[warning] hati-hati reset password baru anda!

Maaf, bukannya ane mau nyari sensasi dengan buat trit baru, padahal yg lama masih hangat . Hanya menyampaikan uneg-uneg saja.

Mungkin bagi para Mastah, modus seperti ini sudah bukan barang baru lagi. Tapi mungkin hal ini bisa berguna bagi yang belum nyadar akan potensi BAHAYA ini.

Tips yang sudah umum, dan saya hanya mengingatkan kembali saja :

Jangan menggunakan account email utama untuk mendaftar apapun sembarangan.


Saya baru saa menemukan hal yang janggal pada sebuah form reset password sebuah situs yang memberikan fasilitas melalui login (secara umum saja). Seperti umumnya situs-situs yg demikian, fitur reset password tentu sangat penting untuk menjamin kenyamanan user. Sayangnya fitur ini sangat mungkin bisa dijadikan peluang untuk modus baru pencurian password!, makanya hati-hati(baca tips diatas). Lalu Apakah kamu sudah menyadari?

Cara reset password karena lupa :

Umumnya cara kerja reset pasword : User memasukkan email akun untuk mereset password anda, kemudian Anda mendapatkan email yang berisikan link khusus untuk membuat password baru dg cara memasukkan sendiri passwor baru pilihan user sendiri. (Cara ini saya anggap lazim dan aman).

Tapi nggak semua situs membuat cara diatas untuk keperluan reset forgot password, tapi ada cara lain yang patut dicurigai. Seperti ini :

User input email => kemudian user mendapatkan email otomatis => user sudah mendapatkan password baru yang dibuat secara otomatis oleh sistem dan meminta user untuk menggunakannya buat login.

Kenapa patut dicurigai?....

Pada saat user klik submit button untuk menginput email lupa password, sistem situs bisa mengambil salah satu password yang tersimpan di browser(fitur pengingat password pada mozzila) komputer korban dan mengirimkannya kedatabase mereka. Taraaa... Apa jadinya jika password user yang diambil dari browser tersebut adalah passwor email yang diinputkan di form forgot password?. Bisa menyimpulkan sendiri kan?...


Ciri-ciri lain yang menguatkan kecurigaan dan harap diwaspadai :

Anda akan menerima email yang berisikan password baru, tapi password tersebut adalah password yang sebelumnya pernah anda buat untuk login di akun-akun anda.

Email apapun yang anda pakai untuk reset forgot password, sistem situs tidak menolaknya - yang biasanya dengan pesan otomatis " Email anda tidak tersimpan didatabase kami".(Umumnya, kalau email yg anda inputkan tak sesuai, sistem akan menolaknya.).

Jadi dalam modus ini , walau email apapun yg anda masukkan, semuanya bisa dipakai dan Anda akan mendapatkan password baru melalui email tsb. Tapi??.... ketika password baru tersebut anda pakai untuk login, maka akan ada pesan apasaja untuk mengelabuhi korban, misalnya " Akun anda sudah kadaluarsa, silahkan kontak admin". " Akun anda masih menunggu bla-bla-bla.. dsb


Paling enak dan aman bagaimana?....

• Amankan akun email utama(money mail ) Anda, atau tidak memakainya untuk daftar apapun. Bikin email yg lain untuk daftar di situs-situs kebanyakan.
• Tidak menyimpan password email utama di browser, dan rajin clear cookies(sedikit merepotkan)

Mungkin ada saran lain?...

[Tips tambahan dari rekan-rekan]

-----------


Hati-hati, banyak modus diluar sana yang Anda mungkin tak menyadarinya...

UPDATE :

Karena masih saja ada yg berasumsi bahwa mozzila bisa dijebol, malmware, trojan, bla-bla..

Teorinya gini gan (tapi jangan dipakai)

>>User memasukkan email reset new password pada situs maling

>>Sistem sistus maling membacanya, kemudian mengambil salah satu passwor tersimpan di FF

>>User menerima password baru melalui email dimana passwor baru tersebut adalah salah satu passwordnya sendiri yg tersimpan di FF tadi.

>>User menggunakan password tadi untuk melakukan login di situs maling tsb.

>>Password yang dimasukkan user plus emailnya tentu akan disimpan di DB situs maling.

Karena sistem situs maling ini bisa mengirimkan passwor user sendiri dari FF ke email user/korban, maka tak menutup kemungkinan jika hal itu juga langsung ditulis di DB mereka.

Sekali lagi Ane tidak beteori, tapi ini yg terjadi pada saya - tapi untungnya password yang diambil situs tersebut bukan password email saya, tapi password login saya di akun yg lain yg nggak penting

Bagaimana jadinya jika password yang diambil tadi adalah password email utama ane yg ane pakai untuk reset new password, dan ane tidak menyadarinya?...

Kalau email utama ane hilang, wah bisa mati seketika ane ,,, ,

 

Thanks udh ngingatin gan

Ane sih, klo akun yg danggap kurang penting pake email kedua dan pas yg sederhana... email utama hanya buat tmpat nampung dana

Sent from my SM-T705 using Tapatalk

 

Kalau saya:
Level 1: Email buat nampung spam. Buat nampung situs gak jelas. Sekalian buat daptar-daptar porum .
Level 2: Email buat umum (secondary email), buat pesbuk, hosting/ domain
Level 3: Email utama (money mail). Paypal.
Semua paswut saya bedakan.

Gak di dunia nyata gak di dunia maya, banyak yang jahil emang

 

Saran lain: pake password berbeda di situs berbeda.. bikin sendiri rumusnya biar kagak lupa

 

sy barusan reset cz lupa.

btw, ads-id dibuka di HP sama di pc dikasih peringatan trs ya..bakal di close ga ya sm mas admin klo bukanya sering di 2 perangkat beda shg IP beda?

 

eeh, ketinggalan, saran2 mas-mas di atas sepakat semua,,sy jg gitu..

 

Hmmm...bener jga gan.klo bwt login ke situs2 besar n trpercaya sih gpp pke email utama, tpi utk situs2 yg blm trbukti kredibilitasnya ane udh nyiapin email cadangan hehe... ini jg brguna utk mnghindari spam email yg ngeganggu knyamanan kita

 

Thanks buat ulasan lengkap agan....
Harus semakin hati-hati di masa seperti ini

 

Terimakasih gan sarannya.Klo ane email money untuk akun money saja,tdk digunakan untuk yg lainnya.Dan selalu ccleaner setiap malam/akhir dari aktifitas online seharian.

 

kalo saya email satu untuk semua seperti motonya google trus passwordnya 1 sampe 6

 

kalau ane, email utama ga ane apa2in gan, ada khusus tersendiri buat email "spam"

 

pasang anti virus kaspersky internet security ,, pasang plugin + fitur save money nya ,, halaman phising diblok

 

klo gw, sebisa mungkin yg pake 2step login, engga yahoo, engga gmail, engga fb, engga games, selama dia ada 2 step login, pasti gw pake.

jadi klo pun dia punya/tau password, tapi tanpa mobile phone, ga bakal bisa akses lebih jauh...

 

makasih udah ngingatin gan.

 

Wow jadi maksudnya situs tersebut bisa menjebol system keamanan mozilla yah gan?

 

Akan lebih baiknya memang email berisi data penting (keuangan), social media hingga email khusus mendaftar layanan gratis, ebook dll dipisahkan untuk menghindari hal hal yang tidak diinginkan

 

ane juga masih bingung yg ini
emang bisa y sebuah situs mampu mengambil password yg tersimpan di browser?
klo gt semua situs yg memberikan form reset passowrd bisa aja maenin kayak gini, tiap klik submit button akan ngambil password dari browser
mungkin bisa aja klo misal di browser terinstall suatu addon yg ternyata malware atau sejenisnya

 

mungkin bs kl yg bikin situsnya developer browser tsb

tp ane percaya kl browser sekelas mozila & chrome, pst sulit ditembus securitynya...
biasanya saat mereka mau meluncurkan versi terbaru jg sk bikin kontes buat siapa yg bisa ngehack security browser mereka itu, & hadiahnya bkn uang sedikit...
menurut ane yg mgkn terjadi dlm kasus ini:
1. user bikin password di suatu situs = pasword akun emailnya
2. saat reset pasword, ikut pula kedownload spyware, trojan, dsb

 

SONY aja bisa dijebol. Apalagi koloni yang kebanyakan pake Gmail, gratis pula.
Yang menjadi target Blackhat Hacker biasanya orang-orang yang sering menunjukkan kelebihan. Kelebihan uang misalnya.
Waspada

 

Saya nggak ngerti apa istilahnya gan, tapi yg jelas itulah yg terjadi gan,,

Saya nggak bilang semua situs main kayak gini kan Gan?.... Saya cuma bilang hati-hati, karena mungkin salah satunya ada yg berbuat demikian.

Secara umum pada situs yang lazim, reset password biasanya user akan dikirimkan link acak yang akan expired dalam beberapa waktu, dan user akan mendapat form untuk input passwrod baru. Sudah saya jelaskan dalam poin trit yaitu ( yg patut dicurigai)
teori malmware, trojan, dll itu dah lama gan.... kalau masalah itu ane sudah nggak akan bicara, soalnya sudah lumrah sekali..

teori malmware, trojan, dll itu dah lama gan.... kalau masalah itu ane sudah nggak akan bicara, soalnya sudah lumrah sekali..

Para pencuri juga selalu update ilmunya tiap hari, mereka selangkah lebih maju dari keamanan. Semua bisa saja terjadi, kalau masih dalam lingkup bikinan manusia saja,,,,


Jangankan mozilla ga, lha wong satelit saja bisa digeser oleh hacker,,,

Percaya nggak percaya, yg penting kita bisa lebih berhati-hati

, thx udah berkunjung dan komengnya