Email Reset Kata Sandi: Tips Keamanan untuk Pengguna (dan Kesalahan yang Harus Dihindari oleh Pembuat)
Email reset kata sandi adalah beberapa pesan paling sensitif yang akan Anda terima. Penyerang menyukainya karena reset yang berhasil dapat langsung menyebabkan pengambilalihan akun.
1) Jika Anda tidak meminta reset, anggap ini sebagai sinyal
- Seseorang mungkin mencoba mengakses akun Anda.
- Email Anda mungkin ada dalam daftar bocor yang sedang diuji secara otomatis.
Ini tidak selalu berarti Anda diretas—tetapi ini berarti Anda harus merespons dengan aman.
2) Cara paling aman menangani email reset
- Jangan klik tautan segera.
- Buka tab baru dan navigasikan langsung ke situs resmi.
- Masuk seperti biasa (jika bisa), lalu ubah kata sandi dari pengaturan.
- Tinjau sesi terbaru dan cabut perangkat yang tidak dikenal.
3) Tanda bahaya dalam email reset
- Domain pengirim aneh atau domain tidak cocok
- Ancaman mendesak (“reset dalam 10 menit atau kehilangan akses selamanya”)
- Tautan yang dipersingkat atau pengalihan membingungkan
- Meminta info pribadi tambahan di luar proses normal
4) Perkuat akun, bukan hanya kata sandi
- Gunakan pengelola kata sandi dan kata sandi unik.
- Aktifkan passkey atau 2FA.
- Hidupkan “peringatan login” jika memungkinkan.
5) Kesalahan pembuat yang menciptakan risiko reset
- Tautan reset yang tidak pernah kedaluwarsa
- Tidak ada pembatasan jumlah permintaan reset
- Token reset dapat digunakan berulang kali
- Tidak mencabut sesi setelah reset (jika sesuai)
6) Haruskah pengguna mengandalkan email sementara untuk reset?
Tidak untuk akun yang Anda pedulikan. Kotak masuk sementara dirancang untuk jangka pendek dan mungkin kedaluwarsa. Gunakan penyedia email yang Anda kendalikan untuk pemulihan.
7) Di mana kotak masuk sementara membantu (penggunaan sah)
Untuk tim QA yang menguji template reset kata sandi di staging, kotak masuk sekali pakai mengurangi kebisingan dan mempercepat iterasi. Buat kotak masuk uji baru: TempMailbox.
