Keamanan kata sandi, seperti metode pelaku ancaman, terus berkembang. Seiring pertumbuhan daya komputasi, kata sandi praktik terbaik sebelumnya menjadi semakin rentan. Pengelola kata sandi telah melakukan yang terbaik untuk tetap up-to-date, menawarkan peningkatan keamanan enkripsi dan rekomendasi kata sandi yang lebih baik.
Namun, serangan tidak dapat diprediksi dan bahkan dapat menyebabkan penyusupan pengelola kata sandi itu sendiri, seperti LastPass pada tahun 2022. Bahkan dengan frasa sandi dan kunci rahasia yang kuat, serangan phishing atau ransomware dapat mencuri akses ke sistem Anda tanpa Anda sadari. Ini menimbulkan pertanyaan, apa yang dapat Anda lakukan untuk membantu melindungi dari hal ini?
Masukkan Strategi Kata Sandi Double-Blind
Semakin banyak orang yang hanya mengandalkan teknologi untuk keamanan kata sandi yang lebih baik. Tetapi bagaimana jika ada solusi yang lebih aman? Kebanyakan orang dapat dengan mudah mengingat kode atau kata PIN pendek tetapi berjuang dengan kata sandi yang lebih panjang. Rekomendasi umum adalah menggunakan kata sandi yang berbeda untuk setiap situs, yang biasanya memerlukan pengelola kata sandi.
Strategi double-blind password, juga dikenal sebagai “horcruxing”, “password splitting”, atau “partial passwords”, melibatkan penyimpanan bagian panjang dan kompleks dari sebuah password di pengelola password dan menyimpan pengidentifikasi unik yang pendek, seperti PIN kode atau kata, untuk diri sendiri.
Untuk masuk ke layanan atau situs web, gunakan pengelola kata sandi untuk mengisi bagian kompleks dan menambahkan pengidentifikasi unik yang mudah diingat.
Misalnya, ucapkan frasa singkat Anda adalah abc5. Anda akan menyimpan kata sandi kompleks yang dibuat secara acak di pengelola kata sandi dan menggunakannya sebagai berikut.
- 2k2kasdf9! menjadi 2k2kasdf9!abc5
- a23k3k234# menjadi a23k3k234#abc5
- !213kk1vk1v2k!@3 menjadi !213kk1vk1v2k!@3abc5
Memisahkan kata sandi menjadi dua bagian mempersulit penyerang untuk mendapatkan akses penuh, bahkan jika mereka telah mencuri kata sandi dan rahasia pengelola kata sandi Anda.
Karena pengelola kata sandi tidak pernah tahu tentang abc5 bagian dari kata sandi, penyerang tidak akan pernah memiliki gambaran lengkap dan akses, bahkan jika mereka meretas pengelola kata sandi Anda.
Apakah itu berarti setiap orang harus mengadaptasi strategi ini?
Setiap metode keamanan memiliki pro dan kontra. Misalnya, beberapa situs web hanya mengizinkan kata sandi singkat.
Jika Anda mengincar panjang kata sandi 12 karakter minimum yang direkomendasikan oleh pedoman NIST 800-63B dan menambahkan kata 5 karakter, seperti “penjaga”, di akhir kata sandi, layanan dengan batas kata sandi 16 karakter mungkin tidak menjadi kompatibel.
Selain itu, salah satu fitur kegunaan terbaik dari pengelola kata sandi adalah kemampuan untuk mengisi dan mengirimkan formulir autentikasi secara otomatis.
Namun, dengan strategi kata sandi double-blind, penting untuk memastikan bahwa pengelola kata sandi Anda hanya mengisi otomatis, karena mengirimkan formulir tanpa pengidentifikasi unik akan gagal. Ini mungkin mengorbankan beberapa kegunaan untuk keamanan.
Metode ini mungkin hanya berfungsi untuk beberapa lingkungan dan harus diadopsi oleh pengguna. Jika organisasi menggunakan pengelola kata sandi, pemisahan kata sandi mungkin tidak efektif jika brankas bersama sedang digunakan—karena pengidentifikasi juga harus dibagikan secara luas secara manual.
Selain itu, individu on-boarding dan off-boarding memerlukan perubahan kata sandi tidak hanya untuk apa yang disimpan tetapi juga untuk semua orang yang memiliki akses untuk mempelajari pengenal baru—sangat memusingkan.
Menghindari Kesalahan Umum Kata Sandi
Dengan begitu banyak strategi dan rekomendasi yang berbeda dari waktu ke waktu, bahkan strategi double-blind password mungkin tidak selalu berfungsi seperti yang diharapkan.
Terlepas dari metode ini, pengguna masih dapat membuat kata sandi yang tidak aman atau menggunakan kata sandi yang telah disusupi. Peningkatan daya komputasi berarti bahkan kata sandi acak dengan berbagai karakter lebih rentan terhadap peretasan.
Tabel berikut menunjukkan perkiraan waktu yang dibutuhkan penyerang dengan perangkat keras dan perangkat lunak modern dalam jumlah sedang untuk memecahkan kata sandi MD5 dengan panjang dan kompleksitas yang beragam.
Penyerang atau kelompok penyerang mana pun yang memiliki lebih banyak sumber daya akan dapat mempercepat waktu ini dengan investasi dalam kapasitas perangkat keras tambahan.
Dengan pembayaran ransomware yang mencapai level jutaan dolar, biaya penyiapan tambahan dapat dilihat dengan mudah.
Sumber: Specop
Salah satu kesalahan umum berikut ini dapat mengakibatkan kata sandi yang membuat organisasi Anda terbuka terhadap kerentanan kata sandi:
- Menggunakan kata sandi yang pendek dan sederhana, seperti urutan yang berulang, kata umum, atau frasa yang mudah dibobol.
- Gagal mengubah kata sandi setelah pelanggaran bisa menjadi masalah besar. Hal ini terutama berlaku dalam skenario di mana pengidentifikasi unik, yang hanya diketahui oleh pengguna, dapat disusupi oleh pelaku ancaman potensial.
- Gagal menggunakan autentikasi multi-faktor (MFA) dapat membuat Anda rentan terhadap upaya pencurian token atau phishing.
MFA, Perlindungan Kata Sandi yang Dilanggar, dan Kebijakan Kata Sandi Specops
Memiliki kebijakan kata sandi Direktori Aktif yang kuat adalah dasar dari strategi kata sandi yang aman. Teknik dan alat lain seperti strategi kata sandi buta ganda, pengelola kata sandi, dan lainnya dapat digunakan tetapi organisasi harus memulai dengan mengamankan garis depan mereka.
Kebijakan Kata Sandi Specops dapat membantu organisasi Anda menetapkan kebijakan kata sandi yang kuat dan memenuhi persyaratan kepatuhan keamanan
. Sebagai NIST 800-63B pedoman merekomendasikan, layanan seperti Kebijakan Kata Sandi Specops dengan Perlindungan Kata Sandi yang Dilanggar membantu melindungi pengguna dan organisasi Anda dari penggunaan kata sandi yang disusupi.
Dikombinasikan dengan MFA, strategi seperti strategi double-blind password bisa efektif, tetapi hanya jika pengguna akhir sepenuhnya mengadopsi praktik tersebut.
Untuk sebagian besar organisasi, pendekatan yang lebih bersih dan lebih aman adalah MFA yang dikombinasikan dengan alat seperti Kebijakan Kata Sandi Specops dengan Perlindungan Kata Sandi yang Dilanggar melindungi organisasi Anda dari potensi pelanggaran dan memastikan Anda tidak menjadi korban tanpa memperumit prosesnya.
Kebijakan Kata Sandi Specops membantu pengguna membuat kata sandi yang lebih kuat di Active Directory dengan umpan balik klien yang dinamis dan informatif sehingga mereka dapat melihat secara langsung cara meningkatkan keamanan kata sandi tanpa memerlukan pendekatan double-blind.
Strategi Kata Sandi Berkembang dengan Tantangan Keamanan Siber
Selama bertahun-tahun, ada banyak strategi kata sandi yang diusulkan. Meskipun strategi kata sandi double-blind aman, ini hanya efektif jika pengguna sepenuhnya mengadopsi strategi tersebut sehingga kemungkinan lebih baik digunakan secara pribadi.
Untuk menjaga keamanan pengguna akhir di organisasi Anda dan untuk mencegah kerentanan berbasis kata sandi, penting untuk memulai dengan kebijakan kata sandi yang kuat, hindari penggunaan kata sandi yang telah disusupi sebelumnya dan gabungkan MFA bila memungkinkan.
Disponsori dan ditulis oleh Perangkat Lunak Specop
