Mengapa Kebersihan Kata Sandi Membutuhkan Boot Ulang

  • Whatsapp
Mengapa Kebersihan Kata Sandi Membutuhkan Boot Ulang

Di dunia digital saat ini, keamanan kata sandi lebih penting dari sebelumnya. Sementara biometrik, kata sandi satu kali (OTP), dan bentuk otentikasi lain yang muncul sering disebut-sebut sebagai pengganti kata sandi tradisional, saat ini, konsep ini lebih menjadi hype pemasaran daripada apa pun.

Tetapi hanya karena kata sandi tidak ke mana-mana dalam waktu dekat tidak berarti bahwa organisasi tidak perlu memodernisasi pendekatan mereka terhadap kebersihan kata sandi sekarang.

Bacaan Lainnya

Krisis Kredensial yang Disusupi

Sebagai milik Microsoft tim keamanan menjelaskannya, “Yang diperlukan hanyalah satu kredensial yang disusupi… untuk menyebabkan pelanggaran data.” Ditambah dengan masalah penggunaan ulang kata sandi yang merajalela, kata sandi yang disusupi dapat memiliki dampak yang signifikan dan tahan lama pada keamanan perusahaan.

Faktanya, peneliti dari Virginia Tech University menemukan bahwa lebih dari 70% pengguna menggunakan kata sandi yang disusupi untuk akun lain hingga satu tahun setelah awalnya bocor, dengan 40% menggunakan kembali kata sandi yang bocor lebih dari tiga tahun lalu.

Meskipun tantangan kredensial yang disusupi bukanlah hal baru bagi sebagian besar pemimpin TI, mereka mungkin terkejut mengetahui bahwa upaya mereka untuk mengatasi masalah tersebut sering kali menciptakan lebih banyak kerentanan keamanan.

Berikut adalah beberapa contoh pendekatan tradisional yang dapat melemahkan keamanan kata sandi:

  • Kompleksitas kata sandi yang diamanatkan
  • Penyetelan ulang kata sandi secara berkala
  • Batasan panjang kata sandi dan penggunaan karakter
  • Persyaratan karakter khusus

Pendekatan Modern untuk Keamanan Kata Sandi

Mengingat kerentanan yang terkait dengan pendekatan warisan ini, Institut Standar dan Teknologi Nasional (NIST) telah merevisi rekomendasinya untuk mendorong praktik terbaik keamanan sandi yang lebih modern. Akar dari rekomendasi terbaru NIST adalah pengakuan bahwa faktor manusia sering menyebabkan kerentanan keamanan ketika pengguna dipaksa untuk membuat kata sandi yang sesuai dengan persyaratan kompleksitas tertentu atau dipaksa untuk mengatur ulang secara berkala.

Misalnya, ketika diminta untuk menggunakan karakter dan angka khusus, pengguna dapat memilih sesuatu yang mendasar seperti “P @ ssword1;” kredensial yang jelas umum dan mudah dieksploitasi oleh peretas. Pendekatan warisan lain yang dapat berdampak buruk pada keamanan adalah kebijakan yang melarang penggunaan spasi atau berbagai karakter khusus dalam kata sandi. Lagi pula, jika Anda ingin pengguna Anda membuat sandi yang kuat dan unik yang dapat mereka ingat dengan mudah, mengapa Anda menerapkan batasan terkait hal ini?

Selain itu, NIST sekarang merekomendasikan untuk tidak mengatur ulang kata sandi secara berkala dan menyarankan bahwa perusahaan hanya memerlukan kata sandi untuk diubah jika ada bukti penyusupan.

Peran Solusi Penyaringan Kredensial

Jadi, bagaimana perusahaan dapat memantau tanda-tanda kompromi? Dengan mengadopsi rekomendasi NIST lain; yaitu, bahwa organisasi menyaring kata sandi terhadap daftar hitam yang berisi kredensial yang umum digunakan dan disusupi secara berkelanjutan.

Ini mungkin terdengar cukup sederhana, tetapi penting untuk memilih solusi penyaringan kredensial yang disusupi yang tepat untuk lanskap ancaman yang meningkat saat ini.

Tidak Ada Pengganti untuk Dinamis

Ada banyak daftar hitam statis yang tersedia online dan beberapa perusahaan bahkan membuat daftar sendiri. Tetapi dengan beberapa pelanggaran data yang terjadi secara real-time, kredensial yang baru dikompromikan terus diposting di Dark Web dan tersedia bagi peretas untuk memanfaatkan serangan mereka yang sedang berlangsung. Daftar hitam yang ada atau yang hanya diperbarui secara berkala sepanjang tahun tidak cocok untuk lingkungan berisiko tinggi ini.

Enzoic solusi dinamis menyaring kredensial terhadap database berpemilik yang berisi miliaran kata sandi yang terekspos dalam pelanggaran data dan ditemukan dalam kamus yang membobol. Karena basis data diperbarui secara otomatis beberapa kali per hari, perusahaan merasa tenang karena keamanan kata sandi mereka berkembang untuk mengatasi intelijen pelanggaran terbaru tanpa memerlukan pekerjaan tambahan dari perspektif TI.

Menyaring kredensial baik saat pembuatannya maupun terus memantau integritasnya setelah itu juga merupakan komponen penting dari pendekatan modern terhadap keamanan sandi. Jika kata sandi yang sebelumnya aman disusupi, organisasi dapat mengotomatiskan tindakan yang sesuai — misalnya, memaksa penyetelan ulang kata sandi pada saat masuk berikutnya atau menutup akses sepenuhnya hingga TI menyelidiki masalahnya.

Jalan ke Depan

Meskipun pedoman NIST sering menginformasikan rekomendasi praktik terbaik di seluruh industri keamanan, pada akhirnya terserah kepada para pemimpin keamanan untuk menentukan apa yang paling sesuai untuk kebutuhan unik mereka dan menyesuaikan strategi mereka.

Bergantung pada industri Anda, ukuran perusahaan, dan faktor lainnya, mungkin beberapa rekomendasi tidak sesuai untuk bisnis Anda.

Tetapi dengan serangan siber harian yang tidak menunjukkan tanda-tanda mereda dan sering dikaitkan kembali ke kerentanan kata sandi, tidak mudah untuk membayangkan sebuah organisasi yang tidak akan mendapat manfaat dari lapisan keamanan tambahan yang diberikan oleh penyaringan kredensial.

Cari tahu lebih lanjut tentang kecerdasan ancaman kata sandi dinamis Enzoic dan bagaimana kecerdasan itu dapat membantu menghidupkan ulang pendekatan Anda terhadap kebersihan kata sandi sini.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *