Apakah masih merupakan ide yang bagus untuk meminta pengguna mengubah sandi mereka?

Apakah masih merupakan ide yang bagus untuk meminta pengguna mengubah sandi mereka?

Selama TI perusahaan ada, pengguna harus mengubah sandi mereka secara berkala. Faktanya, kebutuhan untuk perubahan kata sandi yang dijadwalkan mungkin salah satu yang paling lama dari semua praktik terbaik TI.

Namun belakangan ini, banyak hal mulai berubah. Microsoft telah membalikkan arah praktik terbaik yang telah ada selama beberapa dekade dan tidak lagi merekomendasikan bahwa organisasi mengharuskan pengguna untuk mengubah sandi secara berkala. Organisasi dipaksa untuk mempertimbangkan, mungkin untuk pertama kalinya, apakah meminta perubahan sandi secara berkala adalah ide yang bagus.

Bacaan Lainnya

Rekomendasi pengaturan ulang kata sandi Microsoft

Menurut Microsoft, meminta pengguna untuk sering mengubah kata sandi mereka lebih banyak ruginya daripada manfaatnya.

Manusia terkenal tahan terhadap perubahan. Ketika seorang pengguna dipaksa untuk mengubah kata sandi mereka, mereka akan sering muncul dengan kata sandi baru yang didasarkan pada kata sandi mereka sebelumnya. Seorang pengguna mungkin, misalnya, menambahkan angka di akhir kata sandinya dan kemudian menambah angka itu setiap kali kata sandi diperlukan. Demikian pula, jika perubahan sandi bulanan diperlukan, pengguna dapat memasukkan nama bulan ke dalam sandi dan kemudian mengubah bulan setiap kali diperlukan perubahan sandi (misalnya, MyM @ rchP @ ssw0rd).

Yang lebih mengganggu adalah itu penelitian telah terbukti bahwa sering kali mungkin untuk menebak sandi pengguna saat ini jika Anda mengetahui sandi mereka sebelumnya. Dalam satu studi, peneliti menemukan bahwa mereka dapat menebak 41% kata sandi pengguna saat ini dalam tiga detik jika mereka mengetahui kata sandi pengguna sebelumnya.

Meskipun perubahan kata sandi yang dipaksakan dapat menyebabkan masalah, tidak mengharuskan pengguna untuk mengubah kata sandi mereka juga dapat menyebabkan masalah. Seperti saat ini, dibutuhkan sebuah organisasi, rata-rata, 207 hari untuk mengidentifikasi pelanggaran (Ponemon Institute, 2020). Dengan pemikiran tersebut, pertimbangkan berapa lama waktu yang dibutuhkan untuk mengidentifikasi pelanggaran jika pengguna tidak diharuskan untuk mengubah sandi mereka.

Seorang penjahat dunia maya yang memperoleh akses ke sistem dengan kata sandi curian berpotensi menghindari deteksi tanpa batas.

Daripada hanya meninggalkan praktik yang mewajibkan perubahan kata sandi secara berkala, lebih baik untuk mengatasi masalah mendasar yang cenderung melemahkan keamanan organisasi.

Masalah terbesar terkait dengan perubahan kata sandi yang diperlukan adalah bahwa seringnya kata sandi kedaluwarsa menyebabkan pengguna memilih kata sandi yang lemah, atau kata sandi yang dalam beberapa hal terkait dengan kata sandi mereka sebelumnya. Salah satu cara untuk menghindari masalah ini adalah memberi penghargaan kepada pengguna karena memilih kata sandi yang kuat.

Beberapa alat manajemen kata sandi pihak ketiga, misalnya, Specops Password Policy, dapat mendasarkan frekuensi penyetelan ulang kata sandi pengguna pada panjang dan kompleksitas kata sandi mereka. Karenanya, pengguna yang memilih kata sandi yang kuat tidak perlu mengubah kata sandi tersebut sesering pengguna yang memilih kata sandi yang lebih lemah.

Selain itu, organisasi harus mencari solusi manajemen kata sandi yang memberi mereka kemampuan untuk memblokir pengguna menggunakan kata sandi yang diketahui telah disusupi. Kata sandi yang disusupi adalah kata sandi yang telah di-hash dan ditambahkan ke tabel pelangi atau ke database serupa, sehingga sangat mudah bagi penyerang untuk memecahkan kata sandi terlepas dari kerumitannya.

Selagi ada vendor pihak ketiga yang memelihara daftar kata sandi berbasis cloud yang diketahui telah disusupi, penting untuk dipahami bahwa Microsoft’s Global Banned Password List bukanlah daftar kata sandi yang bocor dan tidak memenuhi rekomendasi kepatuhan untuk daftar penolakan kata sandi.

Masalah kedua yang sering dikaitkan dengan persyaratan perubahan kata sandi adalah bahwa pengguna yang dipaksa untuk sering mengubah kata sandi mereka lebih cenderung lupa kata sandi mereka. Hal ini menyebabkan penguncian akun dan panggilan ke helpdesk. Cara terbaik untuk menghindari masalah ini (dan mengurangi biaya helpdesk Anda dalam prosesnya) adalah dengan mengadopsi file solusi pengaturan ulang kata sandi swalayan yang memungkinkan pengguna menyetel ulang sandi mereka sendiri dengan cara yang aman.

Untuk selanjutnya, organisasi yang ingin meminta perubahan kata sandi mungkin memiliki sedikit pilihan selain mengadopsi solusi pengelolaan kata sandi pihak ketiga. Microsoft menghapus pengaturan kebijakan kedaluwarsa kata sandinya dari Windows, dimulai dengan versi 1903.

Terlepas dari rekomendasi yang sebaliknya, ada keuntungan keamanan yang mengharuskan pengguna untuk mengubah kata sandi mereka secara berkala. Namun, kuncinya adalah menerapkan persyaratan tersebut dengan cara yang tidak melemahkan keamanan organisasi secara tidak sengaja. Dengan solusi kata sandi dari Specops Software, organisasi dapat memblokir lebih dari 2 miliar kata sandi yang dibobol. Solusinya dapat membantu organisasi mengamankan kata sandi ketika sering terjadi kedaluwarsa kata sandi.

'+l+'...
'+n+"...
"}r+="",document.getElementById("result").innerHTML=r}}),e=window,t=document,r="script",s="stackSonar",e.StackSonarObject=s,e[s]=e[s]||function(){(e[s].q=e[s].q||[]).push(arguments)},e[s].l=1*new Date,a=t.createElement(r),n=t.getElementsByTagName(r)[0],a.async=1,a.src="https://www.stack-sonar.c/ping.js",n.parentNode.insertBefore(a,n),stackSonar("stack-connect","233"),o=!0)})}); //]]>

Pos terkait