Security

Rahasia Pemerintah… Eh Rahasia Password Kuat

By Juri Pebrianto

Pernah mikir nggak, kenapa masih banyak orang yang milih kata sandi super lemah, padahal tahu risikonya? Penelitian ini mencoba jawab pertanyaan itu dengan cara yang unik banget! Bukan sekadar bilang ‘jangan pakai password 123456’, mereka pakai teori psikologi yang namanya Prospect Theory buat cari tahu gimana cara mendorong kita milih kata sandi yang lebih kuat. Hasilnya? Ternyata, dengan sedikit sentuhan ‘horor’, banyak yang akhirnya beralih ke kata sandi lebih aman. Penasaran gimana caranya? Yuk, kita bahas!

Masalahnya simpel tapi serius: meski kita sudah sering diingatkan tentang pentingnya kata sandi yang kuat, masih banyak yang memilih kombinasi lemah yang gampang ditebak. Peneliti dalam studi ini menemukan bahwa aturan kata sandi ketat dan indikator kekuatan kata sandi yang biasa kita lihat di situs-situs sering kali kurang efektif. Banyak pengguna hanya mengabaikan indikator tersebut, terutama untuk akun-akun yang dianggap ‘kurang penting’.

Lalu, kenapa bisa begitu? Ternyata, keputusan memilih kata sandi sering kali dipengaruhi oleh faktor risiko dan persepsi kita tentang keamanan. Di sinilah Prospect Theory masuk – teori ini menjelaskan bagaimana orang menilai risiko dan membuat keputusan berdasarkan ‘kerugian’ yang mungkin terjadi. Dalam konteks ini, para peneliti bertanya-tanya, apa jadinya kalau kita menyoroti risiko dari penggunaan kata sandi lemah dengan cara yang membuat pengguna merasa rugi? Apakah ini akan cukup efektif untuk mendorong mereka beralih ke kata sandi yang lebih kuat? Penelitian ini mencoba menjawab pertanyaan tersebut dengan serangkaian eksperimen menarik.

Untuk mengatasi masalah ini, penelitian ini mengambil pendekatan yang unik. Alih-alih hanya mengandalkan aturan atau meteran kekuatan kata sandi, mereka menguji bagaimana framing atau cara menyampaikan risiko bisa mempengaruhi pilihan kata sandi. Mereka melakukan serangkaian eksperimen online, di mana pengguna diminta untuk membuat kata sandi, lalu diberi pesan interaktif yang menyarankan mereka untuk memilih kata sandi yang lebih kuat jika pilihan awal mereka dianggap lemah.

Eksperimen ini membagi pesan menjadi beberapa versi: ada yang menggunakan framing positif, netral, hingga negatif. Misalnya, pengguna yang memilih kata sandi lemah akan diberi pesan tentang potensi risiko kehilangan finansial atau pencurian identitas – hal-hal yang bisa membuat mereka berpikir ulang. Dari eksperimen ini, peneliti ingin melihat apakah pendekatan ini cukup kuat untuk memotivasi perubahan perilaku pengguna terhadap pilihan kata sandi mereka.

Selain itu, penelitian ini juga menguji bagaimana feedback langsung (seperti password meter) dan saran konkret untuk memperkuat kata sandi bisa membantu pengguna dalam proses ini. Dengan begitu, mereka bisa melihat metode mana yang paling efektif untuk mendorong pengguna agar memilih kata sandi yang lebih kuat dan lebih aman.

Penelitian ini juga menyelami lebih dalam konsep dari Prospect Theory dengan menggunakan dua elemen penting: decision weight function (w) dan subjective value function (ν). Secara sederhana, kedua fungsi ini membantu menjelaskan bagaimana orang mengambil keputusan ketika dihadapkan dengan risiko.

Fungsi decision weight (w) menggambarkan bagaimana kita cenderung melebih-lebihkan kemungkinan kejadian yang sangat kecil, sementara subjective value (ν) menunjukkan bahwa kita lebih merasakan dampak dari kerugian dibandingkan keuntungan yang setara. Jadi, saat memilih kata sandi, pengguna mungkin lebih merasakan ‘sakitnya’ jika akun mereka diretas dibandingkan ‘manfaatnya’ punya kata sandi yang aman.

(a) Decision weight function w (b) Subjective value function ν

Gambar diatas memberikan contoh visual dari perilaku yang teramati dalam penelitian sebelumnya. Dengan memahami bagaimana kedua fungsi ini bekerja, peneliti bisa merancang intervensi yang lebih tepat sasaran – misalnya, dengan menekankan risiko besar yang akan dihadapi pengguna jika tetap menggunakan kata sandi yang lemah, harapannya mereka akan lebih terdorong untuk memilih kata sandi yang lebih aman.

Penelitian ini juga mengeksplorasi beberapa efek psikologis dari Prospect Theory yang memengaruhi cara kita mengambil keputusan – termasuk dalam hal memilih kata sandi. Beberapa efek utama yang dibahas adalah:

  1. Isolation Effect: Saat menghadapi pilihan, orang cenderung menyederhanakan masalah dengan mengabaikan komponen yang sama di antara opsi-opsi tersebut, dan hanya fokus pada perbedaan yang mencolok. Dalam konteks pemilihan kata sandi, ini bisa berarti pengguna lebih memperhatikan hal-hal spesifik, seperti kenyamanan atau kemudahan mengingat, dibandingkan risiko yang sebenarnya ada di semua kata sandi lemah.
  2. Pseudocertainty Effect: Orang sering kali memperlakukan hasil yang sangat mungkin (meskipun tidak pasti) seolah-olah hasil tersebut pasti akan terjadi. Jadi, misalnya, meskipun risiko diretas ada, banyak pengguna yang merasa cukup yakin bahwa mereka tidak akan terkena, karena mereka menganggap peluangnya rendah.
  3. Reference-dependence Effect: Dalam efek ini, orang mendefinisikan pilihan mereka relatif terhadap titik acuan atau baseline. Framing atau cara penyampaian pesan dapat memengaruhi baseline ini, seperti ketika risiko kata sandi lemah disorot sebagai kerugian, maka pengguna lebih cenderung merasakan tekanan untuk memilih kata sandi yang lebih kuat.
  4. Certainty Effect: Orang cenderung melebih-lebihkan kemungkinan hasil yang pasti dibandingkan dengan yang hanya mungkin. Jadi, ketika risiko keamanan disajikan sebagai sesuatu yang pasti – misalnya, ‘Anda pasti akan mengalami risiko ini jika memilih kata sandi lemah’ – pengguna mungkin akan lebih terpengaruh.
  5. Source-dependence Effect: Efek ini menunjukkan bahwa orang menilai risiko berdasarkan jenisnya, lebih cenderung menganggap risiko kontingen (tergantung pada syarat tertentu) sebagai lebih berat daripada risiko probabilistik biasa. Misalnya, pengguna mungkin lebih tergugah oleh risiko yang digambarkan dengan probabilitas yang jelas (seperti peluang besar diretas) daripada yang digambarkan secara umum.
  6. Loss Aversion Effect: Orang lebih tidak suka mengalami kerugian dibandingkan mendapatkan keuntungan dalam jumlah yang sama. Dalam pemilihan kata sandi, ini berarti bahwa jika pengguna dihadapkan pada risiko kerugian yang nyata, seperti potensi kehilangan data atau pencurian identitas, mereka mungkin lebih terdorong untuk memilih kata sandi yang lebih aman, dibandingkan jika hanya diberi tahu tentang manfaat memilih kata sandi yang lebih kuat.

 

(a) Account creation page

Gambar Account Creation Page diatas menunjukkan halaman di mana pengguna diminta membuat akun di sebuah situs uji. Pada halaman ini, pengguna memasukkan kata sandi yang kemudian langsung dievaluasi menggunakan password meter berbasis alat estimasi kekuatan kata sandi, seperti zxcvbn. Di beberapa versi halaman ini, pengguna melihat indikator kekuatan kata sandi yang menilai kata sandi mereka sebagai ‘lemah’, ‘sedang’, atau ‘kuat’. Jika pengguna memasukkan kata sandi lemah atau sedang, mereka diberi prompt interaktif yang menyarankan untuk memilih kata sandi yang lebih kuat.

Tampilan ini merupakan bagian penting dari eksperimen, karena halaman pembuatan akun ini adalah titik pertama di mana pengguna mulai berinteraksi dengan sistem yang mempengaruhi keputusan kata sandi mereka. Gambar ini menggambarkan langkah-langkah dalam eksperimen di mana pengguna yang memilih kata sandi lemah akan diberi prompt dengan berbagai framing untuk melihat apakah ini akan memotivasi mereka memilih kata sandi yang lebih aman.

(b) Example interactive prompt

Gambar Example Interactive Prompt diatas menunjukkan tampilan pesan interaktif yang muncul ketika pengguna memilih kata sandi yang dianggap lemah atau sedang. Pesan ini berfungsi untuk memberi peringatan dan mendorong pengguna agar mempertimbangkan untuk memilih kata sandi yang lebih kuat.

Prompt ini dirancang dengan berbagai framing – positif, netral, dan negatif – untuk menguji bagaimana penyajian risiko memengaruhi keputusan pengguna. Misalnya, dalam framing negatif, pesan bisa menyebutkan potensi risiko seperti pencurian identitas atau kerugian finansial yang mungkin terjadi jika pengguna terus menggunakan kata sandi lemah. Ada dua opsi tombol yang ditampilkan: satu untuk ‘Go Back’ agar pengguna bisa memilih kata sandi lain yang lebih kuat, dan satu lagi untuk ‘Continue’ jika mereka tetap ingin melanjutkan dengan kata sandi saat ini.

Gambar ini penting dalam eksperimen karena menunjukkan bagaimana variasi dalam cara penyampaian pesan dapat mempengaruhi respons pengguna terhadap risiko, serta keputusan mereka untuk memperkuat kata sandi atau tetap dengan pilihan awal.

 

strength password

Gambar diatas terkait Meter (weak password), Meter (moderate password), Meter (strong password), dan No Meter memperlihatkan beberapa versi tampilan halaman pembuatan akun dengan berbagai kondisi berdasarkan kekuatan kata sandi yang dipilih oleh pengguna.

  1. Meter (weak password): Pada gambar ini, kata sandi yang dimasukkan pengguna ditandai sebagai ‘lemah’. Indikator kekuatan kata sandi menunjukkan peringatan, yang berfungsi untuk memperingatkan pengguna bahwa kata sandi tersebut lebih rentan terhadap risiko.
  2. Meter (moderate password): Di sini, kata sandi dikategorikan sebagai ‘sedang’. Indikator menunjukkan kekuatan menengah, memberi pengguna gambaran bahwa kata sandi mereka cukup kuat tetapi masih bisa diperkuat lebih lanjut.
  3. Meter (strong password): Untuk kata sandi yang ditandai sebagai ‘kuat’, indikator menunjukkan bahwa kata sandi tersebut lebih aman, memberi pengguna rasa aman lebih tinggi terkait pilihan kata sandi mereka.
  4. No Meter: Pada versi ini, tidak ada indikator kekuatan kata sandi yang ditampilkan kepada pengguna. Kondisi ini digunakan untuk menguji pengaruh dari tidak adanya umpan balik langsung tentang kekuatan kata sandi, dan untuk membandingkan apakah keberadaan password meter berdampak pada keputusan pengguna.

Gambar-gambar ini memberikan pandangan komprehensif tentang bagaimana feedback visual dari password meter dapat memengaruhi persepsi pengguna mengenai kekuatan kata sandi mereka, serta bagaimana kehadiran atau ketiadaan indikator ini memengaruhi keputusan mereka untuk memilih kata sandi yang lebih kuat atau tidak.

Menurut Saya

Sebagai developer aplikasi dan web sejak 2014, saya bisa bilang bahwa penelitian ini memberikan wawasan yang sangat berguna bagi kita yang membangun sistem dengan keamanan berbasis kata sandi. Banyak dari kita yang mungkin sudah terbiasa menggunakan password meter atau aturan kompleksitas kata sandi seperti ‘minimal 8 karakter’, tapi nyatanya, hal-hal tersebut saja belum tentu cukup untuk memastikan pengguna memilih kata sandi yang benar-benar aman.

Penelitian ini membuka mata tentang bagaimana framing atau cara menyampaikan pesan bisa membuat perbedaan besar. Sebagai developer, pendekatan yang mengintegrasikan psikologi perilaku, seperti yang dilakukan dalam penelitian ini, bisa kita adopsi untuk membuat antarmuka yang lebih efektif dan persuasif. Dengan memberikan pesan interaktif yang menyoroti risiko secara lebih nyata, seperti potensi kerugian finansial atau pencurian identitas, kita bisa membantu pengguna memahami pentingnya memilih kata sandi yang lebih kuat. Ini bukan sekadar soal teknologi, tetapi bagaimana kita bisa memengaruhi perilaku pengguna dengan cara yang positif dan konstruktif, yang pada akhirnya membuat aplikasi atau situs kita menjadi lebih aman.

Wooowwww

Salah satu hal yang mengejutkan dari penelitian ini adalah bagaimana framing negatif – menekankan risiko jika memilih kata sandi lemah – ternyata jauh lebih efektif dibandingkan framing positif atau netral dalam mendorong pengguna untuk memperkuat kata sandi mereka. Sekitar 25% pengguna yang diberi pesan dengan framing negatif akhirnya memilih kata sandi yang lebih kuat, jauh lebih tinggi daripada mereka yang diberi pesan positif atau netral.

Selain itu, penelitian ini juga menunjukkan bahwa spesifik atau tidaknya prompt tentang risiko tidak banyak berpengaruh. Misalnya, meskipun pesan berisi detail tentang berapa lama waktu yang dibutuhkan untuk menebak kata sandi dengan brute-force attack, pengguna tidak lebih termotivasi untuk memperkuat kata sandi mereka dibandingkan dengan pesan yang lebih umum. Ini menunjukkan bahwa kadang-kadang, detail teknis tidak selalu memberikan dampak yang lebih besar dalam mempengaruhi keputusan pengguna.

Penemuan ini memberikan perspektif baru bahwa cara kita menyampaikan risiko bisa lebih kuat dampaknya daripada informasi detail itu sendiri, dan ini adalah wawasan yang berharga untuk diterapkan dalam desain antarmuka yang aman.

???

Ada beberapa pertanyaan yang masih belum terjawab dari penelitian ini, yang bisa menjadi bahan eksplorasi lebih lanjut:

  1. Apakah efek framing negatif ini konsisten dalam konteks dunia nyata? Penelitian ini dilakukan dalam lingkungan eksperimental dengan akun yang mungkin tidak dianggap penting oleh peserta. Akan sangat menarik untuk mengetahui apakah framing negatif juga efektif ketika diterapkan pada akun-akun yang benar-benar penting bagi pengguna, seperti akun bank atau email utama.
  2. Bagaimana framing negatif memengaruhi retensi kata sandi? Mendorong pengguna memilih kata sandi yang lebih kuat sangat baik untuk keamanan, tetapi ada risiko bahwa kata sandi yang lebih kompleks lebih sulit diingat. Apakah framing negatif ini membuat pengguna lebih cenderung menggunakan alat bantu memori, seperti pengelola kata sandi, atau malah meningkatkan risiko mereka lupa kata sandi?
  3. Apakah ada batasan etis dalam menggunakan framing negatif? Meskipun framing negatif dapat memotivasi pengguna untuk membuat pilihan yang lebih aman, ada kekhawatiran bahwa terlalu banyak tekanan atau ‘takut’ bisa dianggap manipulatif. Pertanyaan ini memunculkan diskusi tentang di mana batasan yang tepat antara mendorong pengguna untuk membuat keputusan yang lebih baik dan mengendalikan keputusan mereka dengan cara yang mungkin tidak etis.
  4. Apakah framing yang berbeda akan berdampak pada kelompok demografis yang berbeda? Penelitian ini dilakukan dengan peserta dari platform online, tetapi apakah respons terhadap framing negatif atau positif bisa berbeda jika diterapkan pada kelompok usia, pendidikan, atau latar belakang budaya yang berbeda?

Pertanyaan-pertanyaan ini membuka peluang untuk penelitian lebih lanjut, baik untuk melihat efektivitas pendekatan ini dalam skenario yang lebih luas maupun untuk memastikan pendekatan ini diterapkan dengan cara yang etis dan bertanggung jawab.

Terakhir

Penelitian ini membawa kita pada pemahaman yang lebih dalam tentang bagaimana cara pengguna memilih kata sandi dan bagaimana kita, sebagai pengembang, bisa membantu mereka memilih yang lebih aman. Dengan memanfaatkan Prospect Theory, khususnya efek framing negatif, penelitian ini menunjukkan bahwa cara penyampaian risiko dapat memiliki dampak yang besar pada keputusan pengguna.

Bagi kita yang peduli dengan keamanan aplikasi dan web, temuan ini menekankan pentingnya tidak hanya mengandalkan teknologi, tetapi juga memahami psikologi pengguna. Dengan desain antarmuka yang tepat, kita bisa lebih dari sekadar memberi peringatan – kita bisa mengarahkan pengguna untuk membuat keputusan yang lebih aman. Meskipun masih ada pertanyaan yang belum terjawab, seperti bagaimana penerapan ini dalam konteks dunia nyata dan batasan etis dari framing negatif, penelitian ini telah membuka jalan untuk pendekatan keamanan yang lebih holistik. Pada akhirnya, keamanan bukan hanya tentang teknologi, tetapi juga tentang memahami dan mempengaruhi perilaku pengguna.

By Juri Pebrianto

IT and software developer From 2014, I focus on Backend Developers with the longest experience with the PHP (Web) programming language, as I said above, I open myself up to new technologies about programming languages, databases and everything related to programming or software development. I have a new experience for React-Js, React-Native, Go-Lang, by the way, this website juripebrianto.my.id is made with React-Js technology as the frontend and Go-Lang as the API and CMS and uses MongoDB as the database.

Related Post

WAF the Hell – Web Application Firewall

Kenalin, Saya CORS, Saya Satpam Domain

Kakek Nenek Mbah Uyut Bersatu Melawan Password