“Memakai MD5 polos hari ini sama konyolnya dengan mengunci brankas bank menggunakan gembok plastik.”
– Penulis –
Bagi mahasiswa Teknik Informatika, membangun fitur login mungkin tampak sederhana. Namun, tantangan sesungguhnya terletak pada pengembangan sistem autentikasi yang tahan terhadap serangan siber.
Maraknya kebocoran data di Indonesia menunjukkan bahwa masalah keamanan sering kali dipicu oleh kegagalan pengembang dalam menerapkan standar kriptografi terbaru, bukan hanya karena kehebatan peretas.
Celah paling umum adalah penggunaan algoritma hashing usang seperti MD5. Dulu, fungsi hash memang dirancang agar kata sandi sulit dikembalikan ke aslinya. Namun, dengan pesatnya kemampuan kartu grafis (GPU) modern, MD5 kini sangat rapuh.
MD5 yang Kini Rentan
Sebagai ilustrasi—merujuk pada data uji performa (benchmark) perangkat lunak Hashcat yang dirilis oleh komunitas riset keamanan siber—satu unit GPU RTX 4090 mampu menghitung lebih dari 160 miliar hash MD5 per detik, membuat sandi delapan karakter bobol hanya dalam waktu dua puluh menit lewat metode brute-force.
Banyak pengguna internet masih menggunakan password yang pendek (kurang dari 8 karakter), yang sangat mudah diretas oleh peretas dalam waktu yang sangat singkat.
Selain itu, MD5 juga tak berdaya melawan “jalan pintas” bernama tabel pelangi (rainbow tables)—kamus raksasa berisi hasil hash sandi yang telah dihitung sebelumnya. Jika pengembang tidak menerapkan salting (menambahkan karakter acak unik pada sandi sebelum di-hash), peretas tinggal mencocokkan hash tersebut dengan tabel pelangi. Memakai MD5 polos hari ini sama konyolnya dengan mengunci brankas bank menggunakan gembok plastik.
Argon2 yang Membuat Komputer Lelah
Sudah saatnya pengembang masa depan beralih ke fungsi derivasi kunci yang lebih tahan banting, seperti Argon2 yang berbeda dengan hash tradisional. Merujuk pada standar resmi IETF (RFC 9106), Argon2 dirancang khusus untuk memakan banyak memori (memory-hard) dan waktu pemrosesan (time-hard). Karakteristik ini dijamin membuat peretas dengan ribuan GPU paralel kewalahan dan kehabisan sumber daya komputasi saat mencoba membongkar kata sandi.
Aman Tanpa Kata Sandi dengan WebAuthn
Lebih jauh lagi, tren kini bergerak menuju autentikasi tanpa kata sandi (passwordless). Ekosistem web gencar mengadopsi standar Web Authentication (WebAuthn) yang dikembangkan oleh konsorsium W3C dan FIDO Alliance.
Melalui protokol resmi ini, pengguna bisa masuk memakai biometrik (sidik jari atau pemindai wajah) tanpa perlu mengirim kata sandi apa pun ke peladen (server). Kredensial diamankan di tingkat perangkat keras lokal menggunakan kriptografi kunci publik, sehingga risiko pencurian melalui phishing dapat ditekan.
Lambat? Tidak Signifikan!
Meskipun urgensinya sudah jelas, selalu ada pihak yang skeptis. Melihat perdebatan abadi di forum praktisi keamanan seperti Information Security Stack Exchange, argumen klasik yang sering dilontarkan para pembela sistem lawas biasanya berkisar pada efisiensi performa peladen: “Argon2 itu berat dan membuat server bekerja lebih keras, sedangkan MD5 sangat ringan dan super cepat. Mengapa harus membuang sumber daya komputasi untuk fitur login?” Sekilas, argumen ini terdengar rasional, namun faktanya tidak demikian.
Mengacu pada panduan penyimpanan kata sandi dari OWASP (Open Worldwide Application Security Project), algoritma hashing modern justru wajib memiliki work factor (beban kerja) yang sengaja dirancang agar memakan waktu dan sumber daya komputasi. Sifat lambat dan berat pada Argon2 inilah yang menjadi fitur keamanan utamanya, bukan kelemahan. Penundaan sekitar satu detik saat pengguna sah melakukan proses masuk tidak akan terasa mengganggu. Namun, penundaan satu detik itu akan terakumulasi menjadi mimpi buruk yang memakan waktu ribuan tahun bagi peretas yang mencoba melakukan brute-force pada jutaan baris data.
Pada akhirnya, pengembang tidak lagi sekadar bertanggung jawab untuk memastikan kode berjalan tanpa galat (error). Setiap arsitektur data mengemban amanah privasi jutaan pengguna. Memperbarui pengetahuan keamanan siber dan meninggalkan hashing usang adalah investasi keahlian yang tidak boleh ditawar lagi.
