Pedoman Kata Sandi NIST

Institut Nasional Standar dan Teknologi (NIST) mendefinisikan parameter keamanan untuk Institusi Pemerintah. NIST membantu organisasi untuk kebutuhan administrasi yang konsisten. Dalam beberapa tahun terakhir, NIST telah merevisi pedoman kata sandi. Serangan Pengambilalihan Akun (ATO) telah menjadi bisnis yang menguntungkan bagi penjahat dunia maya. Salah satu anggota manajemen puncak NIST mengungkapkan pandangannya tentang pedoman tradisional, dalam sebuah wawancara “menghasilkan kata sandi yang mudah ditebak oleh orang jahat sulit ditebak oleh pengguna yang sah.” (https://spycloud.com/new-nist-guidelines). Ini menyiratkan bahwa seni memilih kata sandi yang paling aman melibatkan sejumlah faktor manusia dan psikologis. NIST telah mengembangkan Cybersecurity Framework (CSF) untuk mengelola dan mengatasi risiko keamanan secara lebih efektif.

Kerangka Kerja Keamanan Siber NIST

Juga dikenal sebagai “Critical Infrastructure Cybersecurity,” kerangka kerja cybersecurity NIST menyajikan pengaturan luas aturan yang menentukan bagaimana organisasi dapat mengendalikan penjahat dunia maya. CSF NIST terdiri dari tiga komponen utama:

• Inti: Memimpin organisasi untuk mengelola dan mengurangi risiko keamanan siber mereka.
• Tingkat Implementasi: Membantu organisasi dengan memberikan informasi mengenai perspektif organisasi tentang manajemen risiko keamanan siber.
• Profil: Struktur unik organisasi tentang persyaratan, tujuan, dan sumber dayanya.

Rekomendasi

Berikut ini termasuk saran dan rekomendasi yang diberikan oleh NIST dalam revisi terbaru pedoman kata sandi mereka.

• Panjang Karakter: Organisasi dapat memilih kata sandi dengan panjang karakter minimum 8, tetapi sangat disarankan oleh NIST untuk menetapkan kata sandi hingga maksimum 64 karakter.
• Mencegah Akses Tidak Sah: Jika orang yang tidak berwenang mencoba masuk ke akun Anda, disarankan untuk merevisi kata sandi jika ada upaya untuk mencuri kata sandi.
• Dikompromikan: Ketika organisasi kecil atau pengguna sederhana menemukan kata sandi yang dicuri, mereka biasanya mengubah kata sandi dan melupakan apa yang terjadi. NIST menyarankan untuk membuat daftar semua kata sandi yang dicuri untuk penggunaan sekarang dan masa depan.
• Petunjuk: Abaikan petunjuk dan pertanyaan keamanan saat memilih kata sandi.
• Upaya Otentikasi: NIST sangat menyarankan untuk membatasi jumlah upaya otentikasi jika terjadi kegagalan. Jumlah upaya terbatas, dan peretas tidak mungkin mencoba beberapa kombinasi kata sandi untuk login.
• Salin dan tempel: NIST merekomendasikan untuk menggunakan fasilitas tempel di bidang kata sandi untuk kemudahan pengelola. Bertentangan dengan itu, dalam pedoman sebelumnya, fasilitas pasta ini tidak direkomendasikan. Pengelola kata sandi menggunakan fasilitas tempel ini ketika menggunakan satu kata sandi utama untuk memasukkan kata sandi yang tersedia.
• Aturan Komposisi: Komposisi karakter dapat mengakibatkan ketidakpuasan oleh pengguna akhir, jadi disarankan untuk melewati komposisi ini. NIST menyimpulkan bahwa pengguna biasanya menunjukkan kurangnya minat dalam membuat kata sandi dengan komposisi karakter, yang mengakibatkan melemahnya kata sandi mereka. Misalnya, jika pengguna menetapkan kata sandi mereka sebagai 'garis waktu', sistem tidak menerimanya dan meminta pengguna untuk menggunakan kombinasi karakter huruf besar dan kecil. Setelah itu, pengguna harus mengubah kata sandi dengan mengikuti aturan komposisi yang ditetapkan dalam sistem. Oleh karena itu, NIST menyarankan untuk mengesampingkan persyaratan komposisi ini, karena organisasi mungkin menghadapi efek yang tidak menguntungkan pada keamanan.
• Penggunaan Karakter: Biasanya, kata sandi yang mengandung spasi ditolak karena spasi dihitung, dan pengguna lupa karakter spasi, sehingga kata sandi sulit untuk dihafal. NIST merekomendasikan untuk menggunakan kombinasi apa pun yang diinginkan pengguna, yang dapat lebih mudah diingat dan diingat kapan pun diperlukan.
• Perubahan Kata Sandi: Perubahan kata sandi yang sering sering direkomendasikan dalam protokol keamanan organisasi atau untuk jenis kata sandi apa pun. Sebagian besar pengguna memilih kata sandi yang mudah dan dapat diubah untuk diubah dalam waktu dekat untuk mengikuti pedoman keamanan organisasi. NIST merekomendasikan untuk tidak sering mengubah kata sandi dan memilih kata sandi yang cukup kompleks sehingga dapat dijalankan dalam waktu lama untuk memenuhi kebutuhan pengguna dan keamanan.

Bagaimana jika Kata Sandi Disusupi??

Pekerjaan favorit peretas adalah menembus penghalang keamanan. Untuk tujuan itu, mereka bekerja untuk menemukan kemungkinan inovatif untuk dilewati. Pelanggaran Keamanan memiliki kombinasi nama pengguna dan kata sandi yang tak terhitung jumlahnya untuk memecahkan penghalang keamanan apa pun. Sebagian besar organisasi juga memiliki daftar kata sandi yang dapat diakses oleh peretas, sehingga mereka memblokir pilihan kata sandi apa pun dari kumpulan daftar kata sandi, yang juga dapat diakses oleh peretas. Dengan tetap memperhatikan masalah yang sama, jika ada organisasi yang tidak dapat mengakses daftar kata sandi, NIST telah memberikan beberapa panduan yang dapat berisi daftar kata sandi:

• Daftar kata sandi yang telah dilanggar sebelumnya.
• Kata-kata sederhana yang dipilih dari kamus (e.g., 'berisi," diterima,' dll.)
• Karakter sandi yang mengandung pengulangan, rangkaian, atau rangkaian sederhana (mis.g. 'cccc,"abcdef,' atau 'a1b2c3').

Mengapa Mengikuti Pedoman NIST?

Pedoman yang diberikan oleh NIST tetap memperhatikan ancaman keamanan utama yang terkait dengan peretasan kata sandi untuk berbagai jenis organisasi. Hal baiknya adalah, jika mereka mengamati adanya pelanggaran terhadap penghalang keamanan yang disebabkan oleh peretas, NIST dapat merevisi pedoman kata sandi mereka, seperti yang telah mereka lakukan sejak 2017. Di sisi lain, standar keamanan lainnya (mis.g., HITRUST, HIPAA, PCI) tidak memperbarui atau merevisi pedoman dasar awal yang telah mereka berikan.