Masalah dengan memaksa kedaluwarsa kata sandi biasa, UK National Cyber Security Centre

oleh

Baiklah, mari kita bedah artikel dari UK National Cyber Security Centre (NCSC) berjudul “Masalah dengan Memaksa Kedaluwarsa Kata Sandi Biasa” dan rangkum informasinya dalam format yang mudah dipahami.

Judul: Mengapa Kedaluwarsa Kata Sandi Rutin Mungkin Bukan Ide yang Bagus (Menurut Ahli Keamanan)

Pendahuluan:

Selama bertahun-tahun, banyak organisasi menerapkan kebijakan yang mengharuskan karyawan (atau pengguna) untuk mengubah kata sandi mereka secara berkala, misalnya setiap 30, 60, atau 90 hari. Tujuannya adalah untuk meningkatkan keamanan. Logikanya, jika kata sandi dicuri atau dibobol, peretas hanya punya waktu terbatas untuk memanfaatkannya sebelum kata sandi tersebut diubah. Namun, UK National Cyber Security Centre (NCSC), seperti banyak ahli keamanan lainnya, kini merekomendasikan pendekatan yang berbeda. Artikel ini menjelaskan mengapa.

Masalah dengan Kedaluwarsa Kata Sandi Rutin:

  • Kata Sandi yang Lebih Lemah: Ketika orang dipaksa untuk mengubah kata sandi mereka secara teratur, mereka cenderung memilih kata sandi yang lebih mudah diingat. Ini seringkali berarti membuat variasi kecil pada kata sandi lama mereka (misalnya, menambahkan “1” di akhir, mengganti huruf kapital, atau mengubah bulan/tahun). Peretas mengetahui trik ini dan menggunakannya untuk menebak kata sandi baru. Hasilnya adalah kata sandi yang lebih lemah, bukan lebih kuat.

  • Frustrasi Pengguna dan Penulisan Kata Sandi: Kedaluwarsa kata sandi yang sering membuat pengguna frustrasi. Ketika frustrasi, mereka mungkin melakukan hal-hal yang tidak aman, seperti:

    • Menuliskan kata sandi di kertas (sticky notes, catatan di meja)
    • Menyimpan kata sandi di file yang tidak aman di komputer mereka
    • Menggunakan kata sandi yang sama di banyak situs web (ini sangat berbahaya!)

  • Beban bagi Tim TI: Memaksa perubahan kata sandi secara teratur menciptakan beban kerja yang signifikan bagi tim TI. Mereka harus menangani permintaan reset kata sandi yang tak terhitung jumlahnya, yang menghabiskan waktu dan sumber daya yang berharga. Waktu tersebut bisa digunakan untuk pekerjaan yang lebih penting dalam meningkatkan keamanan siber.

  • Tidak Efektif Melawan Ancaman Sebenarnya: Kedaluwarsa kata sandi rutin tidak efektif melawan jenis serangan yang paling umum, seperti:

    • Phishing: Penipu menipu pengguna untuk menyerahkan kata sandi mereka melalui email atau situs web palsu. Mengubah kata sandi secara teratur tidak melindungi Anda dari ini.
    • Serangan Credential Stuffing: Peretas mendapatkan daftar nama pengguna dan kata sandi yang bocor dari pelanggaran data di situs web lain. Mereka kemudian mencoba menggunakan informasi ini untuk masuk ke akun Anda di situs web lain. Mengubah kata sandi Anda secara teratur dapat membantu di sini, tetapi ada solusi yang lebih baik.
    • Malware: Program jahat yang mencuri kata sandi Anda secara langsung dari komputer Anda.

Lalu, Apa yang Harus Dilakukan? Alternatif yang Lebih Baik:

NCSC dan pakar keamanan lainnya merekomendasikan pendekatan yang lebih cerdas:

  1. Kata Sandi yang Kuat dan Unik: Fokus utama adalah memastikan bahwa pengguna memilih kata sandi yang kuat sejak awal dan tidak menggunakannya kembali di situs web lain. Ini berarti kata sandi yang:

    • Panjang (minimal 12 karakter, idealnya lebih panjang)
    • Menggunakan kombinasi huruf besar dan kecil, angka, dan simbol
    • Mudah diingat oleh Anda, tetapi sulit ditebak oleh orang lain (hindari kata-kata kamus, tanggal lahir, dll.)
    • Unik untuk setiap akun. Ini sangat penting.

  2. Manajer Kata Sandi: Gunakan manajer kata sandi (seperti LastPass, 1Password, atau Bitwarden). Alat-alat ini menghasilkan dan menyimpan kata sandi yang kuat dan unik untuk setiap situs web, sehingga Anda hanya perlu mengingat satu kata sandi utama.

  3. Otentikasi Multi-Faktor (MFA): Aktifkan MFA (juga dikenal sebagai verifikasi dua langkah atau otentikasi dua faktor) di semua akun penting Anda. Ini menambahkan lapisan keamanan tambahan dengan mengharuskan Anda untuk memasukkan kode dari perangkat Anda (seperti ponsel Anda) selain kata sandi Anda. MFA membuat akun Anda jauh lebih sulit untuk diretas, bahkan jika kata sandi Anda bocor.

  4. Pemantauan Pelanggaran: Gunakan layanan seperti Have I Been Pwned (haveibeenpwned.com) untuk memeriksa apakah kata sandi Anda telah muncul dalam pelanggaran data. Jika ya, segera ubah kata sandi tersebut di semua situs web tempat Anda menggunakannya.

  5. Edukasi Pengguna: Didik pengguna tentang bahaya phishing, malware, dan praktik keamanan siber yang buruk.

  6. Deteksi Anomali: Implementasikan sistem yang dapat mendeteksi aktivitas yang tidak biasa pada akun pengguna, seperti upaya masuk dari lokasi yang tidak dikenal atau pada waktu yang tidak biasa.

  7. Hanya Kedaluwarsa Jika Dibutuhkan: Kedaluwarsa kata sandi hanya jika ada indikasi bahwa akun telah disusupi (misalnya, deteksi malware atau peringatan pelanggaran data). Jangan secara rutin memaksa perubahan kata sandi.

Kesimpulan:

Meskipun kedaluwarsa kata sandi rutin mungkin tampak seperti ide keamanan yang baik, pada kenyataannya sering kali kontraproduktif. Ini mengarah pada kata sandi yang lebih lemah, frustrasi pengguna, dan beban yang tidak perlu pada tim TI. Dengan berfokus pada kata sandi yang kuat dan unik, manajer kata sandi, otentikasi multi-faktor, dan edukasi pengguna, kita dapat meningkatkan keamanan siber kita secara signifikan tanpa membuat hidup lebih sulit bagi semua orang. Intinya, fokus pada praktik kebersihan kata sandi yang baik daripada kebijakan kedaluwarsa kata sandi paksa.

Masalah dengan memaksa kedaluwarsa kata sandi biasa

AI telah menyampaikan berita.

Pertanyaan berikut digunakan untuk mendapatkan jawaban dari Google Gemini:

Pada 2025-03-13 11:50, ‘Masalah dengan memaksa kedaluwarsa kata sandi biasa’ telah diterbitkan menurut UK National Cyber Security Centre. Silakan tulis artikel terperinci dengan informasi terkait secara mudah dipahami.


30

Post Views: 4

Tinggalkan komentar