Panduan Kata Sandi
Dunia masih menggunakan kata sandi sebagai perlindungan awal di dunia maya. Oleh karena itu, dibutuhkan panduan kata sandi yang baik dan tepat guna saat ini.
Rata-rata orang memiliki hingga 100 kata sandi untuk diingat, dengan jumlah yang meningkat pesat dalam beberapa tahun terakhir. Walaupun pada kenyataannya, beberapa orang menggunakan sekitar 50 kata sandi, termasuk sejumlah kode offline.
Penelitian telah menemukan bahwa orang biasanya hanya mengingat hingga lima kata sandi dan mengambil jalan pintas dengan membuat kata sandi yang mudah ditebak dan kemudian mendaur ulangnya di berbagai akun online.
Beberapa mungkin benar-benar mengganti angka dan karakter khusus untuk huruf, misal “kata sandi” berubah menjadi “P4??WØrd”, tetapi ini masih membuat kata sandi mudah diretas.
Baca juga: Kata Sandi Mudah Diretas
Panduan Kata Sandi
Dalam beberapa tahun terakhir, organisasi terkemuka seperti Open Web Application Security Project (OWASP) dan tentu saja, NIST sendiri telah mengubah kebijakan dan saran mereka ke arah pendekatan yang lebih ramah pengguna, sambil meningkatkan keamanan kata sandi.
Pada saat yang sama, raksasa teknologi seperti Microsoft dan Google mendorong semua orang untuk membuang kata sandi sama sekali dan menjadi tanpa kata sandi.
Namun, jika bisnis kecil atau menengah Anda belum siap berpisah dengan kata sandi, berikut beberapa panduan yang akan membantu Anda dan karyawan Anda di tahun 2023.
Komposisi Kata Sandi Rumit Yang Tidak Perlu
Setiap aturan komposisi yang sangat rumit (seperti mengharuskan pengguna untuk menyertakan karakter huruf besar dan kecil, setidaknya satu angka dan karakter khusus) tidak lagi menjadi keharusan.
Ini karena aturan seperti itu jarang mendorong pengguna untuk menyetel kata sandi yang lebih kuat, malah mendorong mereka untuk bertindak secara terprediksi dan membuat kata sandi yang “menipu ganda” – keduanya lemah dan sulit untuk diingat.
Beralih ke Passphrase
Alih-alih kata sandi yang lebih pendek tapi sulit, gunakan passphrase. Mereka lebih panjang dan lebih kompleks tetapi masih mudah diingat.
Misalnya, bisa saja seluruh kalimat yang entah kenapa melekat di kepala Anda, ditaburi dengan huruf kapital, karakter khusus, dan emoji.
Meskipun tidak super rumit, alat otomatis masih membutuhkan waktu lama untuk memecahkannya karena kompleksitas mempersulitnya.
Beberapa tahun yang lalu, panjang minimum kata sandi yang baik adalah delapan karakter, yang terdiri dari huruf kecil dan huruf besar, tanda, dan angka.
Saat ini, alat pembobol kata sandi otomatis dapat menebak kata sandi dalam hitungan menit, terutama jika dengan fungsi hashing MD5.
Ini menurut tes yang dijalankan oleh Hive Systems dan diterbitkan pada April 2023. Sebaliknya, kata sandi sederhana yang hanya berisi karakter huruf kecil dan besar tetapi panjangnya 18 karakter membutuhkan waktu yang jauh, jauh lebih lama untuk dipecahkan.
Baca juga: 5 Cara Peretas Mencuri Kata Sandi
Panjang Minimal 12 Karakter – Lebih Banyak Lebih Baik!
Pedoman NIST mengakui panjang sebagai faktor kunci dalam kekuatan kata sandi dan ini merupakan hal yang wajib.
NIST juga memperkenalkan panjang minimum yang diperlukan 12 karakter hingga maksimum 64 karakter setelah menggabungkan beberapa spasi.
Aktifkan Berbagai Karakter
Saat mereka menyetel kata sandi, pengguna harus bebas memilih dari semua karakter ASCII dan UNICODE yang dapat dicetak, termasuk emoji.
Mereka juga harus memiliki opsi untuk menggunakan spasi, yang merupakan bagian alami dari passphrase alternatif yang sering direkomendasikan untuk kata sandi tradisional.
Batasi Penggunaan Ulang Kata Sandi
Sudah menjadi kebijaksanaan konvensional sekarang bahwa orang tidak boleh menggunakan kembali kata sandi mereka di akun online yang berbeda.
Karena pelanggaran satu akun dapat dengan mudah mengarah pada kompromi akun lain.Namun, banyak kebiasaan sulit dihilangkan.
Sekitar separuh responden dalam studi Institut Ponemon tahun 2019 mengaku menggunakan kembali rata-rata lima kata sandi di akun bisnis dan/atau pribadi mereka.
Batasan Waktu Kata Sandi
NIST juga merekomendasikan untuk tidak meminta perubahan kata sandi biasa kecuali diminta oleh pengguna atau kecuali ada bukti penyusupan.
Alasannya adalah bahwa pengguna harus sangat sabar, karena harus terus-menerus memikirkan kata sandi baru yang cukup kuat. Akibatnya, membuat mereka melakukannya secara berkala dapat lebih berbahaya daripada kebaikannya.
Perlu diingat bahwa ini hanya saran umum. Jika Anda mengamankan aplikasi yang sangat penting untuk bisnis Anda dan menarik bagi peretas, Anda masih dapat memaksa karyawan Anda untuk mengganti kata sandi secara berkala.
Baca juga: Rentannya Kata Sandi dan Cara Menanggulanginya
Petunjuk Dan Autentikasi Berbasis Pengetahuan
Petunjuk kata sandi dan pertanyaan verifikasi berbasis pengetahuan juga sudah usang. Meskipun ini sebenarnya dapat membantu pengguna dalam mencari kata sandi yang terlupakan, mereka juga bisa sangat bermanfaat bagi penyerang.
Peretas dapat menyalahgunakan halaman “lupa kata sandi” untuk membobol akun orang lain, misalnya di PayPal dan Instagram.
Misalnya, pertanyaan seperti “nama hewan peliharaan pertama Anda” dapat dengan mudah ditebak dengan sedikit riset atau social engineering.
Daftar Hitam Kata Sandi Umum
Daripada mengandalkan aturan komposisi yang digunakan sebelumnya, periksa kata sandi baru dengan “daftar hitam” dari kata sandi yang paling sering digunakan dan/atau disusupi sebelumnya dan evaluasi upaya pencocokan sebagai tidak dapat diterima.
Pada 2019, Microsoft memindai akun penggunanya dengan membandingkan nama pengguna dan kata sandi ke basis data lebih dari tiga miliar set kredensial yang bocor. Ia menemukan 44 juta pengguna dengan kata sandi yang disusupi dan memaksa penyetelan ulang kata sandi.
Berikan Dukungan Untuk Pengelola Dan Alat Kata Sandi
Pastikan bahwa fungsi “salin dan tempel”, alat kata sandi browser, dan pengelola kata sandi eksternal diizinkan untuk mengatasi kerumitan dalam membuat dan menyimpan kata sandi pengguna.
Pengguna juga harus memilih untuk sementara melihat seluruh kata sandi yang disamarkan atau karakter kata sandi yang terakhir diketik.
Menurut pedoman OWASP, idenya adalah untuk meningkatkan kegunaan entri kredensial, terutama seputar penggunaan kata sandi, frasa sandi, dan pengelola kata sandi yang lebih panjang.
Tetapkan Umur Simpan Kata Sandi
Saat karyawan baru Anda membuat akun, kata sandi awal atau kode aktivasi yang dihasilkan sistem harus dibuat secara acak dengan aman, setidaknya sepanjang enam karakter, dan dapat berisi huruf dan angka.
Pastikan itu kedaluwarsa setelah beberapa saat dan tidak dapat menjadi kata sandi yang benar dan jangka panjang.
Beri Tahu Pengguna Tentang Perubahan Kata Sandi
Saat pengguna mengubah kata sandinya, mereka harus diminta untuk memasukkan kata sandi lama terlebih dahulu dan, idealnya, mengaktifkan autentikasi dua faktor (2FA). Setelah selesai, mereka akan menerima pemberitahuan.
Baca juga: 6 Hal Penyebab Kata Sandi Lemah
Hati-hati Pemulihan Kata Sandi Anda
Proses pemulihan tidak hanya tidak mengungkapkan kata sandi saat ini tetapi hal yang sama juga berlaku untuk informasi apakah akun tersebut benar-benar ada atau tidak. Dengan kata lain, jangan berikan informasi (yang tidak perlu) kepada penyerang!
Gunakan Captcha Dan Kontrol Anti-Otomatisasi Lainnya
Gunakan kontrol anti otomatisasi untuk mengurangi pengujian kredensial yang dilanggar, brute force, dan serangan penguncian akun.
Kontrol tersebut mencakup:
- Pemblokiran kata sandi yang paling umum dilanggar.
- Penguncian sederhana.
- Pembatasan kecepatan.
- CAPTCHA.
- Penundaan yang terus meningkat antara upaya.
- Pembatasan alamat IP.
- Atau pembatasan berbasis risiko seperti lokasi, login pertama pada perangkat, upaya baru-baru ini untuk membuka kunci akun atau serupa.
Menurut standar OWASP saat ini, seharusnya ada paling banyak 100 percobaan yang gagal per jam pada satu akun.
Jangan Hanya Mengandalkan Kata Sandi
Terlepas dari seberapa kuat dan uniknya kata sandi, itu tetap menjadi penghalang tunggal yang memisahkan peretas dan data berharga Anda.
Saat mengincar akun yang aman, lapisan autentikasi tambahan harus dianggap sebagai keharusan mutlak.
Itulah mengapa Anda harus menggunakan autentikasi dua faktor (2FA) atau multi faktor (MFA) jika memungkinkan.
Namun, tidak semua opsi 2FA dilahirkan sama. Pesan SMS, meski jauh lebih baik daripada tidak ada 2FA sama sekali, rentan terhadap banyak ancaman.
Alternatif yang lebih aman melibatkan penggunaan perangkat keras khusus dan generator kata sandi satu kali (OTP) berbasis perangkat lunak, seperti aplikasi aman yang dipasang di perangkat seluler.
Demikian informasi mengenai panduan kata sandi yang baik dan tepat guna yang ditujukan bagi pengguna internet dimana pun, semoaga dapat menambah wawasan dan bermanfaat.
|
Baca lainnya: |
Sumber berita:
