Pengaturan ulang kata sandi dapat membuat pengguna akhir frustrasi. Tidak ada yang suka diganggu oleh pemberitahuan 'waktunya mengubah kata sandi' – dan mereka bahkan lebih tidak suka lagi ketika kata sandi baru yang mereka buat ditolak oleh kebijakan kata sandi organisasi mereka. Tim TI juga merasakan kesulitan ini, dengan pengaturan ulang kata sandi melalui tiket meja layanan dan panggilan dukungan menjadi beban sehari-hari. Meskipun demikian, secara umum diterima bahwa semua kata sandi akan kedaluwarsa setelah jangka waktu tertentu.
Mengapa demikian? Apakah Anda memerlukan kedaluwarsa kata sandi? Telusuri alasan kedaluwarsa itu ada dan mengapa menyetel kata sandi ke 'tidak pernah kedaluwarsa' dapat menyelamatkan beberapa masalah, tetapi bukan ide terbaik untuk keamanan siber.
Mengapa ada masa kedaluwarsa kata sandi?
Kebijakan pengaturan ulang kata sandi tradisional selama 90 hari bermula dari kebutuhan untuk melindungi dari serangan brute-force. Organisasi biasanya menyimpan kata sandi sebagai hash, yang merupakan versi acak dari kata sandi sebenarnya yang dibuat menggunakan fungsi hash kriptografi (CHF). Saat pengguna memasukkan kata sandi mereka, kata sandi tersebut di-hash dan dibandingkan dengan hash yang tersimpan. Penyerang yang mencoba memecahkan kata sandi ini harus menebak kata sandi yang benar dengan menjalankan kata sandi potensial melalui algoritma hash yang sama dan membandingkan hasilnya. Proses ini dapat menjadi lebih rumit bagi penyerang dengan teknik seperti salting, di mana string acak ditambahkan ke kata sandi sebelum hashing.
Serangan brute-force bergantung pada beberapa faktor, termasuk daya komputasi yang tersedia bagi penyerang dan kekuatan kata sandi. Periode pengaturan ulang 90 hari dianggap sebagai pendekatan yang seimbang untuk mengungguli serangan brute-force tanpa membebani pengguna dengan perubahan yang terlalu sering. Namun, kemajuan teknologi telah mengurangi waktu yang dibutuhkan untuk memecahkan kata sandi, sehingga mendorong evaluasi ulang kebijakan ini. Meskipun demikian, kedaluwarsa 90 hari tetap menjadi rekomendasi dalam banyak standar kepatuhan, termasuk PCI.
Mengapa beberapa organisasi menghilangkan masa kedaluwarsa?
Salah satu argumen utama yang menentang kedaluwarsa kata sandi secara berkala adalah bahwa hal itu dapat menyebabkan penggunaan kembali kata sandi yang lemah. Pengguna sering membuat perubahan kecil pada kata sandi yang sudah ada, seperti mengubah 'Kata Sandi1!' menjadi 'Kata Sandi2!'. Praktik ini merusak manfaat keamanan dari perubahan kata sandi. Namun, masalah sebenarnya di sini bukanlah tindakan menyetel ulang kata sandi, melainkan kebijakan organisasi yang memperbolehkan kata sandi yang lemah sejak awal.
Alasan utama organisasi memilih kata sandi yang 'tidak pernah kedaluwarsa' adalah mengurangi beban TI dan meja layanan. Biaya dan beban pengaturan ulang kata sandi di meja bantuan TI cukup besar. Gartner memperkirakan bahwa 20-50% panggilan meja bantuan TI terkait dengan pengaturan ulang kata sandi, dengan setiap pengaturan ulang menghabiskan biaya sekitar $70 untuk tenaga kerja menurut Forrester. Ini bertambah, terutama ketika pengguna sering lupa kata sandi mereka setelah dipaksa membuat yang baru.
Oleh karena itu, beberapa organisasi mungkin tergoda untuk memaksa pengguna akhir membuat satu kata sandi yang sangat kuat dan kemudian mengatur kata sandi tersebut menjadi 'tidak pernah kedaluwarsa' untuk mengurangi beban TI dan biaya pengaturan ulang.
Apa risikonya dengan kata sandi yang 'tidak pernah kedaluwarsa'?
Memiliki kata sandi yang kuat dan tidak pernah mengubahnya dapat membuat seseorang merasa aman. Kata sandi yang kuat tidak kebal terhadap ancaman; kata sandi dapat rentan terhadap skema phishing, pelanggaran data, atau jenis insiden dunia maya lainnya tanpa disadari pengguna. Laporan Kata Sandi yang Dibobol Specops menemukan 83% kata sandi yang dibobol memenuhi standar peraturan untuk panjang dan kerumitan.
Suatu organisasi mungkin memiliki kebijakan kata sandi yang kuat, yang mengharuskan setiap pengguna akhir membuat kata sandi yang kuat dan tahan terhadap serangan brute force. Namun, apa yang terjadi jika karyawan tersebut memutuskan untuk menggunakan kembali kata sandi mereka untuk Facebook, Netflix, dan semua aplikasi pribadi lainnya? Risiko kata sandi dibobol meningkat pesat, terlepas dari langkah-langkah keamanan internal yang diterapkan organisasi. Sebuah survei oleh LastPass menemukan bahwa 91% pengguna akhir memahami risiko penggunaan kembali kata sandi – tetapi 59% tetap melakukannya.
Risiko lain dengan kata sandi yang 'tidak pernah kedaluwarsa' adalah penyerang dapat menggunakan serangkaian kredensial yang disusupi untuk jangka waktu yang lama. Ponemon Institute menemukan bahwa biasanya dibutuhkan waktu sekitar 207 hari bagi sebuah organisasi untuk mengidentifikasi pelanggaran. Meskipun mewajibkan kedaluwarsa kata sandi dapat bermanfaat di sini, kemungkinan penyerang telah mencapai tujuan mereka pada saat kata sandi kedaluwarsa. Akibatnya, NIST dan pedoman lainnya menyarankan organisasi untuk hanya menetapkan kata sandi agar tidak pernah kedaluwarsa jika mereka memiliki mekanisme untuk mengidentifikasi akun yang disusupi.
Cara mendeteksi kata sandi yang disusupi
Organisasi harus mengadopsi strategi kata sandi komprehensif yang melampaui kedaluwarsa biasa. Ini termasuk membimbing pengguna untuk membuat frasa sandi yang kuat dengan minimal 15 karakter. Kebijakan seperti itu dapat secara signifikan mengurangi kerentanan terhadap serangan brute-force. Mendorong pengguna akhir untuk membuat kata sandi yang lebih panjang juga dapat dicapai melalui penuaan berbasis panjang, di mana kata sandi yang lebih panjang dan kuat diizinkan untuk digunakan dalam jangka waktu yang lama sebelum kedaluwarsa. Pendekatan ini menghilangkan kebutuhan akan waktu kedaluwarsa yang sama untuk semua, asalkan pengguna mematuhi kebijakan kata sandi organisasi.
Pertunjukan gambar dengan membangun kata sandi yang lebih kuat dan penuaan berdasarkan panjang |
Namun, kata sandi yang kuat pun dapat dibobol dan perlu ada langkah-langkah untuk mendeteksinya. Karena setelah dibobol, waktu pemecahan kata sandi di kanan bawah tabel di atas berubah menjadi 'seketika.' Organisasi memerlukan strategi terpadu untuk memastikan mereka melindungi diri dari kata sandi yang lemah dan yang dibobol.
Jika Anda tertarik mengelola semua hal di atas secara otomatis dari antarmuka yang mudah digunakan dalam Active Directory, Specops Password Policy dapat menjadi alat yang berharga dalam gudang senjata keamanan siber Anda. Melalui layanan Breached Password Protection, Specops Password Policy dapat terus memeriksa dan memblokir penggunaan lebih dari 4 miliar kata sandi unik yang diketahui telah dibobol. Lihat sendiri dengan demo langsung.