Haruskah Pengguna Dipaksa Menyetel Ulang Kata Sandi Mereka Secara Teratur?

Salah satu bagian umum dari saran keamanan akun adalah bahwa pengguna harus mengubah kata sandi mereka secara teratur. Alasan di balik pendekatan ini adalah untuk meminimalkan lamanya waktu validitas kata sandi, jika sewaktu-waktu disusupi. Seluruh strategi ini didasarkan pada saran historis dari kelompok keamanan siber terkemuka seperti NIST Amerika, atau Institut Standar dan Teknologi Nasional.

Selama beberapa dekade, pemerintah dan perusahaan mengikuti saran ini dan memaksa penggunanya untuk mengatur ulang kata sandi secara teratur, biasanya setiap 90 hari. Namun, seiring waktu, penelitian menunjukkan bahwa pendekatan ini tidak berfungsi sebagaimana mestinya dan pada tahun 2017 NIST bersama dengan Inggris NCSC, atau Pusat Keamanan Siber Nasional, mengubah saran mereka untuk hanya mewajibkan perubahan kata sandi jika ada kecurigaan yang masuk akal tentang kompromi.

Mengapa sarannya diubah?

Saran untuk mengubah kata sandi secara teratur pada awalnya diterapkan untuk membantu meningkatkan keamanan. Dari perspektif yang murni logis, saran untuk memperbarui kata sandi secara teratur masuk akal. Pengalaman dunia nyata sedikit berbeda. Penelitian menunjukkan bahwa memaksa pengguna untuk mengubah kata sandi mereka secara teratur membuat mereka secara signifikan lebih mungkin untuk mulai menggunakan kata sandi serupa yang baru saja mereka tambahkan. Misalnya, daripada memilih kata sandi seperti “9L=Xk&2>”, pengguna akan menggunakan kata sandi seperti “Spring2019!”.

Ternyata, ketika dipaksa untuk membuat dan mengingat banyak kata sandi dan kemudian secara teratur mengubahnya, orang-orang secara konsisten menggunakan kata sandi yang mudah diingat yang lebih tidak aman. Masalah dengan kata sandi tambahan seperti "Spring2019!" adalah bahwa mereka mudah ditebak dan kemudian membuatnya mudah untuk memprediksi perubahan di masa depan juga. Gabungan ini berarti memaksa pengaturan ulang kata sandi mendorong pengguna untuk memilih yang lebih mudah diingat dan oleh karena itu kata sandi yang lebih lemah, yang biasanya secara aktif merusak manfaat yang dimaksudkan untuk mengurangi masa depan mempertaruhkan.

Misalnya, dalam skenario terburuk, seorang peretas dapat mengkompromikan kata sandi "Spring2019!" dalam beberapa bulan setelah itu berlaku. Pada titik ini, mereka dapat mencoba varian dengan "Musim Gugur" alih-alih "Musim Semi" dan kemungkinan besar mereka akan mendapatkan akses. Jika perusahaan mendeteksi pelanggaran keamanan ini dan kemudian memaksa pengguna untuk mengubah kata sandi mereka, itu wajar kemungkinan pengguna yang terpengaruh hanya akan mengubah kata sandi mereka menjadi “Winter2019!” dan berpikir bahwa mereka aman. Peretas, mengetahui polanya, mungkin akan mencoba ini jika mereka dapat memperoleh akses lagi. Bergantung pada berapa lama pengguna bertahan dengan pola ini, penyerang dapat menggunakan ini untuk akses selama beberapa tahun, sementara pengguna merasa aman karena mereka secara teratur mengubah kata sandi mereka.

Apa saran barunya?

Untuk membantu mendorong pengguna menghindari kata sandi formula, sarannya sekarang adalah hanya mengatur ulang kata sandi ketika ada kecurigaan yang masuk akal bahwa mereka telah disusupi. Dengan tidak memaksa pengguna untuk mengingat kata sandi baru secara teratur, mereka cenderung memilih kata sandi yang kuat sejak awal.

Dikombinasikan dengan ini adalah sejumlah rekomendasi lain yang bertujuan untuk mendorong pembuatan kata sandi yang lebih kuat. Ini termasuk memastikan bahwa semua kata sandi memiliki panjang minimal delapan karakter dan jumlah karakter maksimum setidaknya 64 karakter. Itu juga merekomendasikan agar perusahaan mulai menjauh dari aturan kompleksitas menuju penggunaan daftar blokir menggunakan kamus kata sandi yang lemah seperti "ChangeMe!" dan "Password1" yang memenuhi banyak kerumitan persyaratan.

Komunitas keamanan siber hampir dengan suara bulat setuju bahwa kata sandi tidak boleh kedaluwarsa secara otomatis.

Catatan: Sayangnya, dalam beberapa skenario, mungkin masih perlu untuk melakukannya, karena beberapa pemerintah belum mengubah undang-undang yang mewajibkan kedaluwarsa kata sandi untuk sistem yang sensitif atau rahasia.