Membuat password yang nggak gampang ditebak itu susah, tapi lebih susah lagi di mana harus menyimpannya. Soalnya, nggak mungkin kita harus mengingat-ingat password semua website atau aplikasi yang kita gunakan. Ditulis di kertas, takut tercecer. Disimpan di HP, ada risiko kalau HP hilang atau dibajak.
Nah, pada orang yang nggak mau repot dan selalu mengandalkan teknologi, ada yang namanya Password Manager (PM). Bagi mereka, PM ini sudah seperti penyelamat hidup. Karena, semua password, data kartu kredit, bahkan OTP bisa tersimpan rapi tanpa perlu diingat satu per satu.
Punya PM jadi praktis banget, apalagi kalau dipadukan dengan fitur auto-fill yang bisa langsung mengisi username dan password saat login.
Baca juga: Lenovo Yoga Solar PC, Laptop Tipis Inovatif yang Mengandalkan Energi Surya
Tetapi, ada temuan terbaru yang bikin kita perlu waspada. Ternyata fitur auto-fill ini bisa dimanfaatkan oleh penyusup lewat teknik yang disebut clickjacking.
Apa Itu Clickjacking?
Clickjacking pada dasarnya trik menipu pengguna agar mengklik sesuatu yang kelihatan aman, padahal sebenarnya melakukan hal lain. Misalnya, kita lihat tombol “Download update” atau “Verifikasi CAPTCHA”, tapi begitu diklik, ternyata kita diarahkan ke elemen tersembunyi yang dikendalikan penyerang.
Nah, dalam kasus Password Manager, serangan ini bisa bikin fitur auto-fill terisi tanpa kita sadari. Kemudian, semua data yang tersimpan, mulai dari username, password, sampai data kartu kredit, bisa terkirim ke pihak-pihak yang tidak bertanggung jawab.
Yang bikin repot, serangan ini memanfaatkan pengaturan transparansi (opacity). Jadi, meskipun sebenarnya PM sedang bekerja di balik layar, kita nggak akan lihat apa-apa di layar. Seolah-olah nggak ada aktivitas, padahal data sedang diambil.
Peneliti keamanan Marek Tóth, yang mempresentasikan temuannya di Defcon 33, menjelaskan bahwa clickjacking lebih ke serangan berbasis web dan browser, bukan karena kelemahan PM. Tetapi karena PM sering digunakan dengan auto-fill, dampaknya jadi terasa lebih serius.
Baca juga: 'Pojok Belajar' Tak Hanya Diperluas, GoFood Juga Permudah Pendaftaran Mitra UMKM Kuliner
Beberapa penyedia layanan sudah bergerak cepat. NordPass, ProtonPass, Keeper, RoboForm, dan Dashlane misalnya, sudah melakukan perbaikan-perbaikan. LastPass juga menambahkan notifikasi pop-up sebelum auto-fill dijalankan.
Sementara itu, Bitwarden, Enpass, dan iCloud Passwords masih menyiapkan patch. Yang agak lambat justru 1Password dan LogMeOnce, yang sampai sekarang belum memberikan update berarti.
Cara Mencegah Clickjacking
1. Pastikan aplikasi Password Manager kamu sudah update ke versi terbaru. Banyak dari mereka sudah menutup celah ini lewat patch.
2. Biasakan berhati-hati dengan pop-up, iklan, atau CAPTCHA mencurigakan. Trik sederhana: arahkan kursor ke link dulu tanpa mengklik. Dari situ biasanya akan kelihatan alamat tujuan yang asli di pojok bawah browser.
3. Nonaktifkan fitur auto-fill. Memang agak repot karena harus copy-paste password secara manual, tapi cara ini bisa mencegah data otomatis terkirim ke penyerang.
Baca juga: Instagram Map Bikin Pengguna Panik soal Location Sharing tanpa Izin
4. Segera ganti dengan password baru. Usahakan password minimal 16 karakter, kombinasikan huruf besar, kecil, angka, dan simbol. Hampir semua PM sudah punya fitur password generator yang bisa membantu.
5. Lengkapi dengan perlindungan tambahan. Gunakan VPN untuk melindungi aktivitas browsing dari ISP atau pihak ketiga, dan install antivirus yang punya fitur blokir iklan atau pop-up berbahaya. Banyak paket keamanan yang sudah menggabungkan layanan ini dalam satu bundel, meski tetap ada pro dan kontranya.
Meski begitu, kamu tidak perlu langsung ganti Password Manager. Selama rajin update aplikasi, berhati-hati saat klik elemen web, dan bijak menggunakan auto-fill, risiko bisa ditekan.
Tetapi kalau kamu merasa kurang tenang, nggak ada salahnya pindah ke layanan yang sudah lebih dulu menutup celah keamanan ini. Bagaimanapun, Password Manager tetap penting untuk keamanan data kamu, asal dipakai dengan bijak.