Seiring berkembangnya Internet menjadi bagian yang terintegrasi dalam kehidupan masyarakat, semakin banyak data yang terekspos kepada peretas.
Saat mengembangkan situs web Anda berikutnya, Skrip PHP , plugin atau aplikasi WordPress , lebih penting lagi untuk melindungi formulir login Anda sebaik mungkin. Anda bahkan tidak perlu menjadi seorang hacker untuk membobol beberapa situs web. Cukup unduh beberapa skrip dan jalankan.
Peretasan otomatis semakin mempermudah pencurian data dengan menciptakan jenis peretas semu baru – “script kiddie”. Sebagai pengembang. Anda dapat mengambil langkah-langkah untuk melindungi pengguna dari peretas dan pembuat skrip sungguhan.
ADVERTISEMENT
SCROLL TO RESUME CONTENT
Salah satu cara paling umum untuk meretas situs web adalah melalui formulir. Formulir mengambil informasi dan mengembalikan hasilnya kepada pengguna.
Injeksi SQL, XSS (skrip lintas situs), dan cracking brute force adalah beberapa cara peretas dapat mengakses data Anda. Skrip yang mengotomatiskan serangan cyber formulir login tersedia untuk diunduh. Formulir login ini adalah pintu masuk utama bagi peretas, dan pengembang web harus mampu mempertahankan diri dari upaya ini dalam kode mereka.
1. Jangan Pernah Menyimpan Kata Sandi sebagai Teks Biasa
Anda mungkin berpikir bahwa database Anda aman, namun yang diperlukan hanyalah satu dump database yang tidak disengaja agar peretas bisa mendapatkan seluruh daftar nama pengguna dan kata sandi.
Hal yang sangat merugikan bagi pengguna ketika hal ini terjadi adalah kebanyakan orang menggunakan kata sandi yang sama di beberapa platform.
Artinya, sejak database diretas, pengguna Anda kini berisiko diretas di sistem lain. Anda mungkin berpikir Anda tidak bertanggung jawab atas pengguna yang melakukan kesalahan ini, namun database yang diretas dan mengekspos banyak sistem dapat kembali menghantui Anda.
Bagaimana jika salah satu karyawan internal Anda memiliki informasi yang terdapat dalam tabel yang sama? Sekarang jaringan internal Anda mungkin rentan.
Misalnya, Anda menyimpan email di database dan kata sandi pengguna disimpan dalam teks biasa. Basis data diretas dan tabel ini terekspos.
Peretas sekarang dapat mencoba masuk ke alamat email menggunakan kata sandi teks biasa dan kombinasi email. Jika Anda menyimpan ribuan pengguna, ada kemungkinan besar peretas akan mendapatkan akses ke setidaknya beberapa alamat email pengguna ini.
2. Menerapkan Kebijakan Panjang dan Kompleksitas Kata Sandi
Sebagian besar pengembang memerlukan kata sandi yang setidaknya terdiri dari enam karakter. Lainnya memerlukan delapan karakter. Biasanya, panjang persyaratan kata sandi bergantung pada sensitivitas data. Jika kartu kredit disimpan, sebaiknya minta kata sandi yang lebih panjang.
Anda juga dapat meminta kerumitan dengan kata sandi. Misalnya, memerlukan huruf besar dan angka. Pengguna yang mengetahui aturan kerumitan kata sandi bahkan akan menggunakan karakter khusus.
Kebanyakan formulir login online tidak memerlukan tingkat kerumitan ini, namun formulir login tertentu harus memerlukan semacam kerumitan sebelum pengguna dapat menyimpan kata sandi.
Kompleksitas dan panjang kata sandi mungkin tidak tampak seperti masalah serius, namun komputer dapat memaksa kata sandi delapan karakter secara kasar dalam hitungan detik. Waktunya bertambah seiring dengan penggunaan karakter khusus, angka, dan huruf besar.
3. Gunakan Prosedur Penguncian Akun Setelah Sejumlah Upaya Login Tertentu
Skrip peretasan brute force banyak tersedia di Internet. Kata-kata kamus dan kata sandi umum juga tersedia untuk diunduh. Artinya seorang hacker atau script kiddie hanya perlu memuat file kamus dan menjalankan skrip, pergi, dan bangun keesokan paginya dengan daftar pengguna yang diretas.
Untuk membatasi keberhasilan serangan cyber brute force, gunakan kebijakan lockout. Misalnya, setelah pengguna gagal mencoba masuk ke akun setelah tiga kali mencoba, buatlah mereka menunggu beberapa menit untuk upaya berikutnya.
Jika lima atau enam upaya tidak berhasil, paksa pengguna untuk memverifikasi akun. Anda bisa berkreasi dengan kebijakan penguncian untuk mempersulit peretas namun ramah pengguna bagi pelanggan yang hanya lupa kata sandinya.
4. Gunakan Reset Kata Sandi dengan Pertanyaan Keamanan
Beberapa pengembang mengirimkan kata sandi kepada pengguna setelah mereka menjawab pertanyaan keamanan. Sayangnya, email bukanlah metode komunikasi yang aman untuk informasi sensitif.
Jika peretas memiliki akses ke alamat email tersebut, langkah selanjutnya adalah mendapatkan akses ke akun web menggunakan alamat email yang dapat diaksesnya. Jika Anda mengirimkan kata sandi melalui email, peretas memiliki cara mudah untuk mendapatkan kata sandi lain untuk pengguna dan mendapatkan akses ke akun pengguna Anda.
Anda dapat menghilangkan kelemahan keamanan ini dengan mengirimkan formulir pengaturan ulang kata sandi kepada pengguna.
Peretas masih dapat mengubah kata sandi akun, tetapi dia terbatas pada membuat kata sandinya sendiri dan tidak dapat melihat kata sandi pengguna saat ini. Jenis keamanan kata sandi ini melindungi data pengguna Anda.
Setelah pengguna mendapatkan kembali akses ke alamat email tersebut, dia kemudian dapat mengubah kata sandinya ke yang baru.
5. Tambahkan Otentikasi Dua Faktor
Otentikasi dua faktor mengharuskan pengguna memasukkan dua jenis kata sandi otentikasi ke dalam formulir login.
Penulis : Niken Sunarti
Sumber Berita : Sekitar News
Halaman : 1 2 Selanjutnya
