Administrator sistem TI modern mengetahui pentingnya mempertahankan kebijakan kata sandi yang kuat. Pada artikel ini, kita akan menjelajahi evolusi kebijakan kata sandi, dari dasar hingga lanjutan, dan membahas faktor kunci dalam membuat kebijakan kata sandi yang kuat, termasuk panjang kata sandi, kerumitan, dan penggunaan kamus khusus.
Kita juga akan melihat praktik kata sandi umum yang harus dihindari, risiko yang terkait dengan penggunaan ulang kata sandi, dan peran pendidikan dalam keamanan kata sandi. Terakhir, kita akan memeriksa jenis serangan kata sandi yang paling umum, dan membahas praktik terbaik untuk mempertahankannya.
Kebijakan Kata Sandi yang Berkembang
Kata sandi pertama digunakan di MIT pada 1960-an pada komputer yang disebut Sistem Berbagi Waktu yang Kompatibel. Setiap pengguna membutuhkan cara untuk mengakses hanya file mereka selama empat jam seminggu yang diberikan. Namun, hanya dua tahun kemudian, pencurian kata sandi pertama kali terjadi. Seorang pengguna mencetak file kata sandi sistem untuk mendapatkan lebih banyak waktu untuk simulasi mereka.
Tidak peduli bagaimana Anda melihatnya, sebuah sistem terus-menerus diserang, baik dari ancaman luar atau dari pengguna yang mencoba mendapatkan lebih banyak hak istimewa.
Selama bertahun-tahun, organisasi harus mengelola perubahan praktik terbaik untuk kebijakan kata sandi. Terburu-buru untuk mengakali penyerang, beberapa kebijakan kata sandi terbukti lebih kuat dari yang lain, sementara beberapa lainnya langsung merugikan.
Untuk waktu yang lama, NIST merekomendasikan penggunaan kata sandi yang panjang dan rumit yang sering dirotasi. Alasannya adalah kata sandi seperti itu akan sulit untuk dipecahkan dan berumur pendek, sehingga meminimalkan potensi kerusakan dari hash yang bocor.
Pada kenyataannya, laporan terbaru menunjukkan 83% kata sandi retak memenuhi persyaratan kompleksitas dan panjang, oleh karena itu tidak memberikan perlindungan yang diharapkan.
Apa yang dimaksudkan sebagai kata sandi yang panjang dan rumit, seperti !adfak&35.234#, seringkali berakhir menjadi kata sandi yang lebih sederhana seperti !password20231#.
Ini karena pengguna, untuk menghindari kesulitan dalam mengingat dan membuat kata sandi, akan membuat kata sandi yang memenuhi persyaratan kompleksitas dengan hanya menggunakan istilah basis umum dan menambah nilai saat rotasi kata sandi diperlukan.
Akar umum seperti “kata sandi” atau “selamat datang” adalah beberapa istilah yang paling sering digunakan dan mudah ditebak, seperti yang ditemukan di Laporan Kata Sandi Specops 2023berarti keamanan kata sandi juga menurun.
Ini membuat pekerjaan meretas kata sandi menjadi lebih mudah, karena sudah umum bagi pengguna untuk menggunakan kembali istilah dasar umum dalam kata sandi mereka dengan simbol yang ditambahkan di bagian depan dan akhir, bersama dengan angka. Penyetelan ulang kata sandi menjadi lebih umum, karena semakin sulit bagi pengguna untuk mengingat kata sandi mereka; membuatnya lebih umum bagi mereka untuk membuat kata sandi yang kurang aman.
Membobol Kata Sandi
Dalam beberapa hal, praktik terbaik masa lalu untuk kebijakan kata sandi mungkin telah membuat peretasan kata sandi menjadi lebih mudah. Sementara teknologi enkripsi dan hashing telah meningkat, demikian juga teknologi yang tersedia untuk penyerang.
Seorang penyerang sekarang dapat dengan cepat menjalankan jutaan hash kata sandi yang telah dihitung sebelumnya yang dikenal sebagai tabel Rainbow atau dengan cepat memaksa kata sandi dengan bantuan GPU (Graphics Processing Units) yang kuat. Ini berarti bahwa kata sandi yang lebih panjang sekarang dapat diretas.
Penyerang telah berevolusi untuk menggunakan serangan kamus yang menargetkan root umum dari kata sandi sambil mencoba variasi yang lebih mudah dari nomor dan simbol sebelum dan sesudah kata sandi. Ini berarti bahwa memaksa kata sandi secara kasar tidak memerlukan percobaan setiap iterasi huruf, angka, dan simbol, melainkan mengandalkan teknik seperti serangan kamus yang jauh lebih cepat.
Rekomendasi Kebijakan Kata Sandi Modern
Karena meningkatnya kemampuan pelaku ancaman, NIST dan organisasi lain telah merekomendasikan perubahan pada kebijakan kata sandi saat ini, sebagaimana tercantum dalam pembaruan 2020 Pedoman NIST 800-63b. Mempertimbangkan pembelajaran bertahun-tahun dari pelanggaran kata sandi dan perilaku pengguna, rekomendasi umum berikut telah dibuat.
- Hilangkan persyaratan perubahan kata sandi biasa kecuali jika pengguna memintanya atau jika kata sandi yang dilanggar telah ditemukan.
- Hilangkan persyaratan kerumitan kata sandi; fokus pada panjang kata sandi keseluruhan (12 karakter, misalnya).
- Mandat penyaringan kata sandi baru terhadap istilah kamus yang umum digunakan, termasuk daftar kata khusus dan kata sandi yang sebelumnya disusupi.
Menerapkan pendekatan keamanan ini ke dalam organisasi dapat menjadi tantangan, terutama jika pola pikir kata sandi sebelumnya telah ada selama bertahun-tahun. Meskipun perubahan ini dapat membuat hidup pengguna dan administrator sistem lebih mudah, mengubah sikap banyak profesional keamanan dari waktu ke waktu dapat menjadi tantangan.
Melindungi Pengguna dengan Kebijakan Kata Sandi Specops
Kebijakan Kata Sandi Specops membantu organisasi mengotomatiskan penyesuaian kebijakan kata sandi yang komprehensif. Tetap mengikuti standar NIST terbaru mudah dilakukan dengan template berbasis kepatuhan yang ada di dalam Kebijakan Kata Sandi Specops.
Hindari kesalahan umum dengan menggunakan kamus khusus untuk memblokir istilah khusus organisasi bersama dengan istilah umum lainnya dan pastikan bahwa pengguna mematuhi kebijakan kata sandi yang kuat melalui fitur seperti “larang nama pengguna dalam kata sandi”. Memiliki kemampuan untuk meminta perubahan kata sandi minimum, mencegah penggunaan ulang kata sandi, menerapkan tanggal kedaluwarsa berbasis panjang, dan menghindari penggunaan lebih dari 3 miliar kata sandi yang disusupi dengan add-on Proteksi Kata Sandi yang Dilanggar.
.jpg)
Menjaga Keamanan Organisasi dengan Kebijakan Kata Sandi Modern
Kebijakan kata sandi harus terus berkembang agar tetap selangkah lebih maju dari penyerang. Pastikan Anda melindungi organisasi dan pengguna Anda dengan tetap mengikuti perkembangan kebijakan kata sandi terbaru yang menjadi lebih mudah melalui alat seperti Kebijakan Kata Sandi Specops.
Saat alat penyerang berkembang, pendekatan Anda terhadap keamanan siber juga harus demikian. Dengan pembaruan terbaru untuk rekomendasi kebijakan kata sandi NIST, Anda dapat membuat kehidupan pengguna dan administrator sistem Anda lebih mudah dengan kebijakan kata sandi yang dipikirkan dengan matang dan diterapkan!
Disponsori dan ditulis oleh Perangkat Lunak Specop
