Jangan menyiksa orang dengan aturan komposisi kata sandi yang sangat rumit tetapi lakukan daftar hitam kata sandi yang biasa digunakan, plus cara lain untuk membantu orang membantu diri mereka sendiri – dan seluruh organisasi Anda
Ketika insinyur Bill Burr dari US National Institute of Standards and Technology (NIST) menulis pada tahun 2003 apa yang akan segera menjadi dunia standar emas untuk keamanan kata sandi, dia menyarankan orang dan organisasi untuk melindungi akun mereka dengan membuat baris karakter, angka, dan tanda yang panjang dan 'kacau' – dan mengubahnya secara teratur.
Empat belas tahun kemudian, Burr mengaku menyesali nasihatnya di masa lalu. “Itu hanya membuat orang bingung dan mereka tidak memilih kata sandi yang bagus apa pun yang Anda lakukan,” dia kepada Wall Street Journal.
Atau, seperti yang terkenal komik xkcd telah memasukkannya: “Melalui upaya selama 20 tahun, kami telah berhasil melatih semua orang untuk menggunakan kata sandi yang sulit diingat oleh manusia, tetapi mudah ditebak oleh komputer.”
Hari-hari ini, orang biasa memiliki hingga 100 kata sandi untuk diingat, dengan jumlah yang tumbuh dengan cepat dalam beberapa tahun terakhir (walaupun pada kenyataannya, beberapa orang menggunakan sekitar 50 kata sandi, termasuk sejumlah kode offline, bahkan bertahun-tahun yang lalu dan beberapa pakar keamanan telah menunjukkan bahwa kebiasaan dan kebijakan kata sandi seperti itu tidak dapat dipertahankan.)
Memang, penelitian telah menemukan bahwa orang biasanya mengingat hanya sampai lima kata sandi dan mengambil jalan pintas dengan membuat kata sandi yang mudah ditebak lalu mendaur ulangnya di berbagai akun online. Beberapa mungkin benar-benar mengganti angka dan karakter khusus untuk huruf (misalnya, "kata sandi" berubah menjadi "P4?? Kata"), tetapi ini tetap membuat kata sandi mudah diretas.
Dalam beberapa tahun terakhir, organisasi terkemuka seperti Proyek Keamanan Aplikasi Web Terbuka (OWASP) dan, tentu saja, NIST sendiri telah mengubah kebijakan dan saran mereka menuju pendekatan yang lebih ramah pengguna – sambil meningkatkan keamanan kata sandi.
Pada saat yang sama, raksasa teknologi seperti Microsoft dan Google mendorong semua orang untuk membuang kata sandi sama sekali dan pergi tanpa kata sandi alih-alih. Namun, jika bisnis kecil atau menengah Anda belum siap berpisah dengan kata sandi, berikut beberapa panduan yang akan membantu Anda dan karyawan Anda di tahun 2023.
Berhenti memaksakan aturan komposisi kata sandi rumit yang tidak perlu
Setiap aturan komposisi yang sangat rumit (seperti mengharuskan pengguna untuk menyertakan karakter huruf besar dan kecil, setidaknya satu angka dan karakter khusus) tidak lagi menjadi keharusan. Hal ini karena aturan seperti itu jarang mendorong pengguna untuk menyetel kata sandi yang lebih kuat, malah mendorong mereka untuk bertindak secara terprediksi dan menghasilkan kata sandi yang "menipu ganda" – keduanya lemah dan sulit untuk diingat.
Beralih ke frasa sandi
Alih-alih kata sandi yang lebih pendek tapi sulit, cari kata sandi. Mereka lebih panjang dan lebih kompleks tetapi masih mudah diingat. Misalnya, itu mungkin seluruh kalimat yang entah kenapa melekat di kepala Anda, ditaburi dengan huruf kapital, karakter khusus, dan emoji. Meskipun tidak super rumit, alat otomatis masih membutuhkan waktu lama untuk memecahkannya.
Beberapa tahun yang lalu, panjang minimum kata sandi yang baik adalah delapan karakter, yang terdiri dari huruf kecil dan huruf besar, tanda, dan angka. Saat ini, alat pembobol kata sandi otomatis dapat menebak kata sandi tersebut dalam hitungan menit, terutama jika diamankan dengan fungsi hashing MD5.
Ini sesuai dengan tes dijalankan oleh Hive Systems dan diterbitkan pada April 2023. Sebaliknya, kata sandi sederhana yang hanya berisi karakter huruf kecil dan besar tetapi panjangnya 18 karakter membutuhkan waktu yang jauh, jauh lebih lama untuk dipecahkan.
Bertujuan untuk panjang minimum 12 karakter – lebih banyak lebih baik!
Pedoman NIST mengakui panjang sebagai faktor kunci dalam kekuatan kata sandi dan memperkenalkan panjang minimum yang diperlukan 12 karakter hingga maksimum 64 karakter setelah menggabungkan beberapa spasi. Semua hal dianggap sama, semakin meriah.
Aktifkan berbagai karakter
Saat mereka menyetel kata sandi, pengguna harus bebas memilih dari semua karakter ASCII dan UNICODE yang dapat dicetak, termasuk emoji. Mereka juga harus memiliki opsi untuk menggunakan spasi, yang merupakan bagian alami dari frasa sandi – alternatif yang sering direkomendasikan untuk kata sandi tradisional.
Batasi penggunaan ulang kata sandi
Ini kebijaksanaan konvensional sekarang orang tidak boleh menggunakan kembali kata sandi mereka di akun online yang berbeda, karena pelanggaran satu akun dapat dengan mudah menyebabkan kompromi akun lain.
Namun, banyak kebiasaan sulit, dan sekitar setengah dari responden dalam studi Institut Ponemon 2019 mengaku menggunakan kembali rata-rata lima kata sandi di akun bisnis dan/atau pribadi mereka.
Jangan tetapkan tanggal "gunakan sebelum" untuk kata sandi
NIST juga merekomendasikan untuk tidak meminta perubahan kata sandi biasa kecuali diminta oleh pengguna atau kecuali ada bukti kompromi. Alasannya adalah bahwa pengguna hanya memiliki begitu banyak kesabaran karena harus terus-menerus memikirkan kata sandi baru yang cukup kuat. Akibatnya, membuat mereka melakukannya secara berkala dapat lebih berbahaya daripada kebaikan.
Ketika Microsoft mengumumkan penghapusan kebijakan kedaluwarsa kata sandi tiga tahun lalu, itu mempertanyakan seluruh gagasan kedaluwarsa kata sandi.
“Jika diberikan bahwa kata sandi kemungkinan besar akan dicuri, berapa hari jangka waktu yang dapat diterima untuk terus membiarkan pencuri menggunakan kata sandi yang dicuri itu? Standar Windows adalah 42 hari. Bukankah itu tampak seperti waktu yang sangat lama? Ya, memang begitu, namun garis dasar kami saat ini mengatakan 60 hari – dan dulu mengatakan 90 hari – karena memaksakan kedaluwarsa yang sering menimbulkan masalah tersendiri, ” membaca blog Microsoft.
Perlu diingat bahwa ini hanya saran umum. Jika Anda mengamankan aplikasi yang sangat penting untuk bisnis Anda dan menarik bagi penyerang, Anda masih dapat memaksa karyawan Anda untuk mengganti kata sandi secara berkala.
Parit petunjuk dan autentikasi berbasis pengetahuan
Petunjuk kata sandi dan pertanyaan verifikasi berbasis pengetahuan juga sudah usang. Meskipun ini sebenarnya dapat membantu pengguna dalam mencari kata sandi yang terlupakan, mereka juga bisa sangat bermanfaat bagi penyerang. Rekan kami Jake Moore telah beberapa kali menunjukkan bagaimana peretas dapat menyalahgunakan halaman "lupa kata sandi" untuk membobol akun orang lain, misalnya di PayPal dan Instagram.
Misalnya, pertanyaan seperti "nama hewan peliharaan pertama Anda" dapat dengan mudah ditebak dengan sedikit riset atau rekayasa sosial dan sebenarnya tidak ada banyak kemungkinan yang harus dilalui oleh alat otomatis.
Daftar hitam kata sandi umum
Daripada mengandalkan aturan komposisi yang digunakan sebelumnya, periksa kata sandi baru dengan "daftar hitam". paling umum digunakan dan/atau kata sandi yang sebelumnya dikompromikan dan mengevaluasi upaya pencocokan sebagai tidak dapat diterima.
Dalam 2019, Microsoft memindai akun penggunanya membandingkan nama pengguna dan kata sandi dengan database lebih dari tiga miliar set kredensial yang bocor. Ia menemukan 44 juta pengguna dengan kata sandi yang disusupi dan memaksa penyetelan ulang kata sandi.
Berikan dukungan untuk pengelola dan alat kata sandi
Pastikan bahwa fungsi "salin dan tempel", alat kata sandi browser, dan pengelola kata sandi eksternal diizinkan untuk menangani kerumitan dalam membuat dan menyimpan kata sandi pengguna.
Pengguna juga harus memilih untuk sementara melihat seluruh kata sandi yang disamarkan atau karakter kata sandi yang terakhir diketik. Menurut pedoman OWASP, idenya adalah untuk meningkatkan kegunaan entri kredensial, khususnya seputar penggunaan kata sandi yang lebih panjang, frasa sandi, dan pengelola kata sandi.
Tetapkan umur simpan pendek untuk kata sandi awal
Saat karyawan baru Anda membuat akun, kata sandi awal atau kode aktivasi yang dihasilkan sistem harus dibuat secara acak dengan aman, setidaknya sepanjang enam karakter, dan dapat berisi huruf dan angka.
Pastikan itu kedaluwarsa setelah beberapa saat dan tidak dapat menjadi kata sandi yang benar dan jangka panjang.
Beri tahu pengguna tentang perubahan kata sandi
Saat pengguna mengubah kata sandinya, mereka harus diminta untuk memasukkan kata sandi lama terlebih dahulu dan, idealnya, mengaktifkan autentikasi dua faktor (2FA). Setelah selesai, mereka akan menerima pemberitahuan.
Berhati-hatilah dengan proses pemulihan kata sandi Anda
Proses pemulihan tidak hanya tidak mengungkapkan kata sandi saat ini tetapi hal yang sama juga berlaku untuk informasi apakah akun tersebut benar-benar ada atau tidak. Dengan kata lain, jangan berikan informasi apa pun (yang tidak perlu) kepada penyerang!
Gunakan CAPTCHA dan kontrol anti-otomatisasi lainnya
Gunakan kontrol anti-otomatisasi untuk mengurangi pengujian kredensial yang dilanggar, kekerasan, dan serangan penguncian akun. Kontrol tersebut mencakup pemblokiran kata sandi yang paling umum dilanggar, penguncian lunak, pembatasan kecepatan, CAPTCHA, penundaan yang terus meningkat antara upaya, pembatasan alamat IP, atau pembatasan berbasis risiko seperti lokasi, login pertama pada perangkat, upaya baru-baru ini untuk membuka kunci akun , atau serupa.
Menurut standar OWASP saat ini, seharusnya ada paling banyak 100 percobaan yang gagal per jam pada satu akun.
Jangan mengandalkan hanya pada kata sandi
Terlepas dari seberapa kuat dan uniknya kata sandi, itu tetap menjadi penghalang tunggal yang memisahkan penyerang dan data berharga Anda. Saat mengincar akun yang aman, lapisan autentikasi tambahan harus dianggap sebagai keharusan mutlak.
Itulah mengapa Anda harus menggunakan autentikasi dua faktor (2FA) atau multi faktor (MFA) jika memungkinkan.
Namun, tidak semua opsi 2FA dilahirkan sama. Pesan SMS, meski jauh lebih baik daripada tidak ada 2FA sama sekali, rentan terhadap banyak ancaman. Alternatif yang lebih aman melibatkan penggunaan perangkat keras khusus dan generator kata sandi satu kali (OTP) berbasis perangkat lunak, seperti aplikasi aman yang dipasang di perangkat seluler.
Catatan: Artikel ini adalah versi terbaru dan diperpanjang dari artikel yang kami publikasikan pada tahun 2017: Tidak ada lagi persyaratan kata sandi yang tidak berguna
Mungkin memeriksa Pembuat kata sandi ESET?
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
- Sumber: https://www.welivesecurity.com/2023/05/04/creating-strong-user-friendly-passwords-tips-business-password-policy/
- :memiliki
- :adalah
- :bukan
- $NAIK
- 1
- 100
- 12
- 20
- 20 tahun
- 2017
- 2019
- 2023
- 2FA
- 50
- 7
- 9
- a
- Tentang Kami
- Mutlak
- penyalahgunaan
- diterima
- Menurut
- Akun
- Akun
- mengakui
- di seluruh
- Bertindak
- Activation
- sebenarnya
- Tambahan
- alamat
- mengaku
- nasihat
- Setelah
- terhadap
- Abad
- silam
- Bertujuan
- Semua
- mengizinkan
- juga
- alternatif
- alternatif
- Meskipun
- sama sekali
- an
- dan
- mengumumkan
- Apa pun
- aplikasi
- Aplikasi
- keamanan aplikasi
- pendekatan
- aplikasi
- April
- ADALAH
- sekitar
- artikel
- AS
- At
- Serangan
- Mencoba
- menarik
- Otentikasi
- Otomatis
- rata-rata
- pembatas
- Dasar
- BE
- karena
- menjadi
- menjadi
- makhluk
- Lebih baik
- antara
- tagihan
- Milyar
- Bit
- pemblokiran
- Blog
- lahir
- kedua
- pelanggaran
- Istirahat
- Browser
- brute force
- bisnis
- tapi
- by
- CAN
- tidak bisa
- hati-hati
- kasus
- kasus
- perubahan
- Perubahan
- karakter
- karakter
- memeriksa
- Pilih
- kode
- rekan
- menggabungkan
- bagaimana
- Umum
- umum
- pembandingan
- kompleks
- kompromi
- Dikompromikan
- komputer
- dianggap
- terus-menerus
- mengandung
- mengandung
- terus
- kebalikan
- kontrol
- konvensional
- Kelas
- retak
- membuat
- MANDAT
- Surat kepercayaan
- sangat penting
- terbaru
- data
- Basis Data
- Tanggal
- Hari
- dedicated
- Default
- keterlambatan
- alat
- Devices
- Mati
- berbeda
- sulit
- Display
- do
- Tidak
- dilakukan
- Dont
- turun
- Jatuhan
- e
- mudah
- Mudah
- usaha
- antara
- Karyawan
- karyawan
- aktif
- mendorong
- mendorong
- Tak berujung
- insinyur
- Teknik
- Enter
- Seluruh
- masuk
- sama
- terutama
- menetapkan
- mengevaluasi
- Bahkan
- terus meningkat
- semua orang
- bukti
- contoh
- ada
- ahli
- kedaluwarsa
- luar
- faktor
- Gagal
- terkenal
- jauh
- beberapa
- Pertama
- Untuk
- kekuatan
- ditemukan
- Gratis
- sering
- dari
- fungsi
- fungsi
- Umum
- dihasilkan
- generator
- mendapatkan
- diberikan
- Go
- baik
- besar
- Pertumbuhan
- menebak
- bimbingan
- pedoman
- hacker
- Setengah
- menangani
- Sulit
- Perangkat keras
- perangkat keras
- membahayakan
- hashing
- Memiliki
- memiliki
- he
- kepala
- membantu
- Tersembunyi
- petunjuk
- -nya
- Sarang lebah
- jam
- Seterpercayaapakah Olymp Trade? Kesimpulan
- Namun
- HTML
- HTTPS
- Manusia
- ide
- if
- memaksakan
- memperbaiki
- in
- Di lain
- memasukkan
- Termasuk
- meningkatkan
- informasi
- mulanya
- diinstal
- sebagai gantinya
- Lembaga
- ke
- memperkenalkan
- Memperkenalkan
- melibatkan
- IP
- Alamat IP
- IT
- NYA
- Diri
- jpg
- hanya
- kunci
- faktor utama
- Terakhir
- kemudian
- lapisan
- memimpin
- terkemuka
- paling sedikit
- Panjang
- Hidup
- 'like'
- Mungkin
- baris
- sedikit
- tempat
- penguncian
- masuk
- Panjang
- lama
- jangka panjang
- lagi
- menurunkan
- MEMBUAT
- Manajer
- banyak
- sesuai
- hal
- max-width
- maksimum
- Mungkin..
- MD5
- pesan
- MFA
- Microsoft
- mungkin
- juta
- keberatan
- minimum
- menit
- Mengurangi
- mobil
- telepon genggam
- lebih
- paling
- banyak
- beberapa
- harus
- nasional
- Alam
- New
- nisan
- tidak
- pemberitahuan
- sekarang
- jumlah
- nomor
- banyak sekali
- usang
- kesempatan
- of
- Pengunjung
- Tua
- on
- sekali
- ONE
- secara online
- hanya
- Buka
- pilihan
- Opsi
- or
- urutan
- organisasi
- Lainnya
- kami
- di luar
- sendiri
- halaman
- bagian
- khususnya
- Kata Sandi
- pengaturan ulang kata sandi
- password
- lalu
- Kesabaran
- Konsultan Ahli
- orang
- periode
- orang
- pribadi
- memilih
- plato
- Kecerdasan Data Plato
- Data Plato
- plus
- Kebijakan
- kebijaksanaan
- kemungkinan
- mungkin
- sebelumnya
- masalah
- proses
- proyek
- melindungi
- memberikan
- diterbitkan
- menempatkan
- pertanyaan
- Mempertanyakan
- Pertanyaan
- dihasilkan secara acak
- cepat
- Penilaian
- alasan
- mencapai
- siap
- benar-benar
- alasan
- menerima
- baru
- merekomendasikan
- pemulihan
- reguler
- secara teratur
- mengandalkan
- sisa
- ingat
- wajib
- penelitian
- responden
- pembatasan
- mengakibatkan
- menggunakan kembali
- mengungkapkan
- aturan
- Run
- s
- sama
- mengatakan
- mengatakan
- Pencarian
- aman
- Dijamin
- aman
- mengamankan
- keamanan
- terlihat
- putusan pengadilan
- memisahkan
- set
- set
- beberapa
- Rak
- Pendek
- harus
- ditunjukkan
- Tanda
- mirip
- Sederhana
- tunggal
- ENAM
- kecil
- SMS
- So
- Sosial
- Rekayasa Sosial
- Lunak
- beberapa
- spasi
- khusus
- berdiri
- standar
- standar
- Masih
- dicuri
- jalan
- kekuatan
- kuat
- lebih kuat
- studi
- berhasil
- seperti itu
- besar
- mendukung
- rentan
- Mengambil
- Dibutuhkan
- tech
- raksasa teknologi
- Teknologi
- pengujian
- dari
- bahwa
- Grafik
- mereka
- Mereka
- diri
- kemudian
- Sana.
- Ini
- mereka
- hal
- berpikir
- ini
- ancaman
- tiga
- Melalui
- waktu
- Tips
- untuk
- hari ini
- alat
- alat
- terhadap
- tradisional
- terlatih
- benar
- ternyata
- khas
- kami
- unik
- membuka kunci
- tidak perlu
- tidak berkelanjutan
- diperbarui
- kegunaan
- menggunakan
- bekas
- Pengguna
- user-friendly
- Pengguna
- menggunakan
- Berharga
- nilai
- variasi
- berbagai
- memverifikasi
- versi
- View
- Dinding
- wall Street
- adalah
- cara
- we
- jaringan
- aplikasi web
- BAIK
- Apa
- ketika
- kapan saja
- apakah
- yang
- sementara
- seluruh
- mengapa
- lebar
- lebar
- akan
- Windows
- kebijaksanaan
- dengan
- kata
- dunia
- akan
- WSJ
- tahun
- namun
- Kamu
- Anda
- Youtube
- zephyrnet.dll