anda lupa kata sandi, karena tidak ada yang tahu persis apa yang Anda lakukan dan Anda tidak ada untuk membantu mereka. Jadi keamanan tidak dapat dicapai seratus persen dan ini semua tentang keseimbangan. Dan kesederhanaan sering kali menjadi elemen kunci dari keamanan. Solusi keamanan sederhana yang dapat Anda terapkan sesuai dengan keterampilan teknis Anda, dan dapat Anda terapkan secara konsisten. Dan dapat Anda pulihkan jika Anda memiliki masalah, lebih baik daripada solusi keamanan kompleks yang memaksa Anda untuk melampaui tingkat keterampilan Anda, menempatkan Anda di wilayah yang belum dipetakan dan membuat Anda lebih mungkin melakukan kesalahan. Ini sering kali merupakan sesuatu yang Anda dengar, banyak nasihat buruk tentang hal ini. Orang-orang akan menyarankan Anda untuk menerapkan apa yang tampaknya merupakan skema keamanan yang sangat, sangat kompleks. Dan karena sangat kompleks, itu terasa aman. Rasanya seperti ada sebuah

Menjaga keamanan tetap sederhana (8:40)

banyak hal yang terjadi, jadi pasti sangat canggih dan serius. Dan dalam banyak kasus, Anda pada akhirnya akan melampaui kemampuan teknis Anda dan benar-benar kehilangan uang, bukan karena pencurian, tetapi karena kesalahan yang Anda buat karena Anda beroperasi di luar tingkat keahlian Anda. Jadi mari kita buat tetap sederhana. Mari kita buat berbasis standar. Mari kita gunakan praktik terbaik, alat-alat umum, dan menggunakannya secara konsisten. Sehingga kita bisa sangat aman. Kita akan langsung menuju, kita akan langsung menuju pertanyaan pertama. Ada 220 orang di siaran ini sejauh ini. Terima kasih telah memberikan saya umpan balik tentang video dan audio. Selalu menyenangkan untuk mengetahuinya. Sekadar informasi, kami mengalami sedikit gangguan listrik hari ini di lokasi ini, dan jika kami kehilangan listrik, Anda akan tahu karena siaran akan berhenti. Dan butuh waktu minimal lima menit untuk router internet dan wifi

untuk menyala kembali. Saya mungkin bisa kembali, bahkan jika listrik padam hanya sedetik, saya harus menunggu lima menit sebelum saya bisa kembali. Jika saya tidak bisa kembali, kami akan memberi tahu Anda di obrolan. Jadi mohon bersabar dan saya harap kita tidak terputus. Tapi Anda tahu itu salah satu risiko yang harus kita kelola hari ini. Mari kita ke pertanyaan pertama kita untuk hari ini. Pertanyaan pertama datang dari anonim dan memilih kata anonim untuk mengajukan pertanyaan Anda adalah mekanisme keamanan pertama dan yang baik. Apa cara terbaik untuk mengelola banyak kata sandi yang unik dan kuat jika saya menderita disleksia dan tidak pandai mengingat kata sandi yang panjang? Ini adalah pertanyaan yang bagus. Ini adalah pertanyaan yang bagus karena berbicara tentang masalah yang lebih luas, yaitu kesulitan mengingat sesuatu. Dan kita semua berpikir kita bisa mengingat lebih baik daripada

yang sebenarnya bisa kita lakukan. Dan beberapa dari kita mengalami kesulitan dengan ingatan atau membaca atau menulis atau keterampilan lain apa pun yang membantu kita dalam menghafal kata sandi. Dan mungkin tahu bahwa mereka tidak dapat mengingat dengan baik. Jadi anonim menanyakan hal ini dari sudut pandang seseorang yang menderita disleksia, tetapi, ini berlaku sama untuk semua orang. Semua orang yang memiliki ingatan manusia yang bisa salah. Manusia sangat buruk dalam mengingat untuk jangka waktu yang lama, terutama hal-hal yang tidak mudah diingat karena tidak melekat pada gambar, pengalaman, atau emosi. Mengingat hal-hal yang tidak ada hubungannya dengan kehidupan kita hampir tidak mungkin karena otak kita sangat pandai membuang informasi yang tidak relevan. Jika Anda tidak memiliki emosi, pengalaman, gambar yang terhubung dengan apa yang Anda coba ingat, otak akan berkata, ini tidak lagi relevan dengan algoritma caching saya dan akan membuangnya. Dan banyak

orang lupa kata sandi justru karena itu. Jadi saya sebenarnya akan menggunakan beberapa sumber daya di sini untuk menjawab pertanyaan ini secara lebih luas dan membantu orang-orang mendapatkan dasar dalam prinsip-prinsip fundamental kata sandi. Jadi untuk itu, saya akan menggunakan beberapa alat bantu visual. Saya biasanya tidak menggunakan alat bantu visual, tetapi saya pikir itu akan berguna dalam kasus khusus ini. Mari kita lihat bagaimana kelanjutannya. Baiklah, jadi hal pertama yang akan kita bicarakan, adalah sistem manajemen kata sandi. Selama beberapa dekade, kita telah melatih pengguna untuk membuat kata sandi alfanumerik yang panjang dan acak dengan berbagai macam karakter di dalamnya. Ini adalah kata sandi yang tidak dapat diingat oleh manusia. Ini adalah kata sandi yang sebenarnya mendorong perilaku buruk. Mereka mendorong perilaku di mana Anda akhirnya menggunakan pola licik yang sama, Satoshi Nakamoto dengan huruf O diganti dengan angka nol dan huruf pertama dari kata kedua dikapitalisasi dan huruf T diganti

dengan angka tujuh dan tanda pagar di bagian akhir. Dan sekarang Anda telah mendapatkan angka, huruf kecil, huruf besar, dan huruf. Tetapi jika Anda harus menggunakannya di lebih dari satu situs, Anda membuat perubahan kecil. Kemudian Anda mungkin harus menambahkan angka di bagian akhir. Dan kemudian Anda berakhir dengan masalah ingatan yang sangat rumit ini, yaitu bahwa situs-situs tersebut mendorong Anda untuk membuat variasi, tetapi variasi membuat Anda tidak mungkin untuk benar-benar mengingatnya, terutama dengan kata sandi dengan kerumitan ini. Dan pada akhirnya Anda menggunakan kembali kata sandi Anda di banyak situs. Inilah yang dilakukan hampir semua orang. Dan ini sangat, sangat buruk untuk keamanan. Nah, salah satu sumber daya terbaik untuk memahami cara menyelesaikan masalah ini sebenarnya adalah sebuah kartun. Jadi apa yang akan saya lakukan adalah memberi Anda dua nasihat. Yang pertama adalah jangan mencoba membuat kata sandi Anda sendiri,

Pengelola kata sandi (13:50)

gunakan pengelola kata sandi. Pengelola kata sandi adalah perangkat lunak yang menghasilkan kata sandi acak untuk Anda dan mengingatnya untuk Anda. Sistem ini memecahkan dua masalah, memori manusia bisa salah dan keacakan manusia bahkan lebih buruk. Kita sangat buruk dalam melakukan hal yang acak. Kita sangat buruk dalam mengingat dan kita dua kali lebih buruk dalam mengingat hal yang acak. Jadi Anda tidak dapat memperbaiki masalah ini dengan menjadi lebih disiplin, lebih cerdas, lebih berhati-hati. Anda tidak dapat memperbaikinya dengan menempelkan catatan post-it di layar Anda dan melakukan, Anda tahu, semua hal yang Anda lihat di sini, kan? Yang sering Anda lihat di kantor-kantor. Menuliskan kata sandi, bukanlah ide yang buruk. Jika lokasi tempat Anda menuliskannya benar-benar aman. Jadi bentuk paling dasar dari pengelola kata sandi adalah sebuah buku kecil, buku kata sandi. Dan, Anda tahu, meskipun saya akan mengatakan bahwa itu tidak terlalu modern, itu

tidak terlalu maju secara teknologi, dan itu tidak memecahkan masalah dalam menghasilkan kata sandi acak. Sejujurnya itu adalah solusi yang digunakan orang tua saya. Karena jika mereka menuliskannya, mereka dapat memiliki lebih banyak variasi dalam kata sandi mereka. Dan jika mereka menyimpan buku kecil itu di lokasi yang aman, seperti misalnya, di rumah, laci yang terkunci atau semacamnya, itu adalah mekanisme yang cukup tahan lama. Sekarang, sebagian besar dari Anda mungkin lebih canggih secara teknis daripada orang tua saya. Jadi mari kita bicarakan solusi yang lebih baik untuk Anda. Jadi solusi yang lebih baik adalah mengunduh perangkat lunak, untuk melakukan ini bagi Anda. Ada berbagai macam pengelola kata sandi. Dan kabar baiknya adalah untuk fungsionalitas dasar, ini gratis. Anda dapat menggunakan produk seperti last password atau LastPass, 1Password, Bitwarden, dan berbagai macam lainnya, KeePass, dan lain-lain. Sekarang, ini akan

memiliki banyak fitur yang berbeda dan Anda harus mencari tahu fitur mana yang sebenarnya Anda butuhkan. Saran saya adalah mulai dengan mencari tahu jenis perangkat apa yang Anda perlukan untuk menggunakannya, karena salah satu keuntungan besar menggunakan pengelola kata sandi adalah Anda dapat membuat semua kata sandi Anda disinkronisasi di semua perangkat Anda. Jadi jika Anda menggunakan Windows dan Android dan iOS, yah, itu mungkin mudah. Semua pengelola kata sandi akan mendukung semua platform tersebut dan Anda akan baik-baik saja. Anda juga ingin agar itu didukung di seluruh peramban yang Anda gunakan. Seperti Chrome, Firefox, Edge, Opera, Brave, atau apa pun yang Anda gunakan sebagai ekstensi, sehingga Anda dapat mengisi secara otomatis, dan mengirimkan kata sandi ke dalam formulir web. Saya rasa Anda semua melihat kamera video saya baru saja menunjukkan kartu penuh. Tepat di tengah siaran, itu

sangat membantu. Ya kartu SD saya baru saja penuh, jadi saya tidak lagi merekam di kamera. Ups. Ya sudahlah, tidak apa-apa. Mari kita lanjutkan. Jadi salah satu cara Anda perlu memilih pengelola kata sandi, adalah dengan mencari tahu perangkat mana yang perlu Anda dukung. Dan jika Anda memiliki beberapa perangkat yang aneh, itu menjadi sedikit lebih rumit. Jadi untuk saya, saya menggunakan Linux di desktop. Saya telah menggunakan Linux di desktop untuk waktu yang sangat lama. Dan, Anda tahu, saya pikir tahun ini sebenarnya adalah tahunnya Linux di desktop. Itu akan terjadi kawan-kawan. Tidak, tidak akan. Namun bagaimanapun juga, saya menggunakannya, itu berfungsi untuk saya, tetapi tidak didukung secara luas. Jadi tidak semua pengelola kata sandi berfungsi atau berfungsi dengan baik di desktop Linux. Untungnya, sebagian besar pengelola kata sandi berfungsi di peramban sebagai ekstensi peramban, yang membuatnya sebagian besar bersifat lintas platform. Jadi bagi saya, sebuah

Memilih pengelola kata sandi di berbagai perangkat (18:22)

pengelola kata sandi harus dapat berfungsi di Android dan Windows dan Linux dan Chrome dan Firefox dan iOS, dan lain-lain. Sehingga saya dapat menginstalnya di semua perangkat saya dan dengan demikian dapat mengakses semua kata sandi saya di semua perangkat saya. Baiklah. Jadi untuk menjawab pertanyaan yang diajukan oleh anonim, apa cara terbaik untuk mengelola banyak kata sandi yang unik dan kuat jika saya menderita disleksia dan tidak pandai mengingat kata sandi yang panjang? Cara terbaik adalah menggunakan pengelola kata sandi, yang menghasilkan kata sandi yang unik dan kuat secara acak untuk Anda. Dan, setelah Anda memilih pengelola kata sandi, Anda menetapkan satu kata sandi dan satu kata sandi itu adalah kata sandi pengelola kata sandi Anda. Saya juga menyarankan agar Anda menggunakan mekanisme autentikasi dua faktor sehingga seseorang tidak dapat begitu saja masuk dan mengunduh file kata sandi Anda menggunakan satu kata sandi tersebut. Anda memerlukan faktor autentikasi kedua. Kita akan membahas

hal tersebut di bagian kedua dari video ini hari ini. Kita juga memiliki pertanyaan lanjutan dari penonton, yaitu bagaimana saya bisa memercayai perangkat lunak ini? Nah, jawaban sederhananya adalah Anda mencari perangkat lunak yang digunakan secara luas, ditinjau dan diaudit oleh profesional keamanan, atau sumber terbuka (open source), atau semua hal di atas. Dan saya rasa semua yang saya sebutkan sebelumnya memenuhi persyaratan tersebut. Sekarang mari kita kembali ke hal yang saya sebutkan sebelumnya, yaitu, ingat ketika saya mengatakan bahwa keamanan tidak seratus persen dan keamanan adalah masalah menyeimbangkan dan memitigasi risiko. Jadi sekarang mari kita letakkan kedua risiko ini di atas meja. Risiko pertama, dapatkah saya memercayai pengelola kata sandi? Dan apa yang terjadi jika pengelola kata sandi yang saya unduh disusupi atau dapat disusupi, atau memiliki bug yang tidak disadari oleh jutaan pengguna lain dan profesional keamanan yang sedang

meninjaunya? Risiko kedua, dapatkah saya memercayai otak saya? Nah, jika Anda mengatakannya seperti itu, menjadi jelas bahwa masalah di sini adalah pengelola kata sandi apa pun lebih baik daripada tidak ada pengelola kata sandi sama sekali. Ini adalah jenis manajemen risiko yang sama yang kita lakukan ketika kita berbicara tentang dompet perangkat keras versus dompet perangkat lunak dalam mata uang kripto. Dapatkah saya memercayai produsen dompet perangkat keras tersebut? Yah, sedikit banyak, tidak seratus persen. Ada beberapa risiko di sana. Bagaimana risiko tersebut dibandingkan dengan tidak memiliki dompet perangkat keras? Dan sekali lagi, jawabannya adalah dompet perangkat keras apa pun lebih baik daripada tidak ada dompet perangkat keras sama sekali. Jadi apa saja risiko yang sebenarnya dapat Anda kelola? Penting ketika Anda mencari pengelola kata sandi ini, Anda memastikan bahwa Anda memiliki perangkat lunak yang tepat. Bahwa Anda tidak sekadar mengunduhnya dari situs web acak, dengan kupon Groupon, untuk sesuatu yang sebenarnya gratis, dan

kemudian mendapatkan Trojan di sistem Anda. Namun kembali ke intinya, pengelola kata sandi apa pun lebih baik daripada tidak ada pengelola kata sandi sama sekali. Oleh karena itu, Anda tidak boleh mencoba membuat kata sandi unik sendiri. Jika sebuah situs web meminta kata sandi alfanumerik delapan karakter atau lebih, Anda lakukan apa yang saya lakukan. Anda mengeklik tombol kecil yang bertuliskan buat kata sandi aman. Anda mengatur panjangnya menjadi 31 karakter, 75 karakter, 213 karakter. Saya suka bermain-main dengan situs web untuk melihat seberapa panjang saya bisa membuatnya sebelum mereka mulai berteriak bahwa itu terlalu panjang. Setelah bertahun-tahun pengelola kata sandi dan sistem berteriak kepada saya, itu tidak cukup panjang. Itu tidak cukup kompleks. Saya ingin melihat situs web mulai berteriak bahwa itu terlalu panjang. Itu terlalu kompleks. Ayolah, kawan, apa yang sedang Anda lakukan? Basis data saya tidak dapat memuatnya. Jadi, buatlah kata sandi acak yang kuat. Sekarang, dapatkah saya mengingat kata sandi ini?

Tentu saja tidak. Saya memiliki 800 kata sandi di pengelola kata sandi saya, semuanya lebih dari 20 karakter, alfanumerik yang sepenuhnya acak dengan simbol, huruf besar, huruf kecil, dan angka. Mustahil bagi saya untuk mengingat salah satunya, apalagi ke-800 kata sandi tersebut, tetapi saya mengingat kata sandi utama saya. Baiklah, mari kita lihat pertanyaan apa lagi yang kita miliki. Dan lanjut ke pertanyaan kita berikutnya, yang akan memberi saya kesempatan untuk berbicara tentang topik berikutnya yang ingin saya bahas. Anonim bertanya, apakah ada standar keamanan minimum yang layak untuk kata sandi atau frasa sandi ketika saya menggunakan pembuat kata sandi yang kuat, itu tidak berfungsi untuk banyak hal. Ya. Situs web memiliki ekspektasi yang konyol untuk kata sandi, dan sering kali itu adalah ekspektasi yang buruk. Mereka mendorong, misalnya, informasi yang saling bertentangan. Biar saya beri Anda sebuah contoh. Kata sandi harus lebih dari delapan karakter, alfanumerik dengan simbol dan angka, tetapi kami telah menonaktifkan penempelan (paste) ke dalam formulir. Apa

Kebijakan kata sandi yang buruk (24:02)

apa yang Anda lakukan? Apa yang Anda lakukan? Mengapa Anda meminta saya untuk memilih kata sandi yang rumit yang jelas-jelas akan saya buat menggunakan generator lalu tidak mengizinkan saya menempelkannya. Atau tidak mengizinkan saya menempelkannya ke bagian konfirmasi pada formulir? Apakah Anda gila? Apa yang Anda lakukan? Berhentilah melakukan itu. Atau kata sandi lain yang mensyaratkan delapan hingga 12 karakter. Benarkah? Anda ingin saya membuatnya rumit, tetapi tidak terlalu rumit. Jadi saya tidak bisa menggunakan 13 karakter, itu sama sekali tidak masuk akal. Atau kombinasi simbol yang aneh. Oh ya, kami menerima simbol, tetapi hanya tanda pagar, tanda seru, dan tanda bintang. Tanda kutip tunggal dan tanda at (@) tidak kami terima karena itu akan membingungkan regex kami. Semua ini adalah kebijakan kata sandi yang sangat, sangat buruk. Atau kebijakan ubah kata sandi Anda setiap bulan, tetapi jangan gunakan kembali kata sandi yang Anda gunakan dari bulan sebelumnya dan buat kata sandi tersebut

tetap rumit dengan cara yang aneh seperti itu. Ini semua adalah kebijakan kata sandi yang aneh dan Anda akan menemukan banyak hal seperti ini. Intinya adalah Anda tidak bisa mengharapkan berbagai situs web dari berbagai perusahaan yang memiliki tim keamanan dan kebijakan keamanan yang berbeda serta tingkat kesadaran keamanan yang bervariasi untuk menemukan kebijakan yang baik dan berfungsi bagi sebagian besar pengguna mereka. Ingatlah, mereka mencoba melayani pengguna yang rentangnya mulai dari saya yang mencoba memasukkan 37 karakter kata sandi acak yang dihasilkan dari pengelola kata sandi saya hingga pengguna yang memakai satu, dua, tiga, empat, lima, enam, tujuh, delapan. Yang mana tampaknya merupakan kata sandi paling umum di internet atau kata sandi satu, dua, tiga, empat, yang menurut saya adalah kata sandi paling umum kedua di internet. Jadi, menemukan kebijakan yang berfungsi untuk semua orang ini, sangat, sangat sulit bagi situs web untuk melakukannya. Jadi apa yang saya lakukan

adalah saya terus mencoba. Saya akan memasukkan kata sandi yang dihasilkan secara acak dari jenis yang saya suka, Anda tahu, 37 karakter dan semua simbol. Lalu situs web tersebut akan mengeluh dan berkata, saya tidak terlalu suka tanda bintang, mengapa Anda melakukan ini kepada saya? Jadi saya akan mematikan beberapa simbol atau situs itu akan mengatakan itu terlalu panjang, jadi saya akan membuatnya lebih pendek. Atau situs itu akan mengatakan, sebenarnya saya juga butuh setidaknya dua huruf kapital, tetapi tidak boleh dimulai dengan angka. Dan saya seperti, Ugh, ayolah. Saya akan terus mengutak-atiknya sampai saya mendapatkan sesuatu yang berhasil. Tetapi tidak peduli apa yang saya dapatkan, itu akan memiliki dua jaminan. Kata sandi itu akan panjang dan rumit serta akan dihasilkan sepenuhnya secara acak dan tidak mengandalkan otak manusia untuk menghasilkannya untuk saya atau mengingatnya. Dan saya menggunakan tingkat kerumitan tertinggi yang saya bisa. Baiklah, jadi anonim

mengajukan pertanyaan berikutnya untuk kita, yang memungkinkan saya untuk melanjutkan narasi ini. Mungkin pertanyaan bodoh, tetapi bukankah pengelola kata sandi berada di cloud dan oleh karena itu bisa menjadi target peretas dengan mudah? Pertanyaan yang bagus, anonim. Begini cara kerja perangkat ini. Cadangan basis data kata sandi Anda disimpan di cloud. Namun, cadangan tersebut dienkripsi dan dienkripsi secara end-to-end. Artinya, cadangan itu dienkripsi di mesin lokal Anda. Itu dikirim dalam keadaan terenkripsi ke cloud, dan didekripsi lagi, hanya di mesin lokal Anda. Cara mengenkripsi dan mendekripsinya adalah dengan menggunakan kata sandi utama Anda. Dan kata sandi utama itu sendiri dilewatkan melalui apa yang dikenal sebagai stretcher. Dan apa yang dilakukan stretcher adalah ia mengambil algoritma peregangan kata sandi jika Anda mau, sebenarnya itu adalah algoritma proses hash. Apa yang dilakukannya adalah mengambil kata-kata atau karakter yang Anda ketikkan sebagai kata sandi utama

Anda, lalu melewatkannya melalui ribuan putaran proses hash. Nah, ini memakan waktu dan hasilnya adalah kata sandi yang tidak dapat dibobol dengan brute force. Karena katakanlah saya mengetik kata sandi dan mengenkripsinya atau menge-hash-nya sekali lalu mengirimkannya ke server. Bagus, nah, itu rentan terhadap serangan yang cukup mudah, yang disebut rainbow table. Apa yang akan terjadi selanjutnya adalah penyerang akan mengambil semua kata sandi paling umum yang dapat Anda bayangkan, menge-hash-nya, dan menghasilkan basis data kata sandi yang di-hash yang dapat digunakan untuk serangan tersebut. Sekarang, jika di sisi lain, atau saya bisa terus mencoba kata sandi yang berbeda lagi dan lagi dan lagi, sampai saya menemukan yang tepat. Serangan brute force yang khas. Tetapi jika setiap kata sandi di-hash 25.000 kali atau 50.000 kali, atau seratus ribu kali, setiap kali saya

Bagaimana basis data kata sandi dienkripsi (29:19)

mengetiknya di komputer saya membutuhkan waktu dua hingga tiga detik. Yang mana bukan masalah besar bagi saya. Dua hingga tiga detik saat pertama kali saya masuk ke peramban atau komputer saya untuk memulai pengelola kata sandi saya, dua hingga tiga detik. Namun, jika Anda harus menambahkan dua hingga tiga detik setiap kali Anda mengetikkan kata sandi, nah, itu benar-benar mengacaukan pendekatan serangan brute force. Hal ini juga membuatnya mustahil untuk menghasilkan basis data hash kata sandi yang telah dihitung sebelumnya, karena akan memakan waktu sangat lama untuk mencoba beberapa ribu kombinasi saja. Dan jika kata sandi utama Anda cukup rumit, dibutuhkan lebih dari sekadar beberapa ribu kombinasi kata sandi untuk menghasilkannya. Jadi basis data kata sandi biasanya dienkripsi dengan algoritma enkripsi berbasis standar yang cukup lugas. AES256 mungkin adalah yang paling umum digunakan untuk ini, tetapi kira-kira seperti

itu. Ini adalah algoritma enkripsi simetris yang menggunakan kunci tunggal, sebuah kunci privat untuk mengenkripsi data dan mendekripsi data. Kunci yang sama digunakan untuk enkripsi dan dekripsi, itulah sebabnya ini disebut algoritma enkripsi simetris. Dan kunci tersebut dihasilkan dengan melakukan proses hash secara berulang pada frasa sandi utama Anda. Jadi, selama Anda hanya memasukkan frasa sandi utama Anda di perangkat lokal, dan perangkat tersebut tepercaya, maka Anda mendapatkan tingkat keamanan yang tinggi. Ya, basis data kata sandi ada di cloud, tetapi itu dienkripsi dan tidak ada yang bisa membukanya kecuali mereka memiliki frasa sandi utama Anda, yang tidak pernah Anda ketik di mana pun selain di salah satu perangkat Anda sendiri. Tentu saja, ada beberapa masalah di sana. Karena jika Anda memiliki pencatat ketikan (keylogger) kata sandi di perangkat lokal Anda, maka alat itu dapat menangkap Anda saat mengetikkan frasa sandi utama. Namun yang menarik, itu tidak akan

cukup bagi penyerang jika Anda memiliki autentikasi dua faktor dan alasan mengapa itu tidak akan cukup bagi penyerang adalah karena mereka mungkin menangkap frasa sandi utama Anda, tetapi mereka tidak dapat mengunduh basis data terenkripsi dari cloud tanpa autentikasi faktor kedua, yang idealnya terikat pada mesin Anda, atau pada hal lain. Dan mereka tidak memiliki faktor kedua tersebut, kita akan membahas lebih lanjut tentang autentikasi dua faktor sebentar lagi. Kita sedang membangun lapisan-lapisan. Saya tidak tahu apakah Anda melihat apa yang kita lakukan di sini, tetapi ya, kita melihat setiap masalah yang dapat terjadi dan kita menambahkan lapisan keamanan. Keamanan bukanlah, dan inilah satu hal yang menghentikan segalanya. Keamanan adalah menempatkan penghalang di jalan penyerang. Dan ya, Anda bisa menembus penghalang ini, tetapi tepat di belakangnya ada penghalang lain. Dan kemudian jika Anda menembus penghalang itu, tepat di belakangnya, ada

penghalang lain. Dan jika saya membuat penghalang tersebut cukup kuat, tetapi juga memiliki banyak lapisan dan lapisan keamanan, dan saya juga memastikan keterampilan yang Anda butuhkan untuk menembus satu lapisan berbeda dari keterampilan yang Anda butuhkan untuk menembus lapisan lainnya. Dan saya memastikan bahwa alat dan anggaran yang Anda butuhkan untuk menembus satu lapisan berbeda dari yang lain. Maka peluang Anda untuk melewati semua lapisan ini, tanpa saya sadari, tanpa saya menghentikannya dan berhasil melewatinya, atau bahkan melakukannya dalam skala besar terhadap banyak sekali korban akan sangat, sangat, sangat berkurang. Dan itulah intinya. Baiklah, saya akan minum kopi sebentar di sini dan mengobrol sedikit dengan Anda di obrolan sambil saya mencari pertanyaan lain yang, ya, pertanyaan lain yang mungkin ingin Anda tanyakan. Biar saya tampilkan sebuah

halaman kecil, saya rasa semua patron yang memungkinkan saya untuk membuat materi edukasi semacam ini sambil saya minum kopi dari cangkir baru saya yang bertuliskan aturan tanpa penguasa (rules without rulers). Salah satu pembicaraan saya yang lebih populer baru-baru ini. Ini dilengkapi dengan Bitcoin oranye kecil. Ya Tuhan, berhentilah beriklan kepada kami, kami akan membeli pernak-pernik (swag) Anda. Lanjutkan saja dengan konten yang bagus. Sebentar lagi. Dan kita kembali. Oke, saya bisa menyingkirkan ini ke samping sana. Saya akan memutarnya agar terlihat bagus. Nah, begitu. Baiklah. Jadi saya sedang memeriksa pertanyaan-pertanyaan untuk mencoba menemukan satu yang akan memungkinkan saya untuk melanjutkan narasi kecil ini dengan cara yang seringkas mungkin. Jadi sekarang mari kita bicara tentang frasa sandi dan untuk itu, saya akan mendapatkan bantuan dari Bruce yang bertanya, bagaimana pendapat tentang penggunaan kata sandi yang kuat sebagai frasa sandi dompet.

Frasa sandi dompet dan BIP-39 (35:02)

Dan apa yang dibicarakan Bruce di sini adalah frasa sandi opsional yang tersedia bagi mereka yang menggunakan frasa mnemonik BIP-39. Ini juga dikenal sebagai kata ke-25 karena frasa mnemonik terdiri dari 24 kata. Dan secara teoretis, jika Anda menambahkan kata ke-25, tetapi saya tidak akan menambahkan kata ke-25, melainkan kita akan menyebutnya sesuai dengan aslinya, yaitu frasa sandi opsional, dan bisa lebih dari satu kata. Jadi itulah frasa sandi dompet. Ini adalah frasa sandi opsional tambahan yang Anda tambahkan ke frasa mnemonik Anda untuk membuat frasa mnemonik tersebut memiliki faktor kedua. Sehingga jika seseorang mencuri 24 kata yang tertulis di selembar kertas di kantor Anda misalnya, maka mereka tidak dapat langsung mengambil uang Anda karena ada frasa sandi dompet. Sekarang, ingat ketika kita berbicara tentang satu kata sandi, kata sandi utama yang

digunakan dalam pengelola kata sandi. Dan kita mengatakan bahwa kata sandi tersebut di-hash berulang kali dan itu mencegah serangan brute force. Nah, hal yang sama persis dilakukan dengan frasa sandi opsional dan frasa mnemonik dalam standar BIP-39. Algoritma peregangan kata sandi yang disebut PBKDF2, digunakan untuk meregangkannya dengan SHA-512 dengan menerapkan 2000 putaran SHA-512. Sekarang ini adalah sedikit kompromi, ini adalah kompromi dalam standar BIP-39 karena standar BIP-39, standar frasa mnemonik untuk dompet harus dapat berjalan pada perangkat dompet perangkat keras, yang merupakan perangkat USB kecil sebesar ini dan yang tidak memiliki banyak daya pemrosesan. Jadi sebenarnya menjalankan 2000 putaran SHA-512, membutuhkan beberapa detik. Dua, tiga detik. Sekarang apa artinya itu adalah, sayangnya ini bukan perlindungan yang sangat baik, ini memadai, tetapi dapat di-brute

force jika Anda memiliki komputer yang jauh lebih kuat. Jadi jika Anda menggunakan GPU, misalnya, atau bahkan lebih baik, ASIC yang dirancang untuk SHA-512 atau perangkat FPGA untuk SHA-512, maka Anda sebenarnya dapat melakukan 2000 putaran dalam sepersekian detik. Dan oleh karena itu Anda dapat mencoba ratusan, mungkin ribuan kata sandi atau frasa sandi per detik, pada seed yang sama. Yang akan memungkinkan Anda untuk menyerang mnemonik BIP-39 dengan frasa sandi opsional, dengan jumlah perangkat keras yang tepat sesuai anggaran. Namun sekali lagi, ini bukan hal yang sepele. Jadi kita berbicara tentang lapisan-lapisan. Jadi mari kita bicara tentang frasa sandi. Kita menggunakan istilah frasa sandi alih-alih kata sandi untuk menunjukkan bahwa itu bukan satu kata. Itu sebenarnya adalah sebuah frasa. Sama seperti frasa mnemonik adalah sebuah frasa. Itu adalah serangkaian kata, dipisahkan oleh spasi. Dan itu membuatnya jauh lebih mudah untuk diingat, serta

untuk ditulis dan dibaca, bahkan jika sedikit rusak dan tetap dapat membacanya. Ternyata manusia sangat, sangat pandai dalam pengenalan pola. Jadi jika Anda menulis dengan tulisan tangan Anda sendiri, serangkaian kata dalam huruf kecil, Anda dapat membacanya, bahkan jika dua pertiga dari kata tersebut luntur, atau Anda dapat menebaknya dengan cukup baik. Dan jika kata-kata tersebut memiliki arti bagi Anda, atau Anda dapat membuat gambaran mental dengan kata-kata tersebut, Anda sebenarnya dapat mengingat sebuah frasa jauh lebih baik daripada Anda dapat mengingat kata sandi yang dihasilkan secara acak yang terdiri dari huruf besar dan kecil serta angka. Namun untuk menjelaskan hal ini dengan sedikit lebih baik, saya akan meminta bantuan dari Randall Monroe. Sekarang Anda mungkin pernah mendengar saya berbicara tentang Randall Monroe di masa lalu. Randall Monroe adalah seorang seniman grafis yang membuat kartun bernama

XKCD. Dan XKCD adalah kartun grafis yang menunjukkan berbagai konsep teknis, dan juga kritik sosial yang lucu serta segala macam ide fantastis. Ada ide-ide yang sangat, sangat cerdas yang disajikan dengan sangat, sangat baik. Dan Anda tahu, ini adalah salah satu situasi di mana ada XKCD, ada gambar XKCD untuk hampir semua konsep yang ingin Anda jelaskan dengan baik. Jadi saya akan menggunakan salah satu yang mungkin sudah sering Anda dengar sebelumnya, dan ini dikenal sebagai correct horse battery staple. Dan jika itu terdengar seperti omong kosong, tetaplah di sini sebentar. Baiklah, mari kita lihat yang satu itu, di layar kita di sini. Jadi yang satu ini disebut, yang satu ini disebut kata sandi. Melalui upaya selama 20 tahun, kita telah berhasil melatih semua orang untuk menggunakan kata sandi yang sulit diingat oleh manusia, tetapi mudah ditebak oleh komputer. Dan jika Anda melihat ke atas sini pada

Konsep frasa sandi XKCD (40:47)

di sudut kiri atas, ini adalah kata sandi khas yang diminta dari Anda di sebuah situs web. Jadi ini adalah, huruf besar, huruf kecil, angka, dan simbol dalam urutan tertentu. Apa yang Anda lihat di sini adalah hal khas yang dilakukan pengguna untuk membuat dan mengingatnya, yaitu mereka mencoba mengacak sebuah kata. Jadi ini adalah kata Troubadour. Seorang musisi keliling yang bernyanyi tentang eksploitasi para pahlawan. Saya rasa itulah arti Troubadour. Sebuah Troubadour dan angka tiga. Jadi dalam kasus ini Anda melihat sesuatu yang terlihat agak acak, tetapi sebenarnya tidak acak. Sekarang hal khusus ini dapat dianalisis dari basis komputer. Dari perspektif matematika, dari perspektif teori informasi, untuk melihat seberapa acak hal ini. Atau seberapa banyak keacakan yang terkandung dalam hal semacam ini. Jadi dalam kasus khusus ini, kita memiliki sekitar 28 bit entropi. Itu berarti bahwa

jumlah kompleksitas ini dapat diekspresikan oleh angka biner dengan 28 digit biner, dua pangkat 28. Yang mana jika Anda dapat menebak dengan seribu tebakan per detik, akan memakan waktu tiga hari untuk meretasnya secara paksa (brute force). Jadi ini pada dasarnya adalah layanan web atau semacamnya di mana Anda mencoba beberapa tebakan per detik. Jika Anda memiliki basis data yang Anda curi dari sebuah situs web, tentu saja Anda dapat menerapkan jauh lebih banyak dari seribu tebakan per detik pada komputer rata-rata. Namun bagaimanapun juga, ini sebenarnya mudah ditebak oleh komputer. Dan ini mudah ditebak oleh komputer karena 28 bit entropi tidaklah cukup, tetapi meskipun mudah bagi komputer untuk menebak dan meretasnya secara paksa hanya dengan mencoba semua kemungkinan kombinasi huruf besar dan kecil dalam urutan ini, ini sebenarnya sangat sulit untuk diingat oleh manusia. Dan tepat

di bawahnya Randal Monroe menunjukkan kepada kita pendekatan yang berbeda, yaitu menggunakan kata-kata bahasa Inggris biasa, yang dipisahkan oleh spasi. Ini adalah frasa sandi mnemonik, bukan kata sandi. Dan dalam kasus ini, hanya memilih empat kata secara acak, hanya empat. Empat kata secara acak sebenarnya menghasilkan, jika Anda mengasumsikan itu dari kamus besar, mungkin kamus bahasa Inggris, yang mencakup seratus ribu kata. Maka Anda mendapatkan sekitar 44 bit entropi. 44 bit entropi memberi Anda 550 tahun pada seribu tebakan per detik. Dan 55 tahun pada 10.000 tebakan per detik. Lima tahun pada 100.000 tebakan per detik. Ini sebenarnya sulit untuk diretas secara paksa dan ini hanya empat kata. Namun yang terpenting, ini mudah diingat oleh manusia. Inilah sebabnya kita menggunakan frasa mnemonik dalam bit 39. Jadi jika Anda memikirkan 'correct horse battery staple', Anda dapat membuat ini, meskipun ini adalah kata-kata

acak, Anda dapat membuat gambaran mental aneh ini yang memberi Anda dasar untuk asosiasi. Dan asosiasi adalah cara kerja memori pada manusia. Jadi Anda memiliki gambar kecil ini yang sedang dibuat di sini. Itu adalah 'battery staple' (staples baterai), 'correct' (benar). Jadi itu adalah seekor kuda yang mengatakan itu adalah staples baterai dan seseorang mengatakan benar, itu adalah staples baterai, sebuah 'correct horse battery staple'. Dan jika Anda hanya mengucapkan keempat kata ini kepada seorang geek, mereka akan segera tahu apa yang Anda bicarakan karena frasa ini sangat mudah diingat sehingga jutaan orang di seluruh internet telah berhasil menghafalnya dari satu kartun dan contoh ini. Jadi dengan hal-hal yang luar biasa, Xkcd.org, adalah tempat yang bisa Anda kunjungi untuk melihat seri kartun ini. Karya yang fantastis. XKCD. Namun saya pikir itu membantu Anda memahami intinya. Jadi ini adalah frasa sandi, dan ini adalah cara yang jauh lebih baik untuk menghasilkan sebuah

Menggunakan frasa sandi untuk dompet dan enkripsi (45:27)

kata sandi utama untuk pengelola kata sandi Anda, serta frasa sandi opsional untuk dompet Anda. Jadi, Anda sebenarnya dapat membuat frasa sandi opsional untuk dompet Anda dengan ini. Hal ini sangat sulit untuk dibobol secara paksa (brute force), bahkan dengan GPU atau FPGA. Bahkan jika Anda dapat melakukan 2000 putaran SHA-512, Anda masih membutuhkan waktu berbulan-bulan atau bahkan bertahun-tahun, sebelum seseorang dapat membobol sesuatu yang hanya terdiri dari empat atau lima kata. Jika Anda menggunakan enam kata, Anda benar-benar memiliki mekanisme yang sangat kuat. Sekarang Anda tidak akan hanya menggunakan ini. Jadi katakanlah Anda memiliki frasa mnemonik BIP-39, dan Anda ingin menambahkan frasa sandi opsional dan Anda berkata, oke, saya akan memilih empat kata secara acak, dari kamus. Dan kemudian itu akan menjadi frasa sandi opsional saya, dan saya dapat menghafal keempat kata tersebut dan mengingatnya. Dan saya juga akan mencadangkannya

ke lokasi sekunder karena meskipun saya dapat mengingatnya, bagaimana jika terjadi sesuatu pada saya. Apakah saya ingin warisan saya menghilang entah ke mana karena tidak ada yang dapat menemukan frasa sandi opsional yang saya gunakan. Tidak, tentu saja tidak. Jadi saya juga harus mencadangkan frasa sandi tersebut, saya akan mencadangkan frasa mnemonik, yaitu seed-nya. Dan saya juga akan mencadangkan frasa sandi opsional dan menyimpannya di dua lokasi yang berbeda. Saya juga akan mengaturnya sedemikian rupa sehingga jika seseorang mengintip seed saya, saya tahu mereka telah melihat seed saya sehingga saya tahu untuk memindahkan uang saya sebelum mereka dapat mencoba semua kemungkinan kombinasi frasa sandi dengan menggunakan komputer yang canggih. Cara saya melakukannya adalah dengan teknologi yang sangat, sangat sederhana. Yaitu kantong plastik, kantong plastik tamper-evident. Anda dapat membelinya dalam

kemasan berisi seratus buah dari pengecer daring di mana saja. Kantong ini digunakan untuk sumbangan uang tunai pada permainan bingo dan gereja serta hal-hal semacam itu. Kantong ini digunakan untuk mencegah karyawan mencuri. Dan kantong ini buram, dan setelah Anda menyegelnya, satu-satunya cara Anda dapat membuka segelnya tanpa terlihat jelas adalah dengan merobek atau memotongnya, Anda akan meninggalkan bekas. Anda tidak dapat membekukan atau memanaskan atau membuka segel dan menyegelnya kembali tanpa meninggalkan bekas. Jadi, jika Anda memasukkan frasa mnemonik dan frasa sandi opsional Anda ke dalam kantong tamper-evident seperti itu, dan seseorang mengintipnya, Anda tahu bahwa mereka telah mengintipnya. Jadi, jika Anda mengaudit lokasi penyimpanan Anda setiap beberapa bulan, Anda memiliki dasar keamanan yang baik. Baiklah, saya akan menyelesaikannya. Kita akan melanjutkannya selama 45 menit lagi, kira-kira karena saya masih memiliki banyak hal untuk dibicarakan, tentang dua faktor

autentikasi. Tetapi saya ingin Anda memahami bagaimana kita melakukan konsep frasa sandi ini. Jadi, di segmen berikutnya, saya akan berbicara tentang cara membuat frasa sandi dengan aman. Mari kita lakukan badai emoji (emoji storm) dan tolong saya menyerukan kepada semua anggota komunitas YouTube untuk menunjukkan kepada semua orang kekuatan kreatif dan ekspresif yang luar biasa dari emoji kustom dari saluran saya dengan melakukan badai emoji, mulai. Baiklah, dan saya kembali. Jadi Anda ingin membuat frasa sandi. Dan Anda tahu bahwa frasa sandi ini mungkin paling baik jika dalam bentuk yang kita kenal sebagai frasa sandi XKCD, correct horse battery staple. Serangkaian kata bahasa Inggris yang dipilih secara acak, yang dapat Anda buat asosiasi mentalnya, sebuah gambar yang menyertainya. Anda akan menggunakan frasa sandi ini, mungkin untuk kata sandi utama Anda, untuk pengelola kata sandi Anda, yang harus Anda ketik

Menghasilkan frasa sandi secara aman (50:25)

berkali-kali dalam sehari di berbagai perangkat. Saya menggunakan frasa sandi serupa untuk tujuan lain, dan saya tidak mengulang frasa sandi yang sama. Namun, saya mendapati bahwa saya dapat mengingat tiga atau empat di antaranya sebelum menjadi rumit. Jadi, saya akan membutuhkan frasa sandi seperti itu untuk frasa sandi opsional saya pada dompet bit 39. Saya juga akan membutuhkan frasa sandi seperti itu untuk enkripsi hard drive di laptop saya. Saya lebih suka menggunakan hard drive yang dienkripsi. Dan sebelum Anda mem-boot laptop saya atau perangkat saya yang mana pun, sungguh, Anda perlu memasukkan frasa sandi. Dan frasa sandi itu juga berbentuk seperti itu. Itu adalah frasa sandi mnemonik. Ia menggunakan serangkaian kata bahasa Inggris, dipisahkan oleh spasi. Untuk tujuan konsistensi, saya selalu mengetik frasa sandi mnemonik saya semuanya dalam huruf kecil dengan spasi sederhana di antaranya. Jadi kata huruf kecil, spasi, kata huruf kecil, spasi, kata huruf kecil enter. Dan mereka bisa

memiliki panjang antara empat hingga delapan kata. Anda harus memutuskan tingkat keamanan apa yang Anda butuhkan, dan itu bergantung pada di mana Anda menggunakannya. Berapa banyak putaran proses hash yang digunakan dalam pembuatan kunci enkripsi yang diturunkan dari frasa sandi tersebut dan apa tingkat ancaman yang Anda hadapi untuk hal-hal ini. Namun, empat mungkin harus menjadi jumlah kata minimum yang Anda gunakan dan delapan mungkin akan menjadi jumlah maksimum sebelum Anda mulai melupakan banyak hal dan menjadi bingung. Terutama untuk frasa sandi yang tidak terlalu sering Anda gunakan. Semakin sering Anda menggunakan frasa sandi, semakin sering Anda mengetiknya, semakin panjang Anda bisa membuatnya. Karena dengan begitu Anda akan dipaksa untuk mengingatnya melalui latihan. Jadi saya bisa menggunakan frasa sandi yang sedikit lebih panjang pada pengelola kata sandi saya karena saya mengetiknya setiap hari. Saya akan menggunakan frasa sandi yang sedikit lebih pendek,

misalnya, sebagai frasa sandi opsional pada dompet, dan frasa sandi yang sedikit lebih pendek lagi sebagai frasa sandi opsional di perangkat saya, boot terenkripsi untuk hard drive saya, karena itu hanya saya ketik katakanlah sebulan sekali dan mungkin lebih mudah bagi saya untuk melupakannya. Jadi bagaimana kita memilih kata-kata ini? Ada beberapa cara untuk melakukannya, tetapi Anda ingin kata-kata tersebut acak. Anda tidak ingin kata-kata itu menjadi sebuah lagu. Lirik dari, entahlah. Saya baru saja akan menyebutkan sebuah lagu, tetapi saya pikir itu akan menimbulkan terlalu banyak kontroversi. Jadi saya akan melewatkannya sama sekali. Anda tidak ingin itu menjadi seruan penyemangat tim sepak bola Anda. Anda tidak ingin itu menjadi slogan negara bagian Anda. Anda tidak ingin itu menjadi frasa dari Star Trek. Mengapa? Karena semua frasa tersebut ada dalam kamus yang

telah dikumpulkan oleh para peretas. Apa pun yang mungkin mendapatkan hasil jika Anda mengetiknya di Google sebagai sebuah frasa, yang tentu saja, tidak akan Anda ketik di Google karena itu merusak keamanan yang seharusnya tidak pernah Anda gunakan. Anda tidak boleh menggunakan frasa yang pernah diucapkan, atau kemungkinan akan diucapkan oleh seseorang. Jadi sebagai gantinya, Anda ingin memilih kata-kata acak dan kemudian mencoba membuat gambaran mental atau asosiasi yang bermakna bagi Anda. Dan itu bisa sangat aneh dan ganjil selama itu bermakna bagi Anda dan Anda dapat mengulangi gambaran itu di kepala Anda dan melakukan sedikit latihan. Itu adalah cara yang bagus untuk melakukannya. Jadi bagaimana Anda memilih kata-kata acak? Nah, ada beberapa cara yang bisa Anda lakukan. Anda bisa membuka kamus di halaman yang berbeda dan meletakkan jari Anda tanpa melihat, tidak terlalu

bagus. Anda kemungkinan akan menghabiskan sebagian besar waktu Anda memilih sepertiga bagian tengah halaman dan kamus serta sepertiga bagian tengah halaman dengan jari Anda. Namun, itu sebenarnya sudah cukup bagus karena kamus memiliki banyak kata di dalamnya. Kamus yang bagus, besar, dan tebal. Jadi Anda akan mendapatkan keacakan yang cukup. Jadi itu adalah cara mudah yang bisa Anda lakukan langsung di rumah tanpa usaha ekstra. Jika Anda ingin melangkah lebih jauh, Anda dapat menggunakan teknik yang disebut diceware. D-I-C-E-W-A-R-E. Dan diceware adalah mekanisme di mana Anda memiliki daftar kata yang dapat Anda unduh. Anda dapat mengunduh daftar indeks diceware, situs web yang akan Anda temukan adalah... Anda dapat menemukan ini di Google dengan cukup mudah. Yang pertama muncul, yaitu diceware.D-M-U-T-H dmuth.org adalah yang benar. Dan jika Anda menggunakan situs web itu, Anda dapat mengunduh daftarnya. Nah, apa yang

Metode diceware (55:27)

yang menarik dari daftar tersebut adalah daftar itu diindeks oleh angka-angka yang memiliki digit antara satu dan enam, yang memungkinkan Anda untuk kemudian menggunakan dadu, dadu biasa, dadu reguler. Anda melempar dadu lima kali dan Anda membuat angka lima digit di mana semua digitnya antara satu dan enam, lalu Anda mencari kata yang sesuai dengan indeks tersebut dalam daftar diceware, dan Anda menuliskannya dan Anda mendapatkan keacakan. Anda mendapatkan keacakan yang dirancang untuk digunakan dengan dadu biasa, yang mana ini sangat praktis. Jika Anda memiliki beberapa dadu di sekitar Anda, Anda dapat dengan mudah melakukan ini. Ini non-digital, Anda mengunduh daftar tersebut ke komputer Anda sendiri, dan Anda cukup memilih kata-kata dari daftar itu secara acak. Sekali lagi, itu adalah cara yang bagus untuk menghasilkan salah satu frasa sandi acak ini. Dan tentu saja, Anda juga dapat menggunakan program di komputer Anda. Masalahnya tentu saja adalah

bahwa jika sudah ada malware Trojan atau pencatat ketikan (keyboard logger) di komputer Anda, itu dapat menyebabkan beberapa kesulitan. Saya menggunakan program yang disebut XKCD pass, yang sebenarnya menghasilkan frasa sandi yang kompatibel dengan XKCD. Saya menghasilkan banyak sekali frasa sandi tersebut. Dan kemudian saya memilih satu secara acak dari daftar yang sangat, sangat panjang itu. Dan saya tidak membuat indikasi apa pun di komputer saya tentang mana yang saya pilih. Saya hanya menggulir dan menggulir dan menggulir daftar yang sangat panjang. Ini membuatnya jauh lebih sulit untuk ditangkap dengan cara itu. Sekali lagi, ini tentang lapisan keamanan. Ini tidak sempurna. Ada banyak kesulitan dan celah dalam seluruh proses ini. Baiklah. Jadi kita sekarang telah berbicara tentang keamanan kata sandi, dan kita telah menggabungkan sejumlah topik bersama-sama. Kita telah berbicara tentang kompleksitas kata sandi. Kita telah berbicara tentang pelapisan keamanan. Kita telah berbicara tentang kelemahan memori manusia dan keacakan manusia. Kita telah berbicara tentang mengapa

menggunakan perangkat lunak lebih baik daripada tidak menggunakan perangkat lunak, meskipun Anda tidak dapat mempercayai perangkat lunak tersebut seratus persen. Kita berbicara tentang cara menghasilkan frasa sandi utama Anda dan jenis frasa sandi utama apa yang harus Anda gunakan, yang kemudian dapat Anda gunakan untuk menghasilkan dari pengelola kata sandi Anda, kata sandi sesi Anda, atau kata sandi situs yang berupa alfanumerik kompleks dan acak yang mustahil untuk diingat dan biarkan pengelola kata sandi Anda yang mengingatnya. Jadi topik selanjutnya adalah autentikasi dua faktor. Nah, apa itu autentikasi dua faktor? Autentikasi dua faktor adalah ketika Anda menggunakan dua cara berbeda untuk mengautentikasi diri Anda sendiri. Jadi autentikasi pada dasarnya berarti membuktikan bahwa Anda adalah orang yang Anda klaim. Dan autentikasi dua faktor berarti menggunakan dua mekanisme berbeda untuk membuktikan bahwa Anda adalah orang yang Anda klaim. Dan dalam keamanan komputer, kami mendeskripsikan autentikasi multi-faktor dan faktor-faktor autentikasi sebagai salah satu dari tiga hal. Tiga kemungkinan faktor yang Anda

dapat miliki adalah sesuatu yang Anda ketahui, kata sandi sebagai contoh dari sesuatu yang Anda ketahui. Anda menghafalnya, oleh karena itu, Anda mengetahuinya. Autentikasi berbasis pengetahuan juga merupakan bentuk dari faktor sesuatu yang Anda ketahui ini, seperti di mana Anda dilahirkan? Apa merek mixer kue pertama Anda? Siapa orang pertama yang Anda cium di sekolah? apa pun itu. Nah, jelas sesuatu yang Anda ketahui adalah sebuah faktor, dan itu adalah faktor yang bagus. Hanya jika pertama, Anda dapat mengingatnya dan tidak ada orang lain yang dapat dengan mudah menebaknya. Dan di sinilah semua kompleksitas yang kita bicarakan tentang kata sandi berperan. Bentuk autentikasi kedua. Sebuah faktor autentikasi adalah sesuatu yang ada pada diri Anda. Dan sesuatu yang ada pada diri Anda biasanya merujuk pada biometrik, sebuah pengukuran yang tidak dapat diubah tentang fisik Anda yang tidak dapat dipalsukan. Jadi sidik jari, pemindaian iris mata, suara Anda ketika Anda

mengulangi frasa yang seharusnya Anda ulangi. Cara berjalan Anda, tinggi badan Anda, wajah Anda untuk pengenalan wajah, semua hal ini adalah faktor biometrik. Jadi sesuatu yang ada pada diri Anda. Faktor biometrik memiliki kelebihan dan kekurangan. Faktor ini dapat digunakan sebagai tambahan untuk faktor lainnya. Tentu saja, kerugian besar dari biometrik adalah jika disalin atau jika hilang, itu tidak dapat diganti. Jadi jika, misalnya, sidik jari saya bocor, dan semua orang memiliki akses ke sidik jari saya dan dapat membuatnya kembali dengan lateks seperti yang Anda lihat di semua film mata-mata itu, maka saya tidak dapat mengubah sidik jari saya. Dan oleh karena itu biometrik ini tidak lagi berguna bagi saya. Dan kita telah melihat bahwa biometrik cukup sulit untuk diterapkan, tetapi sangat berguna sebagai faktor kedua, tidak pernah sebagai faktor utama. Saya tidak akan pernah menggunakan biometrik sebagai satu-satunya cara untuk mengautentikasi diri saya sendiri, katakanlah ke

Autentikasi biometrik (1:00:44)

telepon. Karena seperti yang telah Anda lihat dan seperti yang diketahui oleh setiap anak berusia delapan tahun, jika Anda menempelkan iPhone ibu ke jarinya saat ia sedang tidur di sofa, Anda dapat pergi dan membeli barang-barang di Amazon. Anda bisa menjadi Sinterklas pribadi Anda sendiri. Asalkan Anda mendapatkan akses ke ibu jari ibu atau wajah ayah dengan memegang perangkat pengenalan wajah di depan wajah ayah. Saat ayah sedang mendengkur setelah semua pekerjaan di pesta barbekyu. Biometrik saja tidak cukup, tetapi ini menjadi faktor kedua yang sangat baik. Faktor terakhir adalah sesuatu yang Anda miliki, sesuatu yang Anda miliki, dan sesuatu yang menjadi milik Anda. Dan faktor biometrik ini biasanya tercakup dalam perangkat tambahan. Ini adalah perangkat yang merupakan faktor keamanan yang Anda pegang. Kunci adalah faktor autentikasi dari sesuatu yang Anda miliki. Kunci digital, kunci privat, bahkan kunci fisik

untuk membuka pintu Anda. Dan saat ini kita semakin banyak memiliki faktor kedua yang didasarkan pada sesuatu yang Anda miliki yang dibuat menjadi perangkat USB. Faktanya, saya memiliki satu yang terpasang secara permanen di laptop saya. Banyak dari Anda mungkin pernah mendengar saya membicarakan hal ini sebelumnya. Ini adalah YubiKey, dan YubiKey ini adalah perangkat yang sangat kecil sehingga ketika saya memasukkannya ke port USB laptop saya, satu-satunya hal yang menonjol adalah tab logam kecil, yang sensitif terhadap sentuhan. Ketika saya mencoba menggunakan ini, ini mewajibkan saya untuk menyentuhnya. Dan ketika saya menyentuhnya, saya mengaktifkannya dan perangkat ini mengirimkan kode dari komputer saya. Sekarang Anda tidak dapat masuk ke komputer saya dan banyak layanan lain yang saya gunakan tanpa mengetuk untuk mengautentikasi di sisi komputer saya. Sekarang, jika Anda mencuri basis data saya atau frasa sandi utama saya, atau

Anda menebak kata sandi saya, Anda tetap tidak dapat mendekripsi atau membuka perangkat ini atau mengakses berbagai akun saya karena Anda tidak memiliki benda ini. Saya memiliki benda ini. Dan tentu saja itu adalah faktor keamanan tambahan. Dengan sendirinya, ini tidak cukup karena jika seseorang berhasil mencuri laptop saya, sekarang mereka memiliki benda ini, tetapi untungnya mereka tidak memiliki kata sandi saya, yang merupakan faktor lainnya. Jadi secara umum, ketika kita berbicara tentang autentikasi multifaktor, apa yang kita lakukan adalah kita menyadari bahwa tidak ada satu pun faktor autentikasi yang cukup dengan sendirinya. Semua faktor autentikasi memiliki mode kegagalan. Tetapi jika Anda menggunakan autentikasi multifaktor dan faktor autentikasi Anda bervariasi, maka mode kegagalan, mode kegagalan dari satu faktor autentikasi menyisakan faktor lainnya sebagai perlindungan Anda. Jadi Anda memiliki lapisan-lapisan. Anda tahu di setiap film mata-mata, ketika mereka pada dasarnya memotong jari

penjahat dan mereka membawanya ke pembaca sidik jari dan mereka menggunakannya untuk membuka pintu, yah tidak ada pintu yang berfungsi seperti itu. Semuanya juga mewajibkan kode pin tepatnya agar jika Anda mencuri kode pin, Anda tidak memiliki jarinya. Dan jika Anda mencuri jari dan memotongnya, Anda tidak tahu kode pinnya. Dibutuhkan keduanya. Tidak ada produsen perangkat semacam itu yang akan membuatnya sehingga Anda dapat membukanya hanya dengan satu cara. Dan faktanya, ketika orang mengatur ponsel mereka untuk hanya terbuka dengan biometrik, itu sangat berbahaya, dan Anda perlu memastikan Anda memiliki mekanisme tambahan. Pertanyaan lanjutan yang bagus di obrolan, bagaimana jika saya kehilangan YubiKey saya, kunci keamanan saya? Yah, saya sebenarnya punya beberapa. Saya punya tiga. Dan saya punya satu yang disimpan di lokasi di luar situs sebagai cadangan paling utama saya.

Saya memiliki yang kedua yang tidak saya biarkan terpasang di laptop saya yang saya bawa. Ini sering kali merupakan sesuatu yang akan Anda lihat dikenakan oleh petugas keamanan pada tali lanyard di leher mereka, atau dihubungkan sebagai gantungan kunci. Perangkat ini cukup kuat dan sering kali dirancang untuk dipasang pada gantungan kunci. Jadi Anda dapat membawanya bersama kunci Anda, yang mana masuk akal. Model keamanan yang serupa, perangkat ini hampir tidak bisa dihancurkan. Anda dapat melindasnya dengan truk dan perangkat ini masih berfungsi. Jadi saya telah mendaftarkan ketiga kunci keamanan ini, sehingga salah satu dari ketiganya akan berfungsi dan saya harus kehilangan ketiganya sebelum saya kehilangan akses. Tetapi ketiganya berada di lokasi yang sulit dijangkau. Dan risiko utama, ancaman utama yang saya coba atasi di sini adalah peretasan jarak jauh. Ya jika Anda membobol rumah saya, kantor

Kunci keamanan dan YubiKey (1:05:51)

atau lokasi rahasia nomor lima, dan Anda adalah pelayan jahat yang membobol kamar hotel saya atau apa pun, Anda dapat menemukan perangkat ini, tetapi Anda mungkin tidak memiliki kata sandi saya. Jika Anda meretas sistem saya dan mendapatkan kata sandi saya, Anda tidak memiliki perangkat tersebut. Jika Anda mencoba menggunakan kata sandi untuk masuk ke salah satu perangkat saya, saya tidak akan mengetuk bagian samping komputer untuk memberi Anda akses. Dan sejujurnya, Anda tahu ketika saya meninggalkan komputer saya tanpa pengawasan, saya mencabut YubiKey dan membawanya. Jadi sekali lagi, ini tentang lapisan keamanan. Jadi autentikasi dua faktor berarti menggunakan setidaknya dua faktor untuk mengautentikasi diri Anda ke layanan atau perangkat apa pun. Dan ini adalah sesuatu yang Anda ketahui, sesuatu yang Anda miliki, dan sesuatu yang ada pada diri Anda. Salah satu dari ketiganya dapat digunakan sebagai faktor kedua. Dan tentu saja Anda dapat

menggunakan autentikasi tiga faktor, jika Anda mau, meskipun itu agak tidak biasa, hal itu menjadi merepotkan dan kompleks pada titik tersebut. Sulit untuk dipulihkan, mudah untuk terkunci. Jadi dua biasanya adalah angka ajaib, dan itulah mengapa kita menyebutnya 2FA, autentikasi dua faktor. Orang lain menyebutnya MFA untuk autentikasi multi-faktor (multiple factor authentication atau multi-factor authentication). Itu adalah hal yang sama persis. Ada standar lain, yang merupakan standar untuk format universal bagi kunci keamanan seperti YubiKey kecil yang saya tunjukkan kepada Anda, yang digunakan dalam industri ini. Sekarang ini adalah salah satu yang dibuat oleh badan standar yang disebut Fido Alliance, dan itu disebut U2F, universal two factor (dua faktor universal). Jika Anda perhatikan pada slide kode saya ada tulisan pelajari U2F universal two factor. U angka dua, huruf F, U2F. Itu hanyalah standar untuk perangkat multifaktor berbasis perangkat keras yang dapat dicolokkan, dihubungkan, atau

mentransmisikan melalui Bluetooth atau NFC ke perangkat yang Anda coba autentikasi. Baiklah, mari kita beralih ke pertanyaan. Bukan yang itu. Di mana ya? Mungkin sekarang? Oke, sebentar. Tampaknya pertanyaannya tidak disorot. Tidak yakin mengapa. Tolong beri saya waktu sebentar. Saya akan memperbaikinya. Saya perlu menyegarkan peramban saya. Mari berharap ini tidak meminta kata sandi yang rumit. Oke sepertinya ada semacam oh tunggu, tunggu sebentar. Ada yang salah dengan Slido saya, jadi saya tidak bisa melihat pertanyaan yang disorot. Saya tidak tahu mengapa itu terjadi. Belum pernah melihat itu sebelumnya. Oh, ada jajak pendapat. Rupanya ada jajak pendapat aktif yang sekarang menghalangi saya untuk melihat pertanyaan. Saya tidak tahu mengapa. Maafkan saya. Oh, itu dia. Sudah kembali normal. Maaf atas kesulitan teknisnya, teman-teman. Mengapa pesan

teks merupakan autentikasi dua faktor yang lemah, apakah itu lebih baik daripada tidak sama sekali? Jadi banyak bank menggunakan SMS seperti yang ditunjukkan orang lain, mereka menggunakan pesan teks SMS sebagai autentikasi dua faktor. Jadi mengapa pesan teks merupakan autentikasi dua faktor yang lemah? Baiklah. Jadi jenis faktor apa pesan teks itu? Mari kita lihat apakah kita bisa mengetahuinya. Apakah itu sesuatu yang Anda ketahui? Tidak, Anda tidak mengetahuinya pada saat itu. Tampaknya ada semacam jajak pendapat yang sedang dijalankan yang mengganggu. Maaf. Slido dimulai dengan jajak pendapat karena suatu alasan. Itu aneh. Baiklah. Apakah pesan teks merupakan dua faktor yang baik. Jenis faktor apakah itu? Apakah itu sesuatu yang Anda ketahui? Tidak, karena Anda tidak mengetahuinya, ketika itu dikirimkan kepada Anda sebagai pesan teks, Anda tidak mengetahuinya, Anda baru mengetahuinya. Jadi itu bukan sesuatu yang Anda ketahui. Apakah itu

Mengapa SMS adalah autentikasi dua faktor yang lemah (1:11:00)

sesuatu yang ada pada diri Anda? Tidak, itu bukan sesuatu yang ada pada diri Anda. Apakah itu sesuatu yang Anda miliki? Bisa dibilang begitu. Anda mungkin berpikir, oke, itu sesuatu yang saya miliki, saya memiliki ponsel yang menerima pesan teks tersebut. Namun, pesan teks tersebut tidak dikirim ke ponsel, melainkan dikirim ke nomor telepon. Apakah Anda memiliki nomor telepon tersebut? Dan jawabannya sebenarnya nomor telepon tersebut adalah SIM, atau lebih tepatnya akun yang terhubung dengan kartu SIM di ponsel Anda dan siapa yang memiliki akun tersebut? Dan jawabannya adalah Vodafone atau Verizon atau AT&T atau T-Mobile atau siapa pun. Jadi masalah dengan autentikasi dua faktor melalui pesan teks adalah Anda tidak memiliki nomor telepon tersebut. Perusahaan teleponlah yang memilikinya. Dan perusahaan telepon memiliki keamanan yang sangat buruk. Itu saja, sesederhana itu. Jadi yang harus Anda lakukan hanyalah menelepon layanan pelanggan, di perusahaan telepon,

memutar suara bayi menangis di latar belakang, berpura-pura Anda sedang berbicara dengan pengasuh bayi yang frustrasi sementara bayinya menjerit. Dan suami Anda meneriaki Anda atau istri Anda meneriaki Anda di latar belakang. Dan Anda sedang mengalami gangguan emosional serta hari yang sangat buruk. Dan orang-orang yang sangat membantu dan sangat empatik di layanan pelanggan akan melewati semua pemeriksaan keamanan karena Anda tidak tahu kata sandi apa yang telah ditetapkan pasangan Anda pada akun tersebut, dan ini benar-benar keadaan darurat dan Anda benar-benar perlu menghubunginya. Dan mereka dengan senang hati akan memindahkan nomor tersebut ke ponsel baru Anda yang perlu diaktifkan sekarang juga, karena ini keadaan darurat. Nah, jika ini terdengar seperti serangan teoretis, sebenarnya ada demonstrasi fantastis yang terjadi di Def Con dan Black Hat serta konferensi peretas lainnya, di mana mereka melakukan apa yang disebut serangan rekayasa sosial (social engineering). Dan

salah satu yang terbaik dari ini adalah video di mana seorang peretas rekayasa sosial yang sangat terampil mendemonstrasikan kepada seorang jurnalis seberapa cepat mereka dapat mengambil alih nomor telepon mereka dengan menelepon ke perusahaan telepon, memutar rekaman bayi yang menjerit di latar belakang sambil memohon bantuan mereka dalam keadaan darurat ini. Dan secara harfiah kurang dari 10 menit kemudian, mereka telah mengambil alih nomor telepon tersebut, lalu menggunakannya untuk mengatur ulang akun email mereka, dan kemudian menggunakannya untuk mengatur ulang semua akun mereka yang lain dan pada dasarnya membahayakan seluruh identitas digital mereka dalam waktu kurang dari 15 menit. Jadi itulah mengapa pesan teks adalah bentuk autentikasi dua faktor yang lemah. Dan sangat penting bagi Anda untuk tidak menggunakannya jika Anda bisa menghindarinya. Namun untuk pertanyaan anonim, apakah itu lebih baik daripada tidak sama sekali? Itu lebih baik daripada tidak sama sekali. Itu lebih baik daripada tidak sama sekali jika

Anda dapat menghindari penggunaannya pada akun di mana Anda dapat memilih pilihan yang lebih baik. Jadi, akun apa pun di mana Anda dapat menggunakan sesuatu selain pesan teks, gunakanlah itu. Hal lainnya adalah memikirkan dengan sangat hati-hati tentang siapa penyedia telepon Anda. Jadi, banyak profesional keamanan menggunakan penyedia telepon yang tidak memiliki layanan pelanggan manusia yang dapat direkayasa secara sosial dan di mana akun itu sendiri dilindungi oleh autentikasi dua faktor yang kuat. Misalnya, proyek Google Fi, F-I, yang merupakan operator jaringan virtual, tidak memiliki manusia yang dapat Anda ajak bicara. Dan Anda terhubung serta mengakses dan mengonfigurasi akun telepon tersebut melalui akun Google yang dapat Anda amankan dengan autentikasi dua faktor yang kuat seperti token dua faktor universal. Itu berarti nomor Anda tidak dapat dipindahkan, yang berarti Anda dapat menggunakan nomor tersebut dengan lebih aman untuk mengamankan autentikasi dua faktor berbasis pesan teks

seperti bank Anda yang memiliki keamanan yang buruk. Jadi dalam hal perusahaan yang paling buruk dalam hal keamanan, bank, perusahaan telepon, dan kemudian penyedia layanan aktual yang memiliki tim keamanan yang layak. Jadi ini semua tentang lapisan. Jika Anda tidak punya pilihan, selain menggunakan pesan teks sebagai autentikasi faktor kedua Anda, maka saya akan memberi tahu Anda bahwa ada beberapa layanan yang saya gunakan di mana saya tidak punya pilihan selain menggunakan pesan teks. Maka pastikan bahwa pesan teks tersebut masuk ke akun yang diamankan dengan baik. Bahkan dengan operator telepon Anda, Anda dapat memasang PIN pada akun Anda. Anda dapat mematikan kemampuan untuk memindahkan nomor tersebut. Anda dapat pergi dan melakukan segala macam hal untuk memperkuat akun tersebut. Namun jika Anda bisa, lebih baik lagi pindahkan nomor Anda ke operator jaringan virtual atau penyedia layanan yang tidak memiliki manusia yang dapat

Mengamankan nomor telepon Anda (1:16:25)

direkayasa secara sosial untuk memindahkan nomor Anda. Dan pastikan ada autentikasi yang kuat pada faktor-faktor yang mengendalikan nomor telepon Anda. Dan jika Anda bisa menghindarinya. Terutama hindari hal tersebut jika itu adalah faktor kedua untuk terhubung ke bursa Anda, tempat Anda menyimpan mata uang kripto senilai jutaan dolar. Dan tentu saja, saya sedikit menyinggung di sini tentang salah satu pakar mata uang kripto yang cukup terkenal, yang faktanya menyimpan mata uang kripto senilai jutaan dolar di dompet bursa pada dompet panas yang bersifat kustodian, bukan koin Anda, dengan autentikasi dua faktor SMS yang dihosting oleh AT&T dan saat ini sedang menuntut AT&T atas kerugian sekitar, entahlah, 50 juta, seratus juta dolar, angka konyol semacam itu. Sejujurnya, itu adalah jenis kasus hukum di mana sebagai Saksi ahli, saya akan naik ke mimbar dan tertawa selama 30 menit di depan wajah

penggugat. Ketika mereka mengatakan bahwa itu adalah kesalahan orang lain karena mereka menaruh jutaan dolar di bursa yang didukung oleh pesan teks, autentikasi dua faktor ke AT&T. Saya tidak akan memiliki banyak simpati untuk itu. Baiklah. Jadi mari kita bicarakan tentang autentikasi dua faktor yang benar-benar berfungsi. Saya telah berbicara tentang kunci keamanan, yang merupakan sebuah perangkat keras, tetapi ada juga mekanisme lain yang sangat umum, yang pernah Anda semua gunakan sebelumnya, yaitu di mana Anda memiliki angka enam digit. Neeraj dengan sangat membantu mengajukan pertanyaan kepada saya secara khusus tentang topik tersebut. Hai Andreas, bagaimana cara kerja autentikator Google atau Microsoft? Apakah ada sistem terdesentralisasi yang dapat menggantikannya? Neeraj, ini adalah sistem yang terdesentralisasi. Meskipun aplikasi tersebut dibuat oleh entitas yang tersentralisasi, aplikasi tersebut sebenarnya cukup sederhana. Dan sebagai hasilnya, aplikasi tersebut sebenarnya terdesentralisasi. Rahasia yang disimpan pada autentikator ini

hanya disimpan di perangkat lokal Anda. Tentu saja, ada beberapa variasi. Beberapa aplikasi ini, seperti misalnya, Offi memungkinkan Anda untuk mencadangkan dan memindahkan rahasia yang menjadi dasar autentikasi dua faktor Anda ke perangkat lain. Yang membuatnya nyaman, tetapi berbahaya. Jika Anda mengaktifkan dukungan dari beberapa perangkat di Offi atau sistem lain yang mendukung pencadangan, Anda harus mematikannya dan hanya menyalakannya, ketika Anda memindahkannya ke telepon atau perangkat lain seperti misalnya, ketika Anda meningkatkan ponsel cerdas Anda dan Anda perlu memindahkan semua akun tersebut ke perangkat baru. Autentikator Google sebenarnya memperkenalkan pencadangan dan pemindahan pada versi terbaru mereka. Saya tidak tahu bagaimana cara kerjanya, tetapi jika memang bekerja dengan cara seperti itu, pastikan Anda mematikannya secara bawaan. Sehingga hanya perangkat lokal tersebut

yang dapat menggunakan kode keamanan tersebut. Jika tidak, itu bukanlah dua faktor yang sebenarnya, bukan? Itu bukanlah sesuatu yang Anda miliki. Itu adalah kata sandi cadangan. Itu adalah sesuatu yang Anda ketahui, dan itu dapat dengan mudah dicuri, atau terikat dengan nomor telepon Anda. Dalam hal ini kita kembali ke keamanan pesan teks yang kita bicarakan sebelumnya. Seseorang memindahkan SIM Anda, mereka mengambil alih nomor Anda. Mereka menginstal perangkat lunak autentikator di ponsel cerdas. Mereka kemudian mengunduh cadangan dan memindahkannya ke perangkat tersebut. Dan mereka memiliki semua autentikasi dua faktor Anda yang sebenarnya bukan autentikasi dua faktor. Jadi ini adalah mode kegagalan, tetapi pertama-tama mari kita bicarakan tentang bagaimana alat ini bekerja. Jadi bagaimana cara kerja autentikator Google atau Microsoft? Pertama, mari kita beri nama alat ini. Ini adalah mekanisme yang disebut kata sandi satu kali (OTP). Kata sandi satu kali sudah ada sejak puluhan tahun yang lalu dan telah digunakan, yah, izinkan saya mengoreksi diri saya sendiri. Digital

kata sandi satu kali pada perangkat portabel, sudah ada sejak puluhan tahun yang lalu. Kata sandi satu kali itu sendiri sebenarnya sudah ada sejak ribuan tahun yang lalu. Konsep umumnya di sini adalah jika Anda menghasilkan urutan angka acak dan kedua belah pihak dalam suatu komunikasi, memiliki salinan, urutan tersebut, atau dapat menghasilkan urutan tersebut dan tidak ada orang lain yang bisa. Maka tidak ada yang bisa dicuri atau ditebak. Bantalan satu kali (one-time pads) adalah metode enkripsi yang tidak dapat dipecahkan selama Anda dapat menghasilkan rahasia ini dan tidak membiarkannya dicuri. Dan kata sandi satu kali yang berupa numerik, kode enam digit sangat, sangat sulit untuk dicuri. Selama Anda dapat menjaga rahasia akar, yang menghasilkannya tetap rahasia. Sekarang autentikator Google dan Microsoft adalah subkelas tertentu dari kata sandi satu kali yang disebut kata sandi satu kali berbasis waktu. Dan jika Anda ingin menemukan aplikasi yang mendukung standar kata sandi satu kali berbasis waktu, Anda menggunakan akronim

Kata sandi sekali pakai berbasis waktu (1:21:56)

T-O-T-P. Jadi OTP adalah kata sandi sekali pakai (one-time password), T-OTP adalah kata sandi sekali pakai berbasis waktu (time-based one-time password). Dan berbasis waktu secara sederhana berarti bahwa kode tersebut terikat dengan waktu saat ini dan berubah setiap 30 detik. Jadi, sistem ini menggunakan sebuah rahasia dan jam, yang kurang lebih harus disinkronkan dengan waktu saat ini secara benar, untuk menghasilkan kode spesifik pada waktu spesifik saat Anda ingin menggunakannya. Dan karena ini adalah jendela waktu 30 detik, Anda bisa sedikit meleset dan Anda memiliki waktu untuk melihatnya di layar Anda dan memasukkannya ke dalam situs web. Sekarang, karena situs web atau perangkat yang Anda hubungkan memiliki rahasia yang sama dan jamnya kurang lebih tersinkronisasi, sistem dapat mengetahui kode apa yang seharusnya Anda masukkan. Sistem biasanya melihat satu kode sebelum dan satu kode sesudahnya sehingga ia tahu jika Anda sedikit meleset,

seperti lebih dari 30 detik. Sistem akan menerimanya. Dan kemudian Anda melihat di layar Anda, kode saat ini, dan Anda akan melihat hitungan mundur kecil. Dan setelah 30 detik, kodenya berubah dan Anda memiliki angka enam digit yang baru. Jadi cara kerjanya adalah menggunakan kunci privat. Dan dari kunci privat tersebut, sistem menggunakan fungsi derivasi, yang bisa berupa berbagai macam hal. Saya tidak tahu apa standar yang digunakan untuk T-OTP. Saya berasumsi ini adalah semacam mekanisme hash dengan waktu. Dan dengan fungsi derivasi tersebut, sistem menghasilkan kode numerik baru, setiap 30 detik. Dan Anda dapat menghitung dari urutan, maaf, dari rahasia dan waktu saat ini, kode yang benar untuk waktu saat ini. Rahasia itu sendiri ada di dalam kode QR yang ditampilkan pertama kali oleh layanan yang ingin Anda gunakan. Jadi ketika Anda akan menggunakan salah satu

perangkat ini, dan semuanya kompatibel, jadi apakah Anda menggunakan Google Authenticator atau Microsoft Authenticator atau Offi atau Duo atau yang lainnya, dan sebagian besar pengelola kata sandi juga memiliki salah satu layanan T-OTP bawaan ini. Yang harus Anda lakukan adalah memindai kode QR dari situs web atau layanan yang ingin Anda tambahkan autentikasi dua faktor. Dan kode QR tersebut berisi sebuah rahasia. Rahasia tersebut adalah string alfanumerik yang dihasilkan secara acak yang dilampirkan ke akun Anda. Dan situs web menghasilkannya secara acak untuk Anda. Ini disajikan sebagai kode QR. Anda memindainya dengan perangkat Google Authenticator Anda, perangkat Google Authenticator Anda merekamnya sebagai rahasia, dan kemudian mulai menghasilkan kode untuk waktu saat ini. Anda kemudian memasukkan salah satu kode ini ke dalam situs web. Sistem dapat mengonfirmasi bahwa Anda memasukkannya dengan benar dengan melacak dan mengatakan, ya, itu adalah kode yang saya harapkan

di jendela waktu 30 detik ini. Dan sekarang Anda telah menetapkan autentikasi dua faktor. Kesulitan dengan hal ini tentu saja adalah cadangan. Dan ada beberapa cara yang dapat Anda lakukan untuk mencadangkannya. Salah satu cara Anda dapat melakukan pencadangan, yang sebenarnya mungkin merupakan cara paling aman yang bisa Anda lakukan sejujurnya, adalah cetakan fisik. Jadi ketika Anda memiliki kode QR tersebut di layar Anda, tekan cetak. Saya mengatakan cetakan fisik, karena Anda mungkin cenderung melakukan hal lain, yaitu memotretnya. Dan tentu saja, untuk memotretnya, Anda akan menggunakan ponsel pintar Anda. Masalahnya adalah foto tersebut akan disimpan di cloud. Pada titik tersebut, foto itu tidak lagi hanya ada di perangkat di dalam Google Authenticator, di dalam autentikator T-OTP. Dan pada titik itu, ini bukan lagi faktor kedua yang aman. Membuat cadangan di

cloud untuk rahasia autentikasi dua faktor Anda adalah ide yang buruk. Sebenarnya lebih baik menggunakan fasilitas cadangan yang mungkin dimiliki oleh perangkat lunak dua faktor tersebut, yang setidaknya dienkripsi dengan kata sandi pilihan Anda. Di mana Anda meletakkan kata sandi tersebut di pengelola kata sandi Anda? Kita berputar-putar di sini jika Anda bisa melihatnya, dan terkadang ini bisa membingungkan. Jadi cetaklah kode QR jika Anda ingin membuat cadangan atau tidak sama sekali dengan sebagian besar layanan, jika Anda kehilangan token atau aplikasi autentikasi dua faktor Anda, Anda dapat meminta mereka untuk meresetnya. Dan mereka akan membuat Anda melewati proses yang rumit, memegang kartu identitas dan melakukan swafoto serta mengonfirmasi melalui berbagai mekanisme lain seperti email dan panggilan telepon dan hal-hal semacam itu. Banyak dari layanan ini juga akan memberi Anda serangkaian kode cadangan, yang merupakan kode numerik yang telah dihitung sebelumnya yang dapat Anda masukkan sebagai pengganti kode yang dihasilkan secara dinamis

Hierarki autentikasi dua faktor (1:26:44)

yang dihasilkan bersifat statis. Dan ini digunakan jika Anda kehilangan perangkat autentikasi Anda. Dan di mana Anda menyimpannya? Di pengelola kata sandi Anda adalah tempat Anda menyimpannya. Jadi autentikasi dua faktor dengan aplikasi kata sandi satu kali berbasis waktu adalah mekanisme yang kuat, efektif, dan mudah digunakan yang dapat Anda tambahkan ke semua akun Anda hari ini. Sekarang mari kita lihat hierarki keamanan. Kunci keamanan dua faktor universal, sangat, sangat kuat berbasis enkripsi. Jika Anda mendaftarkan beberapa di antaranya dan menyimpannya di lokasi yang aman, sangat sulit untuk disusupi. Sangat mudah untuk dicadangkan, ini adalah benda fisik. Anda mencadangkannya dengan menyimpan benda fisik lain di sekitarnya. Mustahil untuk disalin dan mustahil untuk dicuri tanpa Anda sadari. Kata sandi satu kali berbasis waktu tingkat kedua yang Anda gunakan dengan memindai kode QR dan aplikasi seperti yang dibahas oleh Neeraj. Mereka memberi Anda enam digit

kode setiap 30 detik. Sekali lagi, itu menjadikan ponsel Anda, sesuatu yang Anda miliki sebagai faktor kedua, dan ini agak sulit untuk dicadangkan. Dan jika ponsel Anda dicuri, mereka mungkin mudah disusupi. Saya suka menaruh sidik jari pada aplikasi autentikasi dua faktor itu sendiri sehingga Anda tidak dapat melihat kode numerik tanpa menggunakan sidik jari. Nah, ini pada dasarnya adalah faktor ketiga di atas faktor kedua, yang melindungi saya jika seseorang mencuri ponsel saya dan sedang terbuka pada saat itu dan mereka bisa masuk ke aplikasi dua faktor saya, hanya saja mereka tidak bisa. Dan terakhir, tingkat terendah adalah autentikasi dua faktor pesan teks, yang tentu saja tidak aman kecuali Anda tidak memiliki opsi lain, dalam hal ini lebih baik daripada tidak memiliki apa-apa. Jadi itulah tingkat-tingkat autentikasi dua faktor. Mari kita lihat pertanyaan apa lagi yang kita miliki sementara

saya beristirahat sejenak di sini. Dan saya akan memutar video dari para patron saya, yang memberi tahu Anda mengapa Anda harus mendukung pekerjaan saya secara online. Jadi apa yang kita lakukan hari ini, dan apa yang selalu saya coba lakukan adalah memberi Anda materi pendidikan berkualitas tinggi tentang Bitcoin dan Blockchain terbuka dengan cara yang netral tanpa sponsor, tanpa dukungan, tanpa menjual diri kepada pengiklan atau terikat pada kepentingan perusahaan. Tidak ada yang membayar untuk ini selain Anda. Jadi jika Anda menyukai pendidikan ini, jika Anda mendapat manfaat dari pendidikan ini, atau bahkan jika Anda hanya ingin membalas budi dan membantu orang lain, dapatkan pendidikan ini dan bantu saya serta tim saya terus melakukan ini dan melakukannya dengan lebih baik dan melakukannya secara lebih luas, maka mohon pertimbangkan untuk mendukung saya dengan keanggotaan YouTube atau bahkan lebih baik lagi langganan patron bulanan. Dan dalam kata-kata para patron saya, inilah alasannya.

• Saya adalah patron Andreas karena saya menemukan videonya secara online dan begitulah cara saya belajar tentang Bitcoin. Jadi begitulah cara saya diperkenalkan dengan Bitcoin. - Saya keluar malam ini di acara sosial yang diselenggarakan oleh Andreas, sebagai bagian dari dukungan patron berbayarnya. Baru saja minum-minum di pusat kota London, jadi ini malam yang sangat menyenangkan. Bisa bertemu banyak orang yang sepemikiran. - Kita harus mendukung pekerjaan yang dilakukan Andreas. Dia melakukan banyak hal dalam membawa orang baru ke Bitcoin dan ke pendidikan Bitcoin. - Dia adalah guru yang hebat. Dia bisa menjelaskan topik yang sangat kompleks dengan cara yang mudah dipahami. Dia sangat jujur dan sangat tepat. Mereka bisa bersiap dan jujur secara intelektual. Saya pikir itu adalah karakteristik terbaiknya. - Dia membawa kejelasan pada subjek yang sangat kompleks yaitu Bitcoin dan industri di sekitarnya. - Ini telah

menjadi inspirasi yang sangat, sangat baik bagi saya dan setiap Bitcoin yang saya berikan kepadanya, itu akan digunakan dengan sangat baik dalam membantu kita memahami Bitcoin. Dan saya pikir itu akan memperbaiki dunia pada suatu saat. - Menjadi seorang patron saya bisa bertemu Andreas dan itulah mengapa saya suka menjadi patron dan saya akan terus menjadi patron. - Saya pikir ini adalah hal yang baik. Jika Anda tertarik untuk mempelajari hal-hal baru dan juga ingin mendukung komunitas Bitcoin, maka Anda harus menjadi patron. - Menjadi patron membuat Anda merasa istimewa. Anda dapat menghadiri sesi tanya jawab langsungnya. Anda dapat bertemu dengannya di happy hour. Ini benar-benar hebat, sangat sepadan. Saya sangat, sangat antusias menjadi patron. - Saya ingin dia dapat memproduksi kontennya yang hebat dan berharga di masa depan yang bebas dari iklan dan hanya

Tanya Jawab: memindahkan nomor telepon dan keamanan aplikasi (1:31:37)

dengan bantuan para pendukungnya. Dan itulah mengapa saya mendukungnya di Patreon. (musik lembut) - Baiklah, sebelum kita lanjut ke pertanyaan berikutnya, ada beberapa tindak lanjut yang bagus di obrolan. Yang telah diposting oleh produser saya untuk membantu saya. Jadi pertama-tama, ada tindak lanjut dari Lucia, bisakah nomor telepon apa pun dipindahkan ke layanan pelanggan tanpa manusia? Itu tergantung pada negara tempat Anda terdaftar. Negara yang berbeda memiliki undang-undang yang berbeda tentang portabilitas antar penyedia telekomunikasi. Namun sejujurnya, sebagian besar negara Eropa dan tentu saja Amerika Utara, saya tahu ini terjadi di Amerika Serikat dan Kanada, mewajibkan operator untuk memenuhi permintaan pemindahan nomor. Dan itu berarti dengan proses yang benar, Anda dapat memindahkan nomor Anda tanpa kehilangannya dan beralih ke operator baru. Dan kemudian Anda bisa beralih ke operator yang, tanpa layanan

pelanggan, operator tanpa manusia. Google Fi adalah yang paling sering saya dengar di sana. Mungkin ada banyak dari mereka, yang lain yang sama amannya terhadap serangan pemindahan nomor. Saya lebih suka itu, meskipun ada beberapa risiko privasi karena alasan yang jelas. Pertanyaan kedua datang dari Ben dan Ben bertanya bagaimana cara mengetahui bahwa aplikasi Anda tidak membocorkan kunci rahasia. Ben, Anda tidak bisa tahu bahwa aplikasi Anda tidak membocorkan kunci rahasia. Anda hanya bisa menggunakan aplikasi yang digunakan oleh banyak orang di lingkungan keamanan, diaudit, ditinjau, mungkin sumber terbuka yang kodenya telah diaudit, yang telah dibangun oleh perusahaan yang dapat diandalkan. Yang menganggap serius keamanan, yang memiliki rekam jejak panjang dalam tidak merusak sistem. Ini membutuhkan kepercayaan pada pihak lawan (counterparty). Namun, hampir semua yang saya bicarakan membutuhkan kepercayaan pada pihak lawan. Jadi pertanyaannya adalah seberapa besar kepercayaan

yang Anda berikan kepada pihak lawan dan siapa pihak lawan ini? Dan apa alternatifnya? Dan jika alternatifnya adalah tidak menggunakan aplikasi dan mencoba mengandalkan ingatan, maka sebenarnya alternatif itu lebih buruk. Dan ini adalah keseimbangan hati-hati yang harus Anda capai dalam keamanan. Semakin banyak kita melihat perusahaan mencoba menerapkan berbagai mekanisme untuk autentikasi terdesentralisasi, identitas terdesentralisasi, validasi terdesentralisasi, yang lebih aman. Multisig di Bitcoin atau Ethereum misalnya sering kali menjadi dasar dari layanan semacam itu. Namun untuk saat ini layanan tersebut relatif belum matang, belum digunakan secara luas, dan belum cocok untuk jenis solusi ini. Jadi sangat penuh harapan untuk masa depan di ruang tersebut. Sementara itu, pertanyaan yang harus Anda tanyakan, mana yang lebih baik menggunakan layanan terpusat yang memiliki rekam jejak yang baik atau tidak menggunakan layanan sama sekali, dan mencoba mengandalkan

ingatan? Dan saya dapat menjawabnya secara pasti bahwa lebih baik menggunakan pengelola kata sandi dari yang tepercaya atau satu, perusahaan yang memiliki rekam jejak yang baik, daripada tidak menggunakan pengelola kata sandi dan mencoba mengandalkan ingatan yang bisa salah, keacakan yang bisa salah, dan solusi swakriya (DIY) yang mungkin melampaui kompetensi teknis Anda. Mari kita lanjut ke pertanyaan berikutnya. Ini datang dari Trixie, Andreas suka kacamatanya. Saya juga. Terima kasih Trixie. Dengan ini, saya benar-benar bisa membaca apa yang ada di laptop saya. Ada dua jenis siaran langsung yang saya lakukan. Beberapa sedikit lebih ad hoc, lebih berdasarkan pertanyaan. Saya tidak perlu banyak membaca apa yang terjadi di laptop saya. Saya punya monitor studio yang bagus di sebelah sana, yang cukup jauh sehingga saya bisa membacanya dengan penglihatan saya yang mulai menurun. Dan beberapa seperti hari ini sedikit lebih kompleks. Saya perlu melakukan banyak

Tanya Jawab: mengubah SMS bank menjadi autentikasi yang lebih kuat (1:36:01)

membaca. Saya punya laptop di atas meja. Jadi saya butuh hal-hal ini. Tapi terima kasih, kita menyimpang. Kembali ke inti sebenarnya dari pertanyaan ini. Saya akan mengulangnya untuk editor kita. Trixie bertanya, apakah ada cara saya dapat mengubah pesan teks bank yang bodoh itu ke Authy atau sesuatu yang serupa? Sistem kata sandi sekali pakai berbasis waktu. Authy adalah salah satu T-OTP berbasis waktu, kata sandi sekali pakai berbasis waktu. Trixie, tidak, tidak ada. Kecuali bank Anda memiliki mekanisme yang mendukung sesuatu selain pesan teks, Anda tidak dapat menggunakan kata sandi sekali pakai berbasis waktu. Jawaban yang benar dalam kasus ini adalah gunakan pesan teks, tetapi ubah penyedia telepon Anda ke penyedia yang mewajibkan mekanisme autentikasi yang kuat, seperti kata sandi sekali pakai berbasis waktu, atau yang lebih baik lagi, faktor ganda universal dengan kunci keamanan atau di mana Anda dapat mengonfigurasi opsi-opsi tersebut. Sehingga nomor Anda tidak dapat dipindahkan karena itu mewajibkan autentikasi yang kuat. Dan

jika nomor Anda dapat dipindahkan, maka pesan teks bank Anda jauh, jauh lebih aman. Jadi itu adalah pertanyaan yang bagus dari Trixie. Mari kita lihat pertanyaan apa lagi yang kita miliki di sini. Saya tidak melihat terlalu banyak pertanyaan lain, jadi, Oh, dan ini dia. Oh, para moderator sekarang dengan panik, dengan panik menarik pertanyaan dan mengantrekannya untuk saya, sehingga kita dapat menemukan beberapa pertanyaan lagi. Saya harap Anda menikmati sesi hari ini. Jadi izinkan saya melakukan rekap singkat tentang apa yang telah kita pelajari sejauh ini. Keamanan tidak pernah seratus persen, keamanan adalah tentang mengelola risiko yang realistis dalam kompetensi teknis Anda dengan solusi paling sederhana dan paling konsisten diterapkan yang dapat Anda temukan, yang dilapisi dengan solusi lain untuk memberikan serangkaian hambatan terhadap penyerang yang gigih. Jika Anda melakukan keamanan dengan benar, maka Anda menjadi nyaman dengan langkah-langkah ini. Anda dapat menerapkannya secara konsisten, dan Anda

memiliki lapisan yang cukup yang secara hati-hati sesuai dengan keterampilan Anda dan lingkungan ancaman Anda untuk membuatnya sedemikian rupa sehingga penyerang, tidak memiliki waktu, sumber daya, anggaran, atau minat, imbalan, untuk benar-benar menyerang Anda. Dan sebaliknya mereka menyerang seseorang yang merupakan target yang lebih lemah, dan pada dasarnya itulah keamanan. Anda tidak bisa sempurna dalam hal itu. Faktanya, Anda adalah manusia. Jadi Anda, menurut definisi, tidak akan sempurna. Anda harus dapat mengeksekusinya secara konsisten dan dalam tingkat keterampilan Anda, yang berarti itu harus cukup sederhana. Itu tidak dapat diselesaikan dengan satu teknik alat, praktik, atau tindakan, jadi Anda harus menggunakan banyak alat, banyak teknik, banyak tindakan, yang dilapisi bersama, lebih disukai mekanisme keamanan yang beragam yang mewajibkan keterampilan yang berbeda dari penyerang yang melindungi dari ancaman yang berbeda sehingga Anda dapat melapisinya dan membuat sistem yang komprehensif. Dan itu masih tidak akan membawa Anda

ke keamanan seratus persen, tetapi, Anda tahu, jika Anda melakukannya secara konsisten, dan jika Anda melakukannya dengan sengaja, dan jika Anda menyesuaikannya dengan baik, baik dengan kebutuhan ancaman Anda maupun dengan tingkat keterampilan Anda, Anda dapat bergabung dengan kelompok elit orang-orang yang dapat dengan jujur mengatakan, saya belum pernah diretas selama bertahun-tahun. Itulah yang terbaik yang dapat Anda lakukan, tetapi itu biasanya cukup bagus. Dan itu membawa Anda jauh di atas banyak orang lain. Anonim bertanya, bisakah Anda membagikan kekhawatiran atau saran tentang pengelola kata sandi untuk seseorang yang belum sempat membandingkan, mempelajari dengan saksama, atau mencoba satu pun. Saya telah menggunakan banyak pengelola kata sandi yang berbeda selama bertahun-tahun, ada beberapa yang sangat, sangat umum digunakan yang bukan favorit saya. Yang dengan enggan saya gunakan dari waktu ke waktu atau sepanjang waktu, tergantung pada perangkat yang saya gunakan. Ada beberapa yang mulai disukai

atau tidak lagi disukai. Dan ada beberapa yang baru yang mulai menonjol. Saya tidak bisa benar-benar memberi tahu Anda apa yang akan tepat untuk Anda. Saya dapat memberi tahu Anda bahwa mungkin dua yang paling populer adalah sistem yang disebut LastPass dan sistem yang disebut 1Password, satu angka satu, diikuti oleh kata password, semuanya satu kata. 1Password dan LastPass mungkin adalah yang paling terkenal. Di luar itu ada sejumlah sistem lain di luar sana dengan berbagai kemampuan dan pembeda. Salah satu yang sedikit lebih baru yang saya perhatikan dengan minat adalah Bitwarden, karena ini adalah sistem sumber terbuka yang multi-platform dan dirancang dengan cukup baik. Tetapi pada akhirnya, seperti saya telah memberikan saran yang sama untuk produsen dompet perangkat keras, misalnya, saya akan memberi Anda saran yang sama untuk pengelola kata sandi kita. Perbedaan antara katakanlah tiga, empat teratas,

Tanya Jawab: membandingkan pengelola kata sandi (1:41:43)

lima perusahaan di bidang ini di mana produk-produk di bidang ini memiliki perbedaan yang kecil, sangat kecil. Semuanya cukup bagus. Semuanya cukup aman. Semuanya cukup konsisten. Perbedaan antara salah satu dari empat atau lima pengelola kata sandi teratas dan tidak memiliki pengelola kata sandi sama sekali, atau mencoba mengandalkan ingatan Anda atau mencoba membangun solusi Anda sendiri sangatlah besar. Jadi pertanyaannya bukanlah, mana dari ini yang harus saya gunakan? Melainkan apakah saya harus menggunakannya, jawabannya adalah ya, dan jangan buang terlalu banyak waktu. Salah satu cara untuk memikirkannya adalah apa yang digunakan oleh orang lain di keluarga Anda? Sehingga Anda dapat dengan mudah berbagi kata sandi dengan mereka. Sebagian besar dari hal-hal ini adalah ekosistem tertutup. Jadi jika semua orang di keluarga Anda memiliki Bitwarden, maka lebih baik jika Anda menggunakan Bitwarden. Jika perusahaan atau atasan Anda menggunakan salah satunya, maka Anda mungkin

lebih baik menggunakan yang sama untuk fungsi pribadi Anda selama Anda dapat menyimpan dua akun yang terpisah, hanya agar Anda tidak perlu menjalankan terlalu banyak aplikasi dan terlalu banyak kerumitan. Sekali lagi, buatlah tetap sederhana. Satu-satunya pertanyaan yang harus Anda tanyakan adalah seberapa cepat saya dapat menyiapkan dan menjalankan salah satu dari hal-hal ini dan kemudian mengamankannya dengan benar, lalu pergi dan mengubah semua kata sandi di semua situs web, dimulai dengan yang paling penting terlebih dahulu. Anonim bertanya apakah pengaturan awal Google Authenticator, dan implementasi kunci simetris, tidak seperti Bitcoin, yang menggunakan enkripsi asimetris. Ya, benar. Dan saya tidak tahu apa standar T-OTP karena saya belum pernah melihatnya. Itu mungkin bahkan bukan enkripsi simetris. Itu mungkin sebuah algoritma password stretching. Faktanya, kemungkinan besar itu adalah semacam urutan yang didasarkan pada

derivasi menggunakan hash. Tapi saya tidak tahu, saya belum menyelidikinya. Itu bukan asimetris, saya bisa pastikan itu. Jadi itu bukan sistem kunci publik dan privat. Apa itu enkripsi simetris? Apa itu enkripsi asimetris? Itu pertanyaan lain yang muncul di obrolan. Enkripsi asimetris adalah ketika ada dua kunci dalam satu pasangan dan kita menyebutnya kunci privat dan kunci publik dan apa pun yang dienkripsi oleh salah satunya hanya dapat didekripsi oleh yang lain dan sebaliknya. Jadi jika Anda mengenkripsi sesuatu dengan kunci privat Anda, itu hanya dapat didekripsi dengan kunci privat Anda, dengan kunci publik Anda. Dan jika Anda mengenkripsi sesuatu dengan kunci publik, hanya orang dengan kunci privat yang dapat mendekripsinya. Dan kombinasi dari teknik-teknik ini digunakan untuk tanda tangan digital. Dan itu digunakan untuk enkripsi dan dekripsi data antara dua penerima. Namun, apa artinya ini adalah

bahwa jika Anda ingin mendekripsi sesuatu untuk saya, Anda memerlukan kunci publik saya. Jika Anda mengenkripsinya dengan kunci publik saya, yang bersifat publik dan mudah dibagikan, maka hanya saya yang dapat mendekripsinya. Jika Anda ingin mengenkripsinya untuk banyak orang, Anda memerlukan semua kunci publik mereka dan Anda perlu mengenkripsinya secara terpisah ke semua kunci publik mereka. Enkripsi simetris adalah di mana Anda memiliki satu kunci yang berfungsi untuk enkripsi dan dekripsi. Dan faktanya, hingga tahun 1970-an enkripsi simetris adalah mekanisme enkripsi satu-satunya. Enkripsi asimetris belum ditemukan, saya yakin jika saya tidak salah, hingga tahun 1970-an. Jadi itulah perbedaan antara simetris dan asimetris. Coba saya lihat, sepertinya saya punya pertanyaan lain di sini. Pertanyaan lanjutan lainnya dari Carlos. Kapan kita akan menggunakan tanda tangan Bitcoin untuk autentikasi? Anda bisa menggunakan tanda tangan Bitcoin untuk autentikasi hari ini. Masalahnya adalah Anda harus

berhati-hati tentang bagaimana menyusunnya dan memahami apa sebenarnya yang Anda buktikan. Sebuah tanda tangan Bitcoin dan secara umum penggunaan tanda tangan digital untuk autentikasi membuktikan serangkaian hal yang sangat spesifik dan sangat sempit. Jadi mari kita lihat, Anda menyuruh saya untuk menandatangani sebuah pesan dengan kunci privat Bitcoin saya dan menghasilkan sebuah tanda tangan, lalu membagikannya kepada dunia. Nah, berikut adalah beberapa hal yang saya buktikan. Saya membuktikan bahwa pada saat tanda tangan itu dibuat, saya memiliki kunci privat tersebut. Tentu saja, itu tidak berarti bahwa saya tidak menghasilkan tanda tangan itu bertahun-tahun yang lalu. Anda tidak tahu kapan tanda tangan itu dihasilkan. Hal lainnya adalah bahwa untuk menggunakannya dalam skema yang layak, orang yang meminta tanda tangan perlu melakukan apa yang disebut challenge response. Saya tidak bisa hanya mengatakan tanda tangani sesuatu, karena jika saya mendapatkan

Tanya Jawab: Tanda tangan Bitcoin untuk autentikasi (1:47:01)

untuk memilih pesan, pada dasarnya saya dapat memilih pesan yang ditandatangani orang lain di masa lalu, menyajikan tanda tangan yang mereka terapkan dan memberi tahu Anda bahwa saya baru saja melakukannya. Dan Anda tidak memiliki cara untuk mengetahui apakah itu benar atau tidak. Jadi sebagai gantinya dalam skenario itu, Anda memerlukan respons tantangan. Jadi apa yang akan saya katakan adalah tolong, CarlosM, tandatangani pesan yang mengatakan, saya CarlosM pada bulan Desember entah tanggal lima hari ini? Saya bahkan tidak tahu pada, pada bulan Desember, entah tanggal berapa, lima, 2020, saya memiliki kunci privat saya. Dan saya menandatangani pesan ini atas permintaan Andreas. Jadi apakah Anda mengerti apa yang saya katakan di sini? Apa yang dilakukannya adalah menambatkannya pada waktu. Anda tidak akan tahu apa pesannya sampai saya meminta Anda untuk menandatangani pesan tertentu. Anda mengaitkannya dengan aktivitas tertentu. Saya telah meminta

Anda untuk memasukkan informasi tentang waktu Anda menandatanganinya dan identitas penandatangan di sana. Itu membuatnya jauh lebih sulit, tetapi tetap saja, saya tidak tahu apakah Carlos menandatangani ini. Kami melakukan percakapan serupa ketika kami berbicara tentang menandatangani dengan dompet untuk membuktikan bahwa Anda memiliki alamat untuk aturan perjalanan baru yang sedang diusulkan di AS dan telah diterapkan di UE. Dan tentu saja, jika Carlos ingin membuktikan bahwa mereka memiliki alamat dan saya memberi mereka pesan seperti itu, yang harus mereka lakukan hanyalah memberikan pesan itu kepada Jimmy, meminta Jimmy menandatanganinya dengan mengatakan, ini Carlos, mengembalikannya kepada Carlos, Carlos memberikannya kepada saya, dan saya pikir itu membuktikan bahwa Carlos memiliki kunci privat padahal sebenarnya Jimmy yang memilikinya dan mereka bekerja sama. Jadi ini rumit. Ini

tidak sesederhana kelihatannya pada pandangan pertama Baiklah, mari kita lihat. Saya akan menjawab mungkin satu pertanyaan lagi. Oh, ini pertanyaan yang bagus. Saya sangat menyukai yang ini. Ini adalah pertanyaan dari Jeff. Jeff Tezos bertanya, bagaimana dengan kata sandi yang perlu Anda masukkan secara manual dengan remote di TV atau sejenisnya seperti Amazon, Netflix. Seberapa panjang dan sulit seharusnya? Jeff, saya telah berjuang dengan ini. Dan saya memiliki jawaban untuk ini, yang akan saya berikan kepada Anda sebentar lagi. Sekarang, bayangkan skenario yang dibicarakan Jeff, Anda telah menggunakan pengelola kata sandi Anda untuk menghasilkan kunci alfanumerik 32 karakter unik dengan simbol untuk akun Netflix Anda. Sekarang Anda harus memasukkannya pada keyboard smart TV Roku, di mana setiap huruf harus dimasukkan dengan menggerakkan kursor kecil Anda ke huruf yang benar pada keyboard, menekan enter,

dan kemudian bergerak mundur dan turun ke caps lock dan menyalakan caps lock dan bergerak ke atas dan pergi ke huruf kapital dan kemudian mematikan caps lock dan kemudian pindah ke simbol dan beralih ke keyboard numerik. Ya Tuhan, ini akan memakan waktu berjam-jam, berjam-jam. Jadi ya, dalam kasus tersebut, hal yang sama akan saya katakan dalam kasus di mana keamanan Anda tidak terlalu kritis, Anda perlu melakukan sesuatu di mana Anda sering harus membagikan kunci ini dengan orang lain. Contoh yang bagus adalah kata sandi wifi Anda, bukan? Jadi dalam kasus tersebut, apa yang akan saya lakukan adalah saya akan menggunakan kata sandi numerik atau alfabet sederhana. Semuanya satu kelas karakter dan membuatnya sedikit lebih panjang. Jadi saya tidak peduli jika seseorang meretas Netflix saya dan menyadari bahwa saya sedang menonton Queen's Gambit. Tentu saja, saya menonton Queen's Gambit. Semua orang

menonton Queen's Gambit. Ini minggu Queen's Gambit. Itu tidak terlalu penting bagi saya, meskipun ada beberapa pertimbangan keamanan, seperti bisa mengetahui di mana saya berada saat saya menontonnya. Jadi saya masih membutuhkan kata sandi. Tetapi tidak harus sepanjang itu karena kecil kemungkinannya seseorang akan mencoba meretasnya. Masalah sebenarnya adalah apakah saya ingat untuk mereset TV Roku ketika saya meninggalkan Airbnb. Aha. Itu pertanyaan yang bagus. Jadi apa yang saya lakukan? Saya biasanya memilih kata sandi numerik atau kata sandi alfabet atau huruf kecil dan saya mengelompokkannya dalam beberapa grup. Jadi cara klasik yang akan saya lakukan adalah 12 angka yang dipisahkan oleh tanda minus atau tanda hubung. Jadi itu berarti saya akan membuat tiga grup yang terdiri dari empat atau empat grup yang terdiri dari tiga digit. Jadi kata sandi saya akan menjadi sesuatu seperti sembilan tiga tujuh setrip tiga satu dua setrip tiga

Tanya Jawab: kata sandi untuk remote TV dan perangkat berkeamanan rendah (1:52:10)

tiga satu setrip empat satu lima. Saya hanya memilih angka secara acak pada titik ini. Omong-omong, ini bukan acak yang sangat bagus. Saya akan menggunakan pembuat angka acak di pengelola kata sandi saya. Saya akan menyuruhnya untuk hanya memberi saya angka dan membuatnya sepanjang 12 karakter. Dan kemudian saya akan menuliskannya dengan setrip di antaranya yang dikelompokkan dalam kelompok empat yang rapi, karena lebih mudah bagi saya untuk membacanya dari layar dan mengetiknya ke papan ketik. Dan biasanya angka dan setrip berada pada papan ketik yang sama dan jaraknya sangat dekat, jadi saya dapat melakukannya dengan cepat atau bahkan lebih baik, banyak remote control memungkinkan Anda menggunakan bagian numerik dari papan ketik, yang dulunya untuk... Di masa lalu, kita memiliki saluran di televisi kita dan saluran tersebut dipilih oleh nomor saluran numerik. Saya tahu ini adalah teknologi yang mencengangkan.

Jadi banyak remote memiliki papan tombol angka padanya. Jadi ini sekali lagi membuatnya jauh lebih mudah untuk mengetikkan frasa sandi. Terima kasih, Jeff. Itu pertanyaan yang bagus. Dan pertanyaan yang sangat praktis tentang menyeimbangkan keamanan. Apakah Anda benar-benar ingin bersusah payah untuk melindungi akun yang tidak terlalu aman dan di mana risiko yang lebih besar adalah Anda lupa menghapus atau mengatur ulang kata sandi itu ketika Anda meninggalkan Airbnb dan membiarkannya ditemukan oleh orang lain, yang pada titik itu, mungkin akan sedikit merepotkan. Pertanyaan serupa dari Jeff. Ups. Oh tidak, ini bukan Jeff. Maaf, sebentar. Nah, ini dia. Apakah itu berhasil? Ada sedikit kelambatan pada aplikasi saya hari ini. Seberapa amankah menggunakan pin empat digit saja, seperti yang digunakan pada semua kartu bank misalnya, tanya Mike. Mike, itu tergantung, itu

tergantung di mana Anda dapat mengetikkan pin tersebut. Jadi alasan mengapa pin empat digit aman pada kartu bank, adalah karena Anda hanya dapat mengetikkannya ke perangkat keamanan, seperti papan pin atau mesin ATM. Perangkat ini dirancang untuk mencegah Anda mencoba lebih dari jumlah tertentu. Dan jika itu adalah perangkat yang diawasi, artinya Anda berada di pom bensin, Anda berada di kasir supermarket, atau di mana pun ada orang yang berdiri di sana dan Anda mengetikkannya lebih dari beberapa kali. Mereka dapat melihat Anda melakukannya dan mereka akan memanggil petugas keamanan, jika Anda mencoba mengetikkan 4.000 kombinasi yang berbeda. Dan ketika itu adalah perangkat yang tidak diawasi di mana Anda bisa duduk di sana dan mencoba berjam-jam semua kombinasi yang memungkinkan, itu sebenarnya akan mengunci dan menelan kartu Anda seperti yang Anda tahu, pada ATM. Jadi

jika saya salah mengetikkannya empat kali, atau salah enam kali, atau salah tiga kali, tergantung pada kebijakan bank, mesin itu akan menelan kartu saya dan tidak memberi saya kesempatan lagi untuk mencoba. Jadi ini bukan hanya tentang pin, ini tentang konteks bagaimana pin itu digunakan. Di mana pin itu dimasukkan, berapa kali Anda dapat mencoba, dan apa yang terjadi jika Anda gagal dalam mekanisme keamanan berlapis ini. Jadi ya, pin empat digit cukup aman dalam konteks perangkat akses terkontrol seperti ATM dan papan pin, di mana terdapat lapisan keamanan tambahan seperti menelan kartu Anda jika Anda salah mengetikkannya, atau tidak membiarkan Anda mencoba terlalu banyak. Saya rasa itu bagus. Kita telah membahas banyak topik. Terima kasih banyak atas semua pertanyaan hebat ini. Terima kasih telah meninggalkan komentar yang sangat bagus. Beri tahu saya apa yang Anda sukai dari

sesi khusus ini. Sesi ini sedikit berbeda dari sesi lain yang pernah kita lakukan. Beri tahu saya apa lagi yang ingin Anda pelajari untuk membantu Anda dalam perjalanan Bitcoin dan Blockchain terbuka ini. Dan jangan lupa, kita memiliki sejumlah sesi seperti ini yang akan datang. Biarkan saya menunjukkan kepada Anda acara kita berikutnya yang akan datang yaitu, Percakapan Liburan yang Canggung, Percakapan Liburan yang Canggung. Itu adalah acara berikutnya yang akan datang. Saya akan membekali Anda dengan jawaban yang tepat dan juga cerita lucu dari orang lain yang saat ini berbagi di komentar di Patreon dan platform lain, tentang percakapan liburan keluarga mereka yang canggung. Sebagian besar tentang Bitcoin dan Blockchain terbuka, terkadang tentang topik yang membuatnya jauh lebih canggung yang tidak akan kita bahas di siaran langsung. Kemudian kita memiliki Tanya Jawab topik terbuka bulan Desember, di mana Anda dapat mengajukan pertanyaan apa pun dan saya mungkin memilih untuk menjawabnya. Dan

Penutup (1:57:25)

kemudian yang terakhir kita memiliki Acara Extravaganza 2021. Jadi, untuk mengetahui kapan acara-acara ini berlangsung dan mempelajarinya, silakan berlangganan kanal saya. Nyalakan notifikasi dengan menekan ikon lonceng, dan dengan begitu Anda akan menjadi orang pertama yang mengetahui tentang acara-acara baru ini. Terima kasih telah bergabung dengan saya hari ini, kita memiliki lebih dari 300 orang di kanal pada siaran langsung hari ini yang bergabung dengan kita untuk presentasi yang hampir dua jam ini, tetapi ada banyak hal yang harus kita bahas. Sekarang, saat saya melakukan ini, Anda mungkin memperhatikan bahwa saya memiliki tumpukan buku berwarna fantastis dengan warna yang berbeda-beda. Dan yah, Anda akan membutuhkan versi cetaknya untuk menikmati warna-warnanya, Anda sebenarnya dapat membaca isinya sebagai ebook. Dan Anda bisa mendapatkan ebook tersebut di toko saya antonov.com/shop. Anda juga bisa mendapatkan cangkir seperti ini. Dan

omong-omong, ini adalah cangkir yang benar-benar fantastis. Ukurannya besar, dan berat. Cangkir ini menahan panas. Sangat sulit untuk dipecahkan. Saya tahu karena saya sudah mencobanya. Saya telah menjatuhkannya beberapa kali dan cangkir ini menampung banyak kopi, yang akan kita semua butuhkan untuk melewati percakapan liburan yang canggung itu. Jadi, hingga hari Senin, selama dua hari ke depan, kami mengadakan obral liburan, yang memberi Anda diskon 20% untuk semua barang. Salah satu hal yang juga dapat Anda beli adalah lokakarya memilih mata uang kripto Anda. Dan diskon 20% berlaku untuk itu. Obral liburan 2020 tersedia di toko, buka halaman depan toko untuk menemukan kuponnya di antonov.com/shop. Jangan lupa untuk meninggalkan komentar di bawah untuk video ini. Terima kasih banyak telah menonton. Semoga akhir pekan Anda menyenangkan. Sampai jumpa semuanya.