National Institute of Standards and Technology (NIST) telah merilis pedoman terbaru terkait keamanan password, yang menandai perubahan signifikan dari praktik password tradisional.
Rekomendasi baru ini, yang tercantum dalam NIST Special Publication 800-63B, bertujuan untuk meningkatkan keamanan siber sekaligus memperbaiki pengalaman pengguna.
Salah satu perubahan paling mencolok adalah sikap NIST terhadap kompleksitas password. Berlawanan dengan praktik lama, NIST tidak lagi merekomendasikan penerapan persyaratan kompleksitas password yang sewenang-wenang, seperti mencampurkan huruf besar dan kecil, angka, dan karakter khusus. Fokus sekarang bergeser pada panjang password sebagai faktor utama kekuatan password.
“Password yang lebih panjang umumnya lebih aman dan lebih mudah diingat oleh pengguna,” ujar Dr. Paul Turner, ahli keamanan siber di NIST. “Kami bergerak menjauh dari aturan kompleks yang sering kali menghasilkan pola yang dapat diprediksi dan mendorong penggunaan frasa sandi yang panjang dan unik.”
NIST sekarang merekomendasikan panjang minimal password sebesar 8 karakter, dengan preferensi kuat untuk password yang lebih panjang. Organisasi disarankan untuk memungkinkan penggunaan password hingga setidaknya 64 karakter untuk mengakomodasi frasa sandi.
Perubahan signifikan lainnya adalah penghapusan kebijakan perubahan password secara berkala. NIST berpendapat bahwa penggantian password yang terlalu sering justru melemahkan keamanan karena mendorong pengguna untuk melakukan perubahan kecil dan mudah ditebak. Sebaliknya, password hanya perlu diganti jika ada bukti kompromi.
“Memaksa pengguna mengganti password secara rutin tidak meningkatkan keamanan dan bahkan bisa berbalik kontraproduktif,” jelas Turner. “Lebih efektif untuk memantau kredensial yang terkompromi dan hanya meminta perubahan saat diperlukan.”
Pedoman baru juga menekankan pentingnya memeriksa password terhadap daftar password yang sering digunakan atau telah dikompromikan. NIST merekomendasikan agar organisasi memiliki daftar blokir password yang lemah dan mencegah pengguna memilih password dari daftar ini.
Selain itu, NIST menyarankan untuk tidak menggunakan petunjuk password atau pertanyaan autentikasi berbasis pengetahuan, karena ini sering kali mudah ditebak atau diketahui melalui rekayasa sosial.
Untuk penyimpanan password, NIST merekomendasikan penggunaan salted hashing dengan work factor yang membuat serangan offline menjadi lebih sulit secara komputasi. Pendekatan ini membantu melindungi password yang tersimpan meskipun database terkompromi.
Persyaratan Lain yang Harus Dipenuhi:
- Verifikator dan CSP (Credential Service Providers) HARUS mengharuskan password memiliki panjang minimal delapan karakter dan SEBAIKNYA mengharuskan minimal 15 karakter.
- Verifikator dan CSP SEBAIKNYA mengizinkan panjang password hingga setidaknya 64 karakter.
- Verifikator dan CSP SEBAIKNYA menerima semua karakter ASCII yang dapat dicetak [RFC20] dan karakter spasi dalam password.
- Verifikator dan CSP SEBAIKNYA menerima karakter Unicode [ISO/ISC 10646] dalam password. Setiap titik kode Unicode HARUS dihitung sebagai satu karakter saat mengevaluasi panjang password.
- Verifikator dan CSP TIDAK BOLEH memberlakukan aturan komposisi lainnya (misalnya, mengharuskan campuran tipe karakter yang berbeda) untuk password.
- Verifikator dan CSP TIDAK BOLEH mengharuskan pengguna untuk mengganti password secara berkala, kecuali ada bukti kompromi dari autentikator.
- Verifikator dan CSP TIDAK BOLEH mengizinkan penyimpanan petunjuk password yang dapat diakses oleh penuntut yang tidak terautentikasi.
- Verifikator dan CSP TIDAK BOLEH meminta pengguna menggunakan pertanyaan autentikasi berbasis pengetahuan (KBA) (misalnya, “Apa nama hewan peliharaan pertama Anda?”) saat memilih password.
- Verifikator HARUS memverifikasi seluruh password yang dikirimkan (yaitu, tidak boleh memotongnya).
Pedoman ini juga menekankan pentingnya penggunaan autentikasi multi-faktor (MFA) sebagai lapisan keamanan tambahan. Meskipun bukan persyaratan langsung untuk password, NIST sangat mendorong penggunaan MFA di mana pun memungkinkan.
Rekomendasi baru ini telah diterima dengan baik oleh banyak pihak dalam komunitas keamanan siber. “Pedoman NIST yang diperbarui sejalan dengan apa yang telah diadvokasi oleh peneliti keamanan selama bertahun-tahun,” kata Sarah Chen, CTO SecurePass, sebuah perusahaan manajemen password. “Mereka mencapai keseimbangan yang baik antara keamanan dan kemudahan penggunaan.”
Saat organisasi menerapkan pedoman baru ini, pengguna dapat melihat perubahan dalam kebijakan password di berbagai platform dan layanan. Meskipun mungkin membutuhkan waktu untuk semua sistem beradaptasi, para ahli percaya bahwa perubahan ini akan menghasilkan keamanan password yang lebih efektif dalam jangka panjang.
NIST menekankan bahwa pedoman ini tidak hanya berlaku untuk lembaga pemerintah, tetapi juga sebagai praktik terbaik bagi semua organisasi yang peduli dengan keamanan siber.
Seiring dengan evolusi ancaman siber, memperbarui diri dengan rekomendasi keamanan terbaru tetap menjadi hal penting untuk melindungi informasi dan sistem yang sensitif.
#Lindungi Data!
Sebagai perusahaan yang berkomitmen untuk membuat dunia digital yang lebih baik, PT Digital Solusi Grup mengajak Anda untuk selalu menjaga keamanan perangkat dan data Anda. Hubungi tim ahli kami di bidang cyber security untuk konsultasi lebih lanjut dan layanan perlindungan menyeluruh. Bersama kami, amankan bisnis Anda dari ancaman siber yang terus berkembang. Lindungi, Aman, dan Sukses bersama PT Digital Solusi Grup!
Referensi:
NIST Recommends New Rules for Password Security, Cyber Security News.
Baca Juga : Hacker Klaim Curi Data dari Server Deloitte yang Tidak Terlindungi dengan Baik
