Logo
sestro.dev
// Cyber

Kenapa Akun Bisa Diretas Padahal Password Kuat?


Pengamanan akun dari orang-orang tidak bertanggung jawab makin penting untuk dibahas, terutama karena percobaan pengambilalihan akun (account takeover) terjadi semakin sering. Banyak orang merasa aman hanya karena password-nya sudah “rumit”. Padahal, pada praktiknya, keamanan akun itu tidak sesederhana membuat password panjang dan penuh simbol.

Mitos Password Kuat

Kalau password-ku sudah rumit, akun pasti aman.
Ini mitos yang sangat umum.
Masalahnya, ketika password dibuat terlalu rumit, banyak pengguna justru melakukan “kompromi” agar tetap bisa login. Contohnya:
  • memakai password yang sama untuk banyak akun
  • menyimpan password di catatan yang tidak aman
  • membuat pola password yang mudah ditebak (misalnya mengganti angka belakang saja)
  • memakai informasi personal (tanggal lahir, nomor HP, nama) karena mudah diingat
Penelitian klasik dari Shirley Gaw dan Edward W. Felten menunjukkan gambaran yang relevan: dalam studi terhadap 49 mahasiswa, mayoritas pengguna memiliki tiga password atau kurang, dan password yang sama cenderung dipakai berulang di beberapa akun. Seiring waktu, jumlah akun bertambah, tetapi jumlah password tidak ikut bertambah—akhirnya tingkat reuse meningkat. 
Intinya:
 “Password kuat” sering gagal bukan karena teknologinya, tapi karena perilaku manusia yang wajar: ingin praktis.

Password Kuat Sering Berakhir Disimpan di Tempat Tidak Aman

Ini adalah paradoks yang sering terjadi:
Password dibuat rumit → sulit diingat → akhirnya disimpan sembarangan.
Contoh tempat yang sering dianggap aman padahal berisiko:
  • catatan di HP tanpa pengamanan
  • chat ke diri sendiri / teman
  • screenshot
  • kertas / sticky note
  • file teks “password.txt”
Kalau perangkat kena malware/infostealer atau akun chat/email kamu kebobolan, “password kuat” tadi bisa ikut terbongkar.

Password Bukan Satu-satunya Pintu

Banyak orang mengira akun hanya bisa dibobol kalau attacker berhasil menebak password. Faktanya, password cuma salah satu komponen. Dalam sistem modern, ada banyak “pintu lain”, misalnya:
  • session login (kamu sudah login, lalu sesi itu dicuri)
  • fitur reset password (email/nomor HP pemulihan)
  • OTP (terutama yang berbasis SMS)
  • akun email (kalau email utama jebol, akun lain ikut rawan)
  • aplikasi pihak ketiga yang terhubung (OAuth/SSO)
Karena itu, kita perlu paham cara akun bisa diambil alih tanpa menebak password.

Cara Akun Diretas TANPA Menebak Password

Berikut metode yang sering terjadi di dunia nyata—tanpa masuk ke langkah teknis yang berbahaya—agar kamu fokus pada pencegahannya.

Phishing (memancing korban memberi akses)

Korban diarahkan ke halaman/login palsu atau skenario yang membuat korban “menyerahkan” akses secara tidak sadar. Ini tetap jadi metode paling efektif karena menyerang sisi manusia, bukan mesin.

Session hijacking / cookie theft (mencuri sesi login)

Kalau attacker berhasil mendapatkan session cookie atau token sesi, mereka bisa “jadi kamu” tanpa perlu password (karena sistem mengira sesi itu sah). OWASP menjelaskan bahwa jika attacker memiliki cookie sesi, mereka dapat mengimpersonasi user dengan menyajikannya ke aplikasi. 

SIM swapping (mengambil alih nomor HP)

Kalau login kamu mengandalkan OTP SMS, attacker bisa mencoba memindahkan nomor kamu ke SIM mereka (melalui rekayasa sosial ke operator). CISA(Cybersecurity and Infrastructure Security Agency/Organisasi Cyber lah pokoknya) menyarankan proteksi tambahan seperti PIN pada akun operator dan MFA untuk mengurangi risiko SIM swapping. 

Credential stuffing (pakai data bocor dari tempat lain)

Bukan menebak, tapi mencoba pasangan email+password yang sudah bocor dari layanan lain. Ini sangat efektif jika kamu reuse password.

Pengambilalihan akun pemulihan

Kalau email utama atau nomor pemulihan diambil alih, attacker bisa menekan “lupa password” dan mengambil alih akun dengan jalur pemulihan.

Kesalahan Umum Pengguna

Ini poin yang sering terjadi pada banyak orang:
  • Reuse password (satu password untuk banyak akun)
  • Password berbasis data personal (nama, tanggal lahir, nomor HP)
  • Mengandalkan OTP SMS sebagai satu-satunya lapisan tambahan
  • Email utama tidak diamankan (padahal itu “master key”)
  • Tidak mengecek perangkat & sesi login yang aktif
  • Mengklik tautan login dari chat/email tanpa verifikasi domain
  • Mengizinkan aplikasi pihak ketiga terhubung tanpa membaca izin akses
  • Tidak update OS/browser (celah lama sering dimanfaatkan)

Cara Biar Password Kuat Beneran Berguna

Kalau kamu ingin password kuat itu benar-benar berdampak, kamu butuh strategi, bukan sekadar “rumit”.

Pakai password manager + unik per akun

Solusi paling realistis untuk manusia normal: biar kamu tidak perlu menghafal puluhan password.

Utamakan panjang (passphrase), bukan aturan aneh

Pedoman NIST (SP 800-63B) mendorong pendekatan yang lebih usable: password sebaiknya cukup panjang (lebih mudah lewat passphrase) dan sistem seharusnya mendukung password panjang, bukan memaksa komposisi yang bikin orang jadi “mengakali”. 
Contoh passphrase (konsep, bukan template wajib):
gabungan beberapa kata yang tidak berhubungan + mudah kamu ingat, tapi sulit ditebak orang lain.

Aktifkan MFA yang lebih kuat

Kalau bisa pilih, urutannya biasanya:
  • passkeys / security key (lebih tahan phishing)
  • authenticator app
  • terakhir: SMS (lebih berisiko karena SIM swapping)
Google menekankan passkeys lebih phishing-resistant karena pengguna tidak “menyerahkan” passkey ke situs palsu seperti halnya password/OTP. 

Amankan jalur pemulihan (ini sering dilupakan)

  • amankan email utama dengan MFA kuat
  • simpan backup codes dengan aman
  • pasang PIN di akun operator seluler (anti SIM swap)
  • pastikan recovery email/nomor masih milik kamu

Biasakan “cek sesi dan perangkat”

  • logout dari perangkat publik
  • cek “devices / active sessions” secara berkala
  • kalau ada notifikasi login aneh: ganti password + cabut sesi + cek akses aplikasi

Kesadaran Cyber

Keamanan akun bukan soal “takut”, tapi soal kebiasaan dan lapisan proteksi.
Prinsip sederhana:
  • Anggap password itu kunci pintu depan
  • MFA itu kunci tambahan
  • Email pemulihan itu kunci cadangan
  • Session/token itu akses yang sedang aktif
  • Perangkat kamu itu rumahnya yang semua nya terkunci
Kalau kamu menjaga semua lapisan ini, peluang akun diambil alih turun drastis.

// BAGIKAN_ARTIKEL:
WHATSAPP TWITTER
// KOMENTAR KEMBALI_KE_BERANDA

LOG_KOMENTAR

// TULIS_KOMENTAR: