Topic: Hati-Hati Menggunakan Layanan Cloud Untuk Backup Wallet, Password & PrivateKey (Read 401 times)

Google Drive mas, dan memang digunakan untuk share data seperti yang disebutkan diatas; untuk ToS terbarunya saya belum tahu kebijakannya seperti apa saja.
Sementara untuk data utama ada di NAS kantor, hanya saja memang tidak dibuatkan partisi khusus untuk penyimpanan data yang di-share ke publik; Saya pun demikian meskipun kerja dari rumah untuk backup data di simpan di NAS sendiri.

Yang membuat saya heran, beberapa hari kebelakang ini data-data sharing yang di google drive sebagian pada hilang padahal space storage dari layanan berbayarnya masih cukup lega. Awalnya saya kira ada maintenance dari orang kantor dengan menghapus file-file lama, ternyata file yang terbilang baru saya share pun tidak begitu lama hilang juga.

Setahu saya tidak ada fitur auto-delete di layanan tersebut, dan kalaupun ada mestinya muncul notifikasi sebagaimana contoh pada layanan cloud lain semisal WeTransfer.

---

Dari contoh kasus diatas, bisa diambil pelajaran kalau menyimpan data backup seed, password atau lainnya di layanan cloud apalagi tidak punya backup ditempat lain, tidak sepenuhnya aman sekalipun menggunakan versi premium.

Kalau boleh tahu jasa yang dipakai waktu itu apa om? Apa ada di TOSnya kalau data bakal hilang begitu saja tanpa ada waktu untuk backup oleh user sama sekali? Di sisi lain agak teledor juga kalau cloud backup dijadikan satu-satunya solusi untuk backup sih. Kebanyakan yang ane tahu biasanya cloud hanya dipakai untuk shared storage, sementara backup sepenuhnya offline dengan NAS dan sejenisnya.

Rata" cloud yang gratis biasanya menyediakan space di atas 1 GB. Cukup banyak kalau tujuannya hanya untuk nyimpan notepad dst. Walau tentu saja harusnya tidak digunakan untuk jadi tempat backup seed dsj.

Sedikit sharing. Dari yang saya pernah alami pada layanan cloud yang digunakan untuk share data di kantor, pernah data yang hilang itu karena telat memperpanjang masa aktif sewa cloud drive, otomatis kapasitas drive dikembalikan ke versi free yang berimbas sebagian data sebelumnya ada yang tidak bisa diakses.

Backup hal krusial seperti wallet, seed phrase, password di cloud drive memang riskan baik itu yang berbayar apalagi yang gratisan, beberapa penyebab seperti yang disebutkan diatas bisa saja terjadi pada versi berbayar sekalipun, entah itu dari kelalaian user atau karena ada kebijakan baru penyedia layanannya dikemudian hari.

Yup. layanan cloud dan semacamnya ini adalah tempat penitipan, jika kita dianggap melanggar aturan, pasti provider akan langsung membanned akun kita. Ini tidak pandang berbayar atau gratis. Belum lagi soal akses disk secara remote yang pasti bisa dilakukan oleh tim penyedia. Ini tentu akan lebih berbahaya lagi jika berkas kita di dalamnya tidak diberikan password/OTP sebagai tambahan keamanan. Layanan cloud dianggap paling ramah dan mudah untuk melakukan ekstensi, namun dari segi keamanan untuk file backup yang menyangkut uang, sangat tidak disarankan, walaupun ada cerita seseorang yang berhasil menemukan wallet backup dengan aset lumayan besar, karena menemukan walletnya yang dulu pernah disimpan di cloud dan baru ingat akhir-akhir ini. Namun, ini bukanlah untuk ditiru.

Salah satu cara yang juga saya tempuh, karena terbilang simpel dan bahkan untuk proses laminating bisa dilakukan sendiri dengan menggunakan setrika (dan tentunya mika laminating yang bisa dapatkan dengan mudah). Selain menyimpannya di kertas yang dilaminating, saya juga membuat back-up pada sebuah flashdisk, dan untuk keamanan (keawetan) yang lebih bagus saya menyimpan keduanya pada sebuah brankas.

kalau ane di print gan, trus biar kertasnya gak rusak, ane laminating, ane gak pernah percaya yang online online lagi kalau nyimpen data penting kek privet key, password dll. apalagi layanan cloud, haduh haduh gak dulu deh, trauma data 100gb (foto, vidio, kerjaan, backup data) hilang di banned google.

Intinya, begini saya tidak melarang jika ada yang ingin menggunakan layanan Cloud, thread ini untuk memperingatkan Anda semua untuk lebih berhati-hati jika memilih provider. Apabila Anda menemukan provider yang benar-benar mengutamakan privasi pengguna (tidak mengintip untuk tujuan apaun) dan mengenkripsi data pengguna (mungkin provider yang disebutkan oleh @joniboini bisa menjadi pilihan/alternatif atau dengan yang disebutkan oleh @Husna QA tentang pembuatan penyimpanan sendiri) maka silakan saja.

Perlu diketahui juga, penyedia cloud tentu sama dengan apa yang kita simpan pada server, ketika kita mengalami masalah, penyedia server dapat membantu kita bahkan dengan membuka file yang kita miliki. Jika data Anda tersimpan pada cloud dan dibuka seperti ini, bukankah ini dapat membuat Anda mengalami kerugian?

Sekali lagi, ini hanya untuk membuat Anda lebih sadar akan privasi dan lebih berhati-hati saat memilih penyedia. Silakan gunakan cloud kalau itu diperlukan, tentu dengan risiko yang harus Anda tanggung sendiri. 

Kalau masih mau menggunakan cloud storage, setidaknya pilih yang open source atau punya kebijakan privasi (dan bisa diverifikasi) yang jelas. Dan kalau bisa jangan simpen private key / seed cold storage agan di sini. Google Drive, OneDrive, dsm udah jelas harus dijauhi. Beberapa artikel rekomendasi:

- https://lifehacker.com/the-best-cloud-storage-services-that-protect-your-priva-729639300
- https://www.cloudwards.net/best-zero-knowledge-cloud-services/
- https://www.privacytools.io/providers/cloud-storage/

Note: ane adalah pemakai Mega.

Cara tersebut sedikit aman namun agak sedikit ribet memang, terlebih lagi ketika mesti membawa kemana-mana tulisan tersebut.
Mungkin bagi yang suka dengan penyimpanan cloud, sedikit demi sedikit mulai membangun Personal Cloud Storage (yang dilengkapi backup otomatis) jadi tidak tergantung pada layanan cloud dari pihak ke-3 apalagi pada layanan versi free-nya.

---

Tidak ada yang 100% aman baik itu menyimpan di cloud (online) ataupun menyimpan secara offline, tapi setidaknya kita bisa memilih mana yang lebih minimal akibatnya ketika 'pahit'nya sampai terjadi pembobolan/kerusakan pada data yang disimpan tersebut.

Nothing secure memang kalo berhubungan dengan internet. Selalu ada celah, tapi setidaknya sudah usaha dengan memberikan keamanan ganda.
Jangan lupa minta perlindungan sama Tuhan juga karena apa yang terjadi adalah kehendakNya.

Saya adalah generasi pecinta pulpen dan kertas, jadi untuk beberapa password dan kode tertentu saya lebih suka menuliskannya di buku khusus memang agak ribed tapi itu lebih membuat nyaman. Ada yang sama?

kalo tips dari saya sederhana untuk mengamankan wallet

secara online dan ofline

jika online, maka seed atau semacamnya yang berkaitan dengan Wallet kita, cara yang paling aman adalah filenya itu harus di password kemudian baru disimpan dicloud, jangan LUPA passwordnya.

jika offline maka seed, privatekey dll sangat dianjurkan untuk dibackup kebeberapa flashdisk filenya jangan lupa di berikan password kemudian disimpan dibeberapa tempat yang berbeda.

Sangat setuju sekali dengan kedua pendapat oom oom ini. Masih ingat kasus Cambridge Analytica dan Facebook ataupun apple data breach?. Untuk Facebook dan Cambridge Analytica, kedua lembaga tersebut mempunyai integritas yang luar biasa (dulunya). Prinsip "Verify, don't trust" seperti yang dituliskan oleh om joni memang kudu diterapkan ketika berhubungan dengan teknologi (servis) yang disediakan oleh pihak ke-3. Backup dalam bentuk offline seperti yang tuliskan oleh om taufik (bagi saya) wajib diaplikasikan. Memang membosankan sih dan sangat tidak praktis ketika melakukan backup secara offline. Namun tingkat resiko-nya jauh lebih kecil daripada melakukan backup di cloud storage. Dan jangan lupa, selalalu lakukan double backup.

Setuju dengan pendapat yang satu ini, karena pada dasarnya saat kita menggunakan layanan Cloud Storage maka secara otomatis kita telah mengirimkan data kepada suatu layanan dan mempercayakan penyimpanan kepada mereka. Jadi dalam hal ini karena kita selaku pemilik data asli tidak memiliki kontrol langsung terhadap data tersebut, maka yang dijadikan dasar keamanan adalah "Security system" dan statement dari layanan Cloud Storage tersebut.

Meskipun Layanan Cloud Storage memberikan statement menjamin kerahasiaan data konsumennya 100%, tapi apakah mereka juga bisa menjamin bahwa semua karyawan-karyawannya juga akan menjunjung statement tersebut. Karena jalan termudah untuk bisa masuk kedalam sistem adalah melalui akses utamanya dan saya rasa yang bisa melakukan ini adalah pemilik akun, dan penyedia layanan cloud storage itu sendiri (beserta karyawan-karyawan yang bertanggung jawab dalam hal tersebut).

Disini saya tidak berusaha untuk menakut-nakuti (pengguna cloud storage), tetapi hanya memberikan kemungkinan-kemungkinan yang bisa saja terjadi sehingga para pengguna cloud storage (terutama yang gratisan) menjadi waspada dan menyadari potensi diatas ada. 

Masalah yang lebih prinsip sebenarnya bukan pada bangkrut atau tidaknya, tapi apakah ada kepastian pihak ketiga termasuk provider cloud itu sendiri tidak mengakses data agan untuk kepentingan lain. Contoh misalnya seperti kasusnya Facebook yang terakhir.

'Tapi kan ini Google, masa mereka main kayak gitu?' Orang jahat tidak berarti baik ketika kejahatannya tidak terlihat. Alias, kalau ga bisa diverifikasi, ya mending jangan. Moto 'verify, don't trust' harusnya paling berlaku di sini.

Saya pribadi juga masih menggunakan layanan cloud untuk mem-backup data-data semisal password, tentunya saya gunakan fitur proteksi yang ada dan menggunakan email terpisah yang dilengkapi 2fa (authenticator) untuk mengaksesnya.
Untuk versi offline nya saya menggunakan fitur Time Machine di laptop dengan menggunakan harddisk tersendiri.

Saya sering menggunakan password acak antara satu akun dengan akun lainnya, dan terkadang butuh mengaksesnya dengan menggunakan smartphone (yang dilengkapi anti virus) ketika sedang tidak di depan PC.
Inilah salah satu fungsi penyimpanan online tersebut.

btw, sebenarnya bisa saja kita membuat penyimpanan/server cloud pribadi/privat.
Contoh ril, di kantor saya menggunakan harddrive (saya tidak sebut merk ya..) yang memang dikhususkan standby 24 jam (NAS) dan terkoneksi dengan internet, jadi saya bisa mengakses file-file yang ada di dalamnya melalui smartphone juga ketika sedang berada di luar.
Dan tentu ini lebih privat jika dibandingkan dengan layanan cloud public semisal google dan lainnya.

yups, Betul mas pengguna memang harus sadar apapun akan terjadi di kemudian hari tanpa bisa kita prediksi.

Ashiiiaaappppp

Terkenang masa lalu. kedua perusahaan tersebut sempat merajai dunia dengan perangkat telepon yang mereka kembangkan.
Namun blackberry dan Nokia mengalami jatuh bangun dan tergilas roda bisnis yang terjadi saat ini, Banyak kompetitor dan persaingan baru.
Google juga nampaknya belajar banyak dari kegagalan Blackberry dan Nokia.

Terima kasih masukannya mas, nanti semoga ada masukan dari salah satu momod


Terima kasih atas sharingnya mas. Mengenai google bangkrut ya memang ini masih jauh. Jangan terlalu serius juga, itu hanya contoh, mengingat yang namanya bisnis pasti bisa kukud hanya dalam beberapa waktu, contoh blackberry dan nokia. Memang sekelas google pasti akan memberikan pemberitahuan peringatan terlebih dahulu, dalam hal ini jika pengguna menggunakan layanan dari provider lain, dan tidak memberikan pemberitahuan kemudian menghapus file kita bagaimana?

Bukan mengkambing hitamkan google, saya harap pengguna juga sadar akan ancaman berhentinya suatu bisnis/penyedia layanan suatu waktu.

Penyimpanan CLOUD memang memiliki potensi keamanan yang sangat rentan di bandingkan dengan penyimpanan OFFLINE seperti menyimpan di hardisk, flashdisk dan menyalinnya di kertas.
Namun itu tergantung dari penyedia layanan penyimpanan CLOUD. Saya menggunakan google untuk penyimpanan cloud saya selama lebih dari 10 tahun, Tapi dengan catatan kita harus mengaktifkan keamanan ganda untuk akun agar lebih aman. Setiap sistem memang tidak akan ada yang aman, tetapi kita sebagai pengguna juga harus sadar bahwa kita sendiri juga rentan terhadap peretasan lewat Social Engineering.
Harus lebih berhati-hati dalam menjaga password jangan sampai lalai.
Penyimpanan OFFLINE juga memiliki potensi kerusakan yang mungkin saja terjadi kapanpun itu.
Hardisk dan flashdisk harus benar-benar dirawat agar tidak mengalami kerusakan seperti bad sector yang akan membuat data didalamnya corrupt dan tidak bisa terbaca.
keruskan tersebut juga menjadi ancaman untuk penyimpanan OFFLINE. Apalagi hanya media kertas untuk menyalin private key, harus benar-benar dijaga agar dalam kondisi baik dan bisa di akses kembali.

Untuk membuat penyimpanan yang lebih baik saya menggunakan Penyimpanan CLOUD dan Penyimpanan OFFLINE dengan media Hardisk untuk membackup semua data yang saya miliki.
Setiap penyimpanan Cloud yang di perbarui, saya juga memperbarui penyimpanan Hardisk dengan pembaruan Data yang sama saat itu juga.

Penampakan Hardisk OFFLINE saya


TIPS: Jangan menggunakan email utama untuk mengikuti airdrop atau bounty di forum ini agar tidak menjadi target peretasan.
Pisahkan Email utama/email pribadi dengan Email untuk airdrob dan bounty khusus untuk forum ini.
Banyak email teman saya yang diretas akibat menginput email utama mereka pada form airdrop dan bounty

Ini memang ada benarnya juga, Tetapi untuk sekelas Google mereka juga memikirkan hal terbaik untuk penggunanya ketika google tiba-tiba bangkrut, sehingga pengguna tidak akan kehilangan datanya dengan semudah itu.
Untuk saat ini google masih jauh untuk kata "bangkrut", Google terus berkembangan dengan developer terbaik mereka dan didukung oleh banyak pihak sehingga tetap menjadi nomer satu hingga saat ini.
Untuk akun yang di banned biasanya karena menggunakan akun tidak dengan baik seperti akun untuk Spamming, menggunakan Bot, digunakan untuk menipu, menggunakan untuk konten terorisme dan melanggar kebijakan produk.
Kemudian akun tiba-tiba di blokir juga karena ada yang mencoba meretas dan membajak akun anda, mengirim malware, phising atau aktifitas yang berbahaya lainnya.
Jangan panik jika mengalami akun di banned atau di blokir, segera hubungi penyedia layanan google untuk mengkonfirmasi identitas anda agar akun bisa dibuka kembali.

Sebenernya gak bakal jadi OOT sih.

Dari perpektif saya, topik ini seharusnya menjadi latar belakang dari topik yang agan @masulum mention. Topik ini bisa masuk di "Latar Belakang/Bagian Awal" topik tersebut dalam resiko pengunaan penyimpanan awan (cloud storage) bahasa kasarnya basa-basi dulu lah xD, kemudian bisa dilanjutkan dengan cara pengunaan/pencegahan yang dapat dilakukan dalam pengunaan cloud storage di bagian akhirnya. Jadi topik ini seharusnya sebagai pembuka di topik yang di mention, sedangkan topik yang agan @masulum mention sebagai akhir topik.

Jika ada perubahan dari mod, bebas hapus post ane gak masalah.

INTRO
Tadinya saya ingin membagikan artikel ini pada thread ini [SHARE] Cara Aman Menyimpan Data Penting di Cloud Storage, Namun setelah saya bandingkan kembali, maka apa yang akan saya sampaikan ini akan menjadi OOT. Maka dari itu, apabila Thread ini di rasa masih bisa dimasukkan pada thread tersebut, saya harap moderator bisa mengirimkan PM kepada saya untuk memindahkan thread ini menjadi comment/reply post pada thread yang saya sebutkan.

TUJUAN
Saya membuat thread baru juga untuk membuka tempat baru bagi member SFI dalam bertukar pikiran mengenai penggunaan cloud sebagai tempat penyimpanan backup wallet, password ataupun privatekey. Dan untuk berbagi masalah keamanan cloud yang ditemukan agar mempertimbangkan kembali sebelum menggunakan cloud sebagai tempat backup.

---

Penggunaan cloud tentu sangat mudah dilakukan untuk menyimpan file cadangan (backup) wallet seperti backup wallet Bitcoin, Electrum ataupun wallet-wallet lainnya. Selain terbilang aman kita juga dapat membuka file di manapun ketika kita tidak membawa device utama. Namun, ada satu hal penting yang harus disadari oleh pengguna cloud untuk menyimpan file cadangan tersebut, bahwa selama media penyimpanan file cadangan ini masih terkoneksi dengan internet dan berada pada kekuasaan pihak penyedia layanan, maka tidak ada satu pun yang menyarankan penyimpanan pada cloud. Tetapi, jika Anda merasa bahwa memilih cloud sebagai tempat penyimpanan yang aman, itu merupakan hak Anda, karena risiko sepenuhnya akan Anda tanggung sendiri termasuk ketika kehilangan file.

Mengapa harus berhati-hati dalam memilih layanan cloud?


43% Layanan Cloud Tidak Dienkripsi
Saya menemukan artikel yang menyebutkan bahwa ada 43% layanan cloud yang tidak mengenkripsi data yang diunggah oleh pengguna. Bayangkan jika hal ini merupakan data berupa wallet, kumpulan password, kumpulan private key atau mnemonic. Ini akan menjadi masalah besar bagi Anda dan data-data yang ada di dalamnya. Ketika Anda sudah menyimpan semua password pada cloud dan ternyata layanan tersebut merupakan layanan yang tidak mengenkripsi data yang diunggah, tentunya Anda memiliki peluang besar untuk kehilangan aset.

Miskonfigurasi (kesalahan konfigurasi) yang membuat sistem rentan
Selain masalah enkripsi, dari hasil riset yang dilakukan oleh Unit 42 divisi Palo Alto Network, menyebutkan bahwa ada 65% penyedia cloud yang melakukan kesalahan konfigurasi pada sistem. Ketika konfigurasi sistem tidak dilakukan dengan benar, tentu potensinya adalah ancaman hacker. Coba bayangkan apabila Anda merupakan salah satu pengguna layanan yang memiliki kesalahan konfigurasi tersebut, bukankah data-data Anda di dalamnya juga memiliki presentase bisa diretas juga sangat besar.

Tidak mengaktifkan Log
Log pada sistem memberikan rekam jejak penting yang dapat dijadikan acuan untuk memperbarui sistem, menemukan dan menutup celah yang dapat dimanfaatkan oleh peretas. Namun, dari hasil riset yang dipublikasikan tersebut menyebutkan banyak penyedia cloud yang tidak mengaktifkan log pada sistemnya yang sejatinya ini sangat penting untuk dilakukan.


Kesimpulan
Penyimpanan data penting berisi informasi pribadi terlebih lagi yang berisi aset/uang sangat-sangat tidak dianjurkan disimpan pada cloud. Penyimpanan pada cloud sejatinya memiliki potensi ancaman yang lebih tinggi dibandingkan Anda menyimpan data pada hardware atau media lainnya seperti menyalin password/passphrase/privatekey pada kertas.

Ada banyak poin yang disebutkan pada artikel, tapi saya ambil beberapa dengan harapan member bersedia meluangkan waktunya untuk membaca di halaman aslinya (ada di bawah)

Sanggahan


: Saya sudah menggunakan layanan dari penyedia terpercaya seperti Google
 : Tetap saja, cloud Anda milik Google yang sewaktu-waktu akun Anda dapat dibanned, Google tiba-tiba bangkrut dan lain sebagainya.

 : Saya memilih layanan premium
 : Mau apa pun model layanan yang Anda gunakan tidak menjamin layanan tersebut aman dan jujur. Bisa saja, meskipun Anda menggunakan layanan premium dan mengatakan enkripsi termutakhir, pada kenyataannya itu hanya pemanis dalam pemasaran, sementara data Anda tetap data tidak terenkripsi.

 : Saya menyimpan sementara, habis itu saya hapus
 : Yakin 100% terhapus, atau ada hidden duplicate dari layanan, hehe. Berpikir paanoid terhadap privasi yang menyangkut aset sangat diperlukan. Karena jika kita terlalu santai dan percaya 100% pada layanan cloud, ini sangat tidak sebanding dengan usaha yang sudah Anda lakukan untuk mendapatkan/mengumpulkan Bitcoin maupun altcoin ketika sudah menjadi korban peretasan.

 : Solusinya apa donk untuk backup yang aman?
 : Hardware wallet, flash disk, komputer 100% tanpa internet, hard disk, kertas, metal, stainless dan sebagainya yang sifatnya offline dan berada dalam kekuasaan Anda sepenuhnya