Menyelaraskan penegakan kebijakan kata sandi Anda dengan pedoman NIST

Halo teman akrab TanyaTekno, jumpa kembali kita di artikel ini. Di artikel ini saya dapat mengupas Menyelaraskan penegakan kebijakan kata sandi Anda dengan pedoman NIST

Institut Nasional Standar dan Teknologi (NIST) adalah lembaga pemerintah yang bertugas menciptakan standar keamanan siber dan praktik terbaik untuk pemerintah federal dan sektor swasta.

Pedoman Organisasi adalah dasar bagi banyak standar peraturan di seluruh dunia tetapi juga relevan untuk organisasi di industri yang tidak diatur karena Pedoman NIST didasarkan pada praktik terbaik yang telah ditetapkan.

Meskipun sebagian besar organisasi tidak diwajibkan oleh undang-undang untuk mematuhi standar NIST, biasanya organisasi berkepentingan untuk mengikuti standar keamanan siber Institut Nasional Standar dan Teknologi karena hal itu dapat membantu organisasi lebih terlindungi dari serangan siber.

Ini terutama berlaku untuk pedoman kata sandi NIST. Bahkan jika sebuah organisasi telah membuat kebijakan kata sandinya sesuai dengan rekomendasi NIST, ada baiknya untuk mempertimbangkan kembali rekomendasi ini secara berkala karena rekomendasi tersebut berubah seiring waktu.

Masalah pembaruan kata sandi

Mungkin contoh terbaik dari ini adalah fakta bahwa selama beberapa dekade praktik terbaik adalah bahwa pengguna harus diminta untuk mengubah kata sandi mereka secara berkala. Namun agak ironis, membutuhkan perubahan kata sandi yang sering dapat menyebabkan pengguna memilih kata sandi yang lebih lemah.

Masalahnya adalah bahwa dari waktu ke waktu, organisasi mengharuskan pengguna untuk menggunakan kata sandi yang semakin kompleks. Meskipun kata sandi yang panjang dan rumit sulit untuk dipecahkan oleh penyerang, namun juga sulit bagi pengguna yang sah untuk mengingatnya.

Ketika pengguna tidak hanya harus menggunakan kata sandi ini, tetapi juga sering mengubahnya, pengguna pasti akan melakukan hal-hal yang membuat kata sandi mereka kurang aman. Ini mungkin termasuk menuliskan kata sandi mereka atau membuat kata sandi baru yang hanya merupakan variasi berbeda dari kata sandi sebelumnya.

Memecahkan kata sandi dengan transisi

Sebuah studi oleh University of North Carolina di Chapel Hill menegaskan mengapa perilaku ini berbahaya. Untuk penelitian ini, peneliti diberikan 10.000 akun milik siswa dan mantan karyawan.

Pemilik sebelumnya dari akun ini diminta untuk mengubah kata sandi mereka setiap tiga bulan. Para peneliti mendapatkan setidaknya empat dari kata sandi sebelumnya yang terkait dengan setiap akun dan diminta untuk mencoba mencari tahu kata sandi saat ini berdasarkan kata sandi sebelumnya.

Alih-alih mencoba meretas kata sandi menggunakan brute force, para peneliti mencoba menebak kata sandi berdasarkan penggunaan konversi. Contoh konversi dapat mencakup penambahan angka di akhir kata sandi, menukar dua karakter, atau mengganti karakter dengan simbol yang mirip (seperti mengganti S dengan $).

Pada akhirnya, para peneliti dapat mengetahui kata sandi pengguna saat ini berdasarkan kata sandi sebelumnya dari 17% akun.

Pengalaman ini menggarisbawahi bahaya perubahan kata sandi yang rutin dan dipaksakan. Ini juga menjelaskan mengapa rekomendasi kata sandi harus dikembangkan dari waktu ke waktu jika ingin tetap efektif.

Tidak mengherankan, NIST tidak lagi merekomendasikan perubahan terjadwal pada kata sandi. Sebaliknya, Pedoman Kata Sandi NIST pada dasarnya menyatakan bahwa organisasi harus memeriksa kata sandi terhadap daftar kata sandi yang diketahui telah disusupi. Jika kata sandi belum diretas, tidak perlu mengubahnya.

Perbarui keamanan TI Anda

Karena pedoman NIST berubah secara berkala, organisasi harus memikirkan cara terbaik untuk mengikuti praktik terbaru. Salah satu cara termudah bagi organisasi untuk menyelaraskan kebijakan kata sandinya dengan pedoman NIST adalah dengan mengadopsi Kebijakan Kata Sandi Specops. Kebijakan Kata Sandi Specops memiliki fitur yang memungkinkan organisasi untuk membandingkan kebijakan kata sandi saat ini dengan pedoman NIST, serta standar peraturan lainnya seperti SANS dan PCI.

Perlu dicatat bahwa Kebijakan Kata Sandi Specops tidak hanya menunjukkan apa yang perlu dilakukan organisasi untuk membuat kebijakan kata sandi mereka sesuai dengan NIST. Ini juga memberi organisasi alat untuk melakukan hal itu. Pertimbangkan, misalnya, persyaratan NIST untuk membandingkan kata sandi pengguna dengan daftar kata sandi yang diketahui telah disusupi.

Windows Server awalnya tidak menyediakan kemampuan untuk membandingkan kata sandi pengguna dengan daftar seperti itu. Namun, Specops menyimpan daftar miliaran kata sandi yang diketahui telah disusupi dan memungkinkan organisasi untuk melakukan perbandingan otomatis kata sandi pengguna dengan daftar tersebut. Anda dapat menguji Kebijakan Kata Sandi Specops secara gratis di Active Directory kapan saja.

Disponsori oleh Specops

Demikianlah pembahasantentang Menyelaraskan penegakan kebijakan kata sandi Anda dengan pedoman NIST

. Jangan Lupa untuk
berbagi artikel ini ya sobat.

Rujukan Artikel