Secara sederhana password dapat diartikan sebagai kata sandi yang terdiri dari berbagai karakter baik huruf, angka dan simbol. Hampir semua aplikasi ataupun apa saja yang berkaitan dengan privasi selalu membutuhkan password. Sehingga tidak heran bagi sebagian orang sangat memberi perhatian khusus terhadap pasword yang dimilikinya.

Begitu juga halnya dengan aplikasi steemit, setiap pengguna yang telah terhubung ke Steem Blockchain tentunya telah memiliki password. Khusus untuk password Steemit saya melihat sebenarnya telah memiliki keamanan yang lebih baik, hal ini dibuktikan dengan panjangnya password yang di generate oleh sistem. Tinggal saja bagaimana si pemilik password menjaga kerahasian dari pasword yang telah diberikan oleh Steemit.

Saya perhatikan beberapa post telah ada yang menjelaskan tentang password Steemit dengan baik. Lewat postingan ini saya akan menjelaskan sepintas saja tentang kegunaan dari pasword-pasword yang telah diberikan oleh Steemit, sehingga rekan-rekan semua dapat lebih baik dalam memahaminya.

Secara garis besar Steemit memberikan 5 password kepada penggunanya. Kelima password tersebut memiliki kegunaan masing. Berikut adalah penjelasan singkat tentang 5 password Steemit yang masing-masing telah steemian miliki.

Master Key atau Kunci Utama adalah sebuah password yang diberikan pada saat permintaan pendaftaran Steemit disetujui. Pasword ini tidak tersimpan dimanapun, sehingga setiap pengguna yang baru mendapatkan persetujuan akun sangat disarankan untuk menyimpan password ini baik dengan cara melakukan capture ataupun menyalinnya ke media lain.

Master Key memiliki multi fungsi untuk aktivitas apapun pada Steemit seperti pergantian password, posting, upvote, comment, transaksi wallet, dan recovery password. Dikarenakan. Untuk master key ini sebaiknya disimpan dengan baik, karena ketika kehilangan master key maka untuk fungsi recovery dan perubahan password tidak dapat dilakukan lagi, sekalipun akun dalam posisi terlogin.

Untuk key yang kedua adalah Posting Key. Pengguna Steemit dapat menemukan Posting Key melalui wallet tepatnya pada tab permission.

Jika seseorang melakukan login dengan menggunakan Posting Key, maka aktivitas yang dapat dilakukan hanya terbatas pada membuat posting, memberikan komentar/reply, upvote dan follow saja.

Pada tab permission juga dapat ditemui Posting Key. Dengan menggunakan Active Key maka pengguna dapat melakukan aktivitas wallet seperti transfer aset STEEM / SBD, trading pada internal market, pemilihan witness, power up dan semua fungsi yang dapat dilakukan dengan menggunakan Posting Key.

Sedangkan fungsi dari owner key adalah Master Key dalam versi Public, artinya Owner key ini tidak dapat digunakan untuk melakukan login.

Dan yang terakhir adalah Memo Key. Untuk key ini sebenarnya digunakan untuk mengirimkan pesan privacy, namun sampai sejauh ini saya belum menemukan penggunaan fitur Steemit yang mengharuskan menggunakan Memo Key.

Berdasarkan penjelasan fungsi password Steemit diatas, maka cara yang paling aman untuk melakukan login adalah dengan menggunakan Posting Key. Kendati terjadi pencurian Posting Key maka aset Steem / SBD dipastikan tetap aman karena Posting Key tidak bisa melakukan transaksi wallet. Pengguna hanya butuh melakukan change password untuk mengambil alih Posting Key yang telah dicuri.

Lantas timbul pertanyaan, bagaimana jika harus melakukan login dengan Active Key ? Seperti yang diketahui bersama bahwa saat ada banyak aplikasi pendukung Steem seperti Utopian.io, Busy.org, Dlive. dan aplikasi lainnya yang menggunakan Steemconnect serta membutuhkan Active Key untuk melakukan login.

Khusus untuk penggunaan login melalui Steemconnect yang membutuhkan Active Key, agar sebelum login dilakukan pengguna dapat memastikan bahwa benar-benar sedang berada pada aplikasi Steemconnect dengan cara memeriksa url yang digunakan yaitu https://steemconnect.com/. Hal ini bertujuan untuk menghindari jebakan phising. Para pelaku phising sangat mungkin membuat jebakan dengan cara memodifikasi alamat Steemconnect untuk agar dapat mengelabui pengguna. Misalnya dengan menggunakan alamat Steemconnnect.com (menambahkan satu huruf "n" sehingga pengguna akan mudah terkecoh).

Yang perlu dipahami adalah Steemconnect merupakan aplikasi yang telah dijamin keamanannya sebagai media login aplikasi Steem. Jadi pengguna tidak perlu khawatir akan terjadi pencurian akun melalui Steemconnect selama benar-benar dapat memastikan url yang digunakan adalah alamat valid Steemconnect yaitu https://steemconnect.com.

Sampai saat ini masih sangat banyak jebakan-jebakan phising yang bertebaran pada post dan comment di media Steemit. Untuk dapat menghindari phising, seorang pengguna wajib memiliki pengetahuan bagaimana sebuah jebakan phising bekerja dalam mencuri password. Para pelaku phising menebar jebakan lewat commentar dan post. Pelaku phising memberikan link yang jika diakses akan membawa pengguna ke halaman baru, kemudian diarahkan untuk melakukan login. Ketika seseorang melakukan login baik dengan sengaja atau tidak maka saat itulah password akun mengalami proses record dan disimpan oleh si pelaku.

Jika cara kerja phising telah dipahami, maka akan sangat mudah untuk melakukan tindakan antisipasi agar terhindar dari jebakan phising yaitu dengan cara Tidak Melakukan Login Secara Sembarangan sebelum memastikan halaman yang sedang diakses tersebut adalah phising atau bukan. Sehebat apapun tools yang diciptakan untuk mengantisipasi phising tidak akan ada artinya jika si pemiliki akun tidak memiliki kewaspadaan dan kontrol yang baik dalam melakukan login.

Hal lain yang benar-benar harus diperhatikan adalah ketika saat ini perkembangan aplikasi Steem mengarah pada trend pengembangan aplikasi versi mobile. Untuk penggunaan aplikasi Mobile juga sangat disarankan untuk tidak melakukan login secara sembarangan, apalagi aplikasi yang digunakan tersebut mengharuskan pengguna melakukan login dengan cara menggunakan Active Key terkecuali aplikasi yang dimaksud menggunakan steemconnect, "sekali lagi, agar selalu memastikan alamat steemconnect yang diakses adalah alamat yang valid" seperti yang telah dijelaskan diatas.

Untuk penggunaan akses steemit melalui browser chrome versi PC/Laptop, saya menyarankan agar menambahkan ekstesnis Chrome Steemed Phish untuk mempermudah pendeteksian link-link phising yang telah tersebar.

Terkait permasalahan keamanan Password, sejauh ini saya masih melihat beberapa prilaku rekan-rekan steemian yang menyimpan password secara sembarangan. Masih banyak saya temui teman-teman yang menyimpan password Steemit pada notepad, email, dan screen shoot. Sebenarnya tindakan seperti ini tidak kalah bahayanya dibandingkan dengan ancaman phising.

Sebuah password yang tersimpan secara terbuka pada PC, Laptop dan Smartphone sangat rentan terhadap pencurian. Karena tidak menutup kemungkinan jika pada PC, Laptop dan Smartphone yang digunakan telah terpasang aplikasi Keyloger atau aplikasi Backdor tanpa sepengetahuan pemiliknya. Dengan menggunakan Keyloger atau aplikasi Backdor maka seseorang akan sangat mudah untuk melakukan aktivitas rekam layar, transfer file, rekam aktivitas keyboard dari jarak jauh dan menggunakan perangkat lain. Walau sampai saat ini belum terdengar kejahatan dengan cara demikian, namun celah ini akan sangat mungkin untuk dimanfaatkan untuk tindak kejahatan.

Mungkin sebagaian steemian masih berpikir menyimpan password dalam email atau notepad yang terproteksi itu akan aman, namun mungkin teman-teman lupa bahwa sebuah perangkat yang telah terpasang aplikasi keyloger atau aplikasi Backdor dapat melakukan screen shoot dari jarak jauh tanpa diketahui oleh si pemilik password.

Bayangkan saja pada saat pemilik password sedang membuka email atau notepad untuk melakukan copy password, tiba-tiba pada saat yang bersamaan aktivitas tersebut telah direkam lewat sebuah screen shoot dari perangkat lain. Maka saat itu juga password tersebut telah dimiliki oleh orang lain.

Untuk meminimalisir potensi kejahatan ini, saya menyarakan teman-teman untuk menggunakan aplikasi Password Manager sebagai media penyimpanan dan pengelolaan Password. Ada banyak aplikasi password manager yang dapat digunakan seperti KeePass, KeePassDroid, last Pass dan lainnya.

Dengan menggunakan Password Manager, username dan password akan tersimpan pada file database yang terenkripsi dan dapat disimpan pada tempat yang inginkan seperti pada falshdisk, hdd, cloud dan media penyimpanan lainnya. Karena file database ini terenkripsi maka password tersimpan akan tersimpan keadaan tertutup (hide character). Ketika melakukan copy password, aplikasi Password Manager tidak akan menampilkan password yang tersimpan namun hanya menampilkan karakter berupat titik-titik saja, jadi akan sangat aman untuk digunakan.

Sebagai contoh saya menggunakan aplikasi KeePass untuk menyimpan dan mengelola password. Aplikasi Keepas yang saya gunakan adalah versi desktop. Ketika saya melakukan entry usrename password steemit saya hanya butuh menekan tombol Ctrl+Shift+A pada keyboard, maka secara otomatis field username dan password akan terisi.

Sedangkan untuk pada smartphone, saya menggunakan KeePassDroid yang dapat mengakses file databese enkripsi yang saya simpan pada aplikasi cloud. Berikut adalah contoh penggunaannya.

Beberapa rekan-rekan steemian ada yang menanyakan kepada saya, bagaimana solusi ketika sebuah akun mengalami pencurian Master Key. Dan Alhamdullillah dari dua orang rekan saya yang mengalami kejadian ini, akunnya masih dapat dipulihkan walau aset dalam akun telah lenyap.

Syarat untuk mengembalikan akun yang hilang karena mengalami pencurian Master Key adalah sebagai berikut :

- Masih menyimpan email dan password yang digunakan untuk mendaftar akun Steemit._

- Masih menyimpan Master Key yang terakhir kali digunakan.

- Pengajuan Recovery Password dapat dilakukan sebelum 30 hari dari tanggal kejadian.

Jika tiga persyaratan diatas terpenuhi maka selanjutnya, silahkan gunakan fitur Stolen Accounts Recovery dengan cara memasukkan username dan Master Key yang terakhir kali digunakan. Konfirmasi pemulihan password akan dilakukan melalui email yang digunakan untuk mendaftar akun dalam waktu 3x24 Jam.

Untuk menjaga keamanan akun dan password Steemit, berikut ini akan saya sampaikan beberapa tips yang mungkin dapat berguna dan bermanfaat bagi teman-teman steemian.

- Selalu menyimpan serta menjaga kerahasian semua password Steemit dan password email yang digunakan untuk mendaftar akun Steemit dengan menggunakan aplikasi Password Manager.

1. Tidak melakukan login secara sembarangan dengan menggunakan Password Steemit.

2. Jangan pernah melakukan login dengan menggunakan Master Key.

3. Selalu menggunakan Posting Key untuk kebutuhan login.

4. Jika menggunakan aplikasi selain Steemit yang membutuhkan login menggunakan Active Key, sebelum login dilakukan pastikan aplikasi tersebut menggunakan Steemconnect dan pastikan url alamat aplikasi Steemconnect yang digunakan adalah valid yaitu https://steemconnect.com

6. Untuk penggunaan Steemit melalui browser, lakukan penambahan ekstensi Steemed Phish untuk mendeteksi link Phising.

7. Untuk penggunaan aplikasi Steem versi Mobile, pastikan aplikasi yang akan digunakan tersebut terhubung ke Steemconncet dan menggunakan alamat steemconnect yang valid.

8. Sebagai tindakan antisipasi untuk tetap menjaga kerahasiaan password, sebaiknya dilakukan pergantian password secara berkala, misalnya dalam waktu seminggu sekali atau 3 hari sekali.

9. Segera lakukan pergantian password jika merasa password mulai tidak aman.

10. Print semua password dan simpan dalam safe deposit box atau disimpan berserta dokument penting lainnya.