Cara memastikan kata sandi Anda tetap dapat diakses setelah Anda tiada

Mengapa kata sandi adalah bagian sunyi dari warisan digital

Ketika kita memikirkan tentang apa yang akan kita tinggalkan, kebanyakan dari kita membayangkan surat, foto, mungkin sebuah surat wasiat di notaris. Kita jarang membayangkan dua puluh atau tiga puluh login yang diam-diam menjalankan seluruh kehidupan dewasa kita: akun email yang menerima setiap permintaan reset kata sandi, penyimpanan cloud yang menyimpan dua puluh tahun foto, aplikasi bank, portal pajak, rekam medis, langganan.

Jika orang yang Anda cintai tidak dapat masuk ke email Anda, mereka tidak dapat masuk ke hampir apa pun yang lain. Satu akun itu adalah kunci utama dari separuh kehidupan modern, dan biasanya dilindungi oleh kata sandi yang tidak diketahui siapa pun dan faktor kedua di ponsel yang tidak bisa dibuka oleh siapa pun lainnya.

Langkah 1. Gunakan pengelola kata sandi, dan hanya satu

Jika Anda belum menggunakan pengelola kata sandi, berhentilah membaca dan instal sekarang. 1Password, Bitwarden, Proton Pass, dan Dashlane semuanya merupakan pilihan yang masuk akal. Detailnya tidak sepenting keputusannya: Anda memerlukan satu brankas terenkripsi yang menyimpan segalanya, dengan satu kata sandi utama yang tidak pernah Anda gunakan kembali di tempat lain.

Keajaibannya bukan pada perangkat lunaknya. Keajaibannya adalah mulai sekarang, mewariskan satu kata sandi utama memberikan akses kepada orang yang tepat ke semuanya dalam daftar yang jelas dan dapat ditelusuri.

Langkah 2. Tuliskan apa yang ingin Anda sampaikan kepada mereka

Brankas pengelola kata sandi tanpa konteks akan terasa membingungkan. Ahli waris Anda akan membukanya, melihat empat ratus entri, dan tidak tahu mana yang penting. Jadi tulislah dokumen singkat, satu halaman saja sudah cukup, yang menjawab:

• Akun email mana yang merupakan akun utama (yang menerima reset kata sandi)
• Akun mana yang harus mereka tutup, mana yang harus mereka pertahankan, mana yang harus dijadikan kenangan
• Di mana letak pembayaran berulang, agar mereka dapat menghentikan yang sudah tidak masuk akal
• Akun apa pun yang memiliki nilai nyata (bukan hanya uang, tetapi juga kenangan): foto cloud, draf, folder drive

Langkah 3. Tangani autentikasi dua faktor sejak dini

2FA kebanyakan orang berada di satu ponsel, dilindungi oleh satu wajah atau sidik jari. Jika ponsel itu terkunci selamanya, kata sandi utama saja tidak cukup. Anda harus salah satu dari berikut:

• Simpan kode pemulihan 2FA di dalam pengelola kata sandi itu sendiri (sebagian besar layanan memberi Anda 8 hingga 10 kode sekali pakai saat Anda mengaktifkan 2FA; cetak dan simpan di brankas Anda)
• Atau gunakan authenticator yang tersinkronisasi dengan pengelola kata sandi Anda (1Password, Bitwarden, dan Proton Pass semuanya dapat menghasilkan kode TOTP sendiri)

Kasus terburuknya bukanlah kata sandi yang lupa. Kasus terburuknya adalah pengelola kata sandi yang berhasil dibuka, dan setiap akun penting di dalamnya meminta kode enam digit dari ponsel yang tidak bisa dijangkau siapa pun.

Langkah 4. Sampaikan kata sandi utama dengan aman

Inilah bagian yang sulit. Anda tidak dapat menulis kata sandi utama di selembar kertas dalam laci, karena jika seseorang menemukannya lebih awal, seluruh brankas akan terbongkar. Anda tidak dapat memasukkannya ke dalam surat wasiat, karena surat wasiat menjadi publik dalam proses pengesahan dan proses itu bisa memakan waktu berbulan-bulan. Anda tidak dapat mengirimkannya melalui email kepada diri sendiri, karena email Anda justru hal yang ingin Anda buka.

Yang berhasil adalah pengiriman terenkripsi AES-256-GCM yang terkunci waktu dan terverifikasi: konten Anda dienkripsi sebelum menyentuh database kami, disimpan dalam keadaan tidak terbaca di server kami, dan dilepaskan hanya setelah sistem mengonfirmasi melalui beberapa sinyal independen bahwa Anda sudah tidak dapat lagi mengaksesnya sendiri.

Inilah persis yang dilakukan Final Capsule. Anda menulis kata sandi utama Anda ke dalam sebuah kapsul (dalam bentuk teks biasa, karena enkripsilah inti perlindungannya), menamai satu atau dua Confidant tepercaya plus satu SafeGuard (orang yang tugas satu-satunya adalah menjamin, dalam kasus terburuk, bahwa pengiriman harus terjadi), dan sistem menangani sisanya. Kapsul ini terenkripsi end-to-end; ia hanya dilepaskan kepada ahli waris yang disebutkan setelah verifikasi berhasil, tidak sebelumnya, tidak kepada siapa pun lainnya.

Kasus khusus: dompet perangkat keras dan frasa pemulihan

Semakin banyak pembaca panduan ini memiliki kategori 'kata sandi' yang tidak tersimpan dalam brankas: frasa benih dari dompet perangkat keras: 12 atau 24 kata yang, jika digabungkan, dapat merekonstruksi dompet kripto dari nol. Kata-kata ini tidak disimpan oleh perusahaan mana pun. Mereka hanya ada di selembar kertas atau pelat logam tempat Anda menuliskannya. Jika keluarga Anda tidak tahu di mana letaknya, dompet itu praktis hangus.

Kebanyakan panduan menyuruh Anda 'menyembunyikan kertas itu di tempat aman'. Dalam praktiknya, justru di situlah masalah dimulai: kertas dapat dicuri, terbakar dalam kebakaran rumah, hancur oleh banjir, atau ditemukan terlalu cepat oleh orang yang salah. Pelat baja tahan api tetapi tidak tahan terhadap tamu yang penasaran. Membagi kata-kata ke beberapa lokasi terdengar pintar sampai ahli waris Anda tidak tahu bahwa fragmen kedua bahkan ada.

Metode terbersih saat ini adalah memasukkan frasa itu sendiri ke dalam kapsul terenkripsi AES-256-GCM. 12 atau 24 kata diketik sekali, dienkripsi sebelum disimpan, disimpan dalam keadaan tidak terbaca di server kami, dan hanya dilepaskan kepada ahli waris yang Anda tunjuk, hanya setelah verifikasi multi-fase mengonfirmasi bahwa Anda sudah tidak dapat lagi mengakses dompet itu sendiri. Tidak ada kertas yang hilang. Tidak ada laci yang terlupakan. Tidak ada kerabat yang mengaduk-aduk rumah Anda sebelum waktunya tiba.

• Tiga aturan untuk pengaturan yang aman:
• Letakkan kata-katanya sendiri di dalam kapsul, dalam teks biasa. Ketik 12 atau 24 kata secara langsung. Enkripsilah yang melindunginya, bukan obfuskasi, bukan petunjuk yang ditulis setengah-setengah. Petunjuk setengah-setengah tidak berguna bagi ahli waris Anda dan tidak membuat pekerjaan pencuri menjadi lebih sulit.
• Tulis instruksi dalam bahasa yang sederhana di samping kata-kata itu. 'Buka aplikasi Ledger Live, colokkan perangkat yang ditandai Main BTC, pilih Restore from recovery phrase, dan masukkan 24 kata di bawah ini satu per satu' lebih bernilai daripada diagram apa pun. Ahli waris non-teknis membutuhkan kalimat, bukan tutorial.
• Pisahkan jalur kepercayaan antara perangkat dan kapsul. Dompet perangkat keras berada di dunia fisik (laci, brankas). Frasa berada di dalam kapsul terenkripsi, dialamatkan kepada ahli waris. Tidak ada satu pun yang cukup sendirian untuk memindahkan dana, tetapi bersama-sama, di tangan yang tepat, pemulihan hanya butuh sepuluh menit.

Jika Anda memegang sejumlah kripto yang berarti, pertimbangkan membagi frasa menjadi Shamir shares atau menggunakan pengaturan multisig, tetapi hanya jika ahli waris Anda secara realistis dapat merekonstruksinya. Rencana pemulihan yang terlalu rumit untuk ahli waris non-teknis bukanlah rencana pemulihan. Bagi sebagian besar pemegang, satu kapsul terenkripsi dengan frasa lengkap dan instruksi yang jelas adalah keandalan tertinggi yang bisa Anda dapatkan.

Daftar periksa singkat yang dapat Anda salin hari ini

1. Instal pengelola kata sandi jika Anda belum memilikinya
2. Audit akun-akun Anda, hapus yang tidak Anda gunakan
3. Simpan kode pemulihan 2FA di dalam brankas
4. Tulis peta satu halaman yang menjelaskan akun mana yang penting dan mengapa
5. Untuk setiap frasa benih atau dokumen pemulihan: ketik kata-katanya langsung ke dalam kapsul terenkripsi end-to-end dengan instruksi dalam bahasa yang sederhana. Tanpa kertas, tanpa laci, tanpa peta untuk digambar
6. Letakkan kata sandi utama (dan frasa benih apa pun) ke dalam kapsul yang dialamatkan kepada ahli waris yang tepat
7. Beritahu setidaknya satu Confidant bahwa kapsul itu ada