Pembobolan Kata Sandi 101: Penjelasan Serangan & Pertahanan

Dipublikasikan oleh Natasya Anggita Saputri

05 Juli 2024, 08.37

sumber: beyondtrust.com

Pengertian Peretasan Kata Sandi

Peretasan kata sandi (juga disebut peretasan kata sandi) adalah sebuah vektor serangan yang melibatkan peretas yang mencoba memecahkan atau menentukan kata sandi untuk autentikasi yang tidak sah. Peretasan kata sandi menggunakan berbagai teknik terprogram, langkah manual, dan otomatisasi menggunakan alat khusus untuk membobol kata sandi. Alat peretas kata sandi ini disebut sebagai 'peretas kata sandi'. Semakin banyak alat ini yang memanfaatkan AI untuk meningkatkan kecepatan dan efisiensi peretasan kata sandi. Kata sandi juga dapat dicuri melalui taktik lain, seperti dengan malware pengikis memori, penjelajahan bahu, pembobolan pihak ketiga, dan alat seperti pencuri kata sandi Redline.
Kata sandi bisa merujuk pada rangkaian karakter atau rahasia apa pun yang digunakan untuk mengautentikasi pengguna yang sah ke sebuah sumber daya. Kata sandi biasanya dipasangkan dengan nama pengguna atau mekanisme lain untuk memberikan bukti identitas. Kombinasi ini disebut sebagai kredensial.

Kata sandi yang dikompromikan terlibat dalam sebagian besar pelanggaran saat ini. Faktanya, Laporan Ancaman Cakrawala 2023 Google Cloud menemukan bahwa 86% pelanggaran memanfaatkan kredensial yang dicuri. Dan, menurut IBM X-Force Threat Intelligence Index 2024, terdapat peningkatan 71% dari tahun ke tahun dalam volume serangan yang menggunakan kredensial yang valid. Hal ini mencerminkan tren penyerang yang beralih ke serangan berbasis identitas daripada eksploitasi kerentanan tradisional karena permukaan serangan identitas telah berlipat ganda dan tumbuh dengan lompatan dalam kompleksitas.
Ketika akun yang disusupi memiliki hak istimewa, pelaku ancaman dapat dengan mudah menghindari kontrol keamanan lainnya, melakukan pergerakan lateral, dan mengkompromikan kata sandi lainnya. Inilah sebabnya mengapa kredensial dengan hak istimewa adalah yang paling penting dari semua kredensial yang harus dilindungi. Dengan demikian, hampir semua identitas saat ini akan memiliki jalur menuju hak istimewa melalui berbagai akun SaaS, yang mengaburkan definisi dari apa yang dimaksud dengan identitas istimewa saat ini.
Blog mendalam ini menyoroti kerentanan kata sandi dan risiko yang memberikan keuntungan bagi para penyerang, dan memberikan gambaran umum tentang motif, teknik, alat, dan pertahanan pembobolan kata sandi.

Kata Sandi: Pelajaran Sejarah Singkat

Manusia telah mengandalkan kata sandi sejak masa awal peradaban. "Kata Sandi" adalah sebuah kata yang memungkinkan pengguna untuk melewati pos pemeriksaan keamanan dan sudah ada sejak zaman Kekaisaran Romawi. Tidak seperti sekarang ini, kata sandi akan sama untuk semua orang. Kata sandi bukanlah bukti identitas, tetapi sama saja dengan kontrol akses berbasis peran. Dengan kata lain, kata sandi ini merupakan 'klaim' bahwa Anda memiliki wewenang untuk mengakses sumber daya, tetapi tidak dapat memvalidasi identitas Anda yang sebenarnya. Masalahnya adalah metode ini sepenuhnya bergantung pada mereka yang mengetahui kata sandi untuk merahasiakannya.

Kata sandi telah lama dikenal sebagai kelemahan keamanan identitas, dan kematian kata sandi serta munculnya masa depan tanpa kata sandi telah diprediksi selama beberapa dekade. Namun, jumlah identitas perusahaan terus meningkat, terutama didorong oleh ledakan identitas mesin. Sebuah studi Venafi memperkirakan jumlah identitas mesin mencapai 250.000 per perusahaan, menyusul peningkatan 41% dari tahun ke tahun. Berbagai penelitian lain dalam beberapa tahun terakhir memperkirakan jumlah identitas mesin melebihi jumlah identitas manusia dengan rasio beberapa lusin banding 1.

Meskipun pendekatan tanpa kata sandi mendapatkan momentum, pendekatan ini tetap menjadi ceruk bagi sistem modern, mengalami kesulitan untuk diadaptasi ke teknologi lama, dan sering kali memiliki karakteristik kata sandi itu sendiri. Namun, satu perubahan yang disambut baik adalah, saat ini, kata sandi kecil kemungkinannya untuk digunakan sebagai satu-satunya mekanisme keamanan karena teknologi seperti biometrik dan otentikasi multifaktor (MFA).

Memahami Psikologi Peretasan Kata Sandi

Kredensial yang valid (nama pengguna dan kata sandi) memungkinkan pengguna biasa untuk mengautentikasi sebuah sumber daya. Jika sebuah nama pengguna diketahui oleh pelaku ancaman, mendapatkan kata sandi akun tersebut menjadi sebuah latihan peretasan.
Sering kali, pelaku ancaman pertama-tama akan menargetkan administrator sistem karena kredensial mereka mungkin memiliki hak istimewa untuk mengakses data dan sistem sensitif secara langsung. Kredensial istimewa seperti itu memungkinkan penjahat siber untuk bergerak secara lateral, sambil menimbulkan sedikit atau tanpa kecurigaan, dan bahkan mengkompromikan akun lain untuk mempertahankan kegigihan. Setelah seorang pelaku ancaman telah mengkompromikan kredensial, segala sesuatu yang diistimewakan pada akun itu sekarang menjadi permainan yang adil bagi penyerang.
Kredensial yang dikompromikan untuk akun yang paling sensitif (domain, administrator basis data, dll.) dapat menjadi peristiwa "game over" bagi beberapa perusahaan. Akun-akun tersebut, dan kredensial mereka, merupakan vektor serangan utama untuk serangan eskalasi hak istimewa.

Penyerang Memiliki Keuntungan

Penyerang biasanya memiliki setidaknya dua keuntungan dibandingkan dengan pembela:
1. Waktu di tangan mereka, karena mereka sering mengambil pendekatan menyebar untuk mendapatkan akses versus serangan sekaligus yang dapat memicu beberapa alarm keamanan.
2. Perangkat pembobol kata sandi otomatis, yang semakin didukung oleh pembelajaran mesin (M/L) dan AI, yang akan menjalankan serangan secara mandiri menggunakan teknik untuk menghindari deteksi.
Pembobol kata sandi dapat mencoba kata sandi dengan kecepatan yang lambat dan terukur untuk menghindari pemicuan penguncian akun pada masing-masing akun. Jika peretas kata sandi hanya mencoba satu kata sandi setiap 10 menit per akun, 100.000 kata sandi akan membutuhkan waktu yang lama. Dengan bijaksana, penyerang siber akan mencoba setiap kata sandi pada setiap akun yang mereka ketahui dengan urutan yang mungkin acak (serangan acak). Pendekatan ini efektif karena hanya sedikit sistem yang melacak percobaan kata sandi di seluruh akun. Bahkan ketika Sistem Informasi Keamanan dan Pemantauan Peristiwa (SIEM) atau Analisis Perilaku Pengguna dan Entitas (UEBA) aktif, tindakan defensif yang dilakukan masih terbatas. Anda tidak bisa mengunci semua akun. Memblokir alamat IP sumber akan menghasilkan IP baru yang akan menerima serangan, jika IP tersebut belum terdistribusi ke 100 atau bahkan 1000 alamat IP.

Pertahanan optimal terhadap serangan semacam ini adalah dengan tidak menggunakan kata sandi dalam daftar. Perubahan kata sandi yang sering memicu kemalasan kita, sehingga "kata sandi" menjadi "p@ssw0rd" dan "Kata Sandi!" Setiap pembobol kata sandi menyadari praktik kata sandi yang buruk ini. Mengganti huruf dengan angka dan simbol juga merupakan praktik yang mudah ditebak. Sebagai contoh, 3 untuk E, 4 untuk A dan @ untuk a. Alat pembobol kata sandi mempersiapkan diri untuk variasi yang umum ini.
Penyerang berusaha mempelajari informasi dasar tentang kompleksitas kata sandi, seperti panjang kata sandi minimum dan maksimum, serta kompleksitas kata sandi. Sebagai contoh, apakah kata sandi memiliki huruf besar dan kecil, angka, simbol, atau kombinasi? Penyerang juga tertarik untuk mempelajari pembatasan pada kata sandi. Parameter-parameter ini bisa berupa:

  • Termasuk huruf besar
  • Tidak dimulai dengan angka atau simbol
  • Membutuhkan jumlah minimum jenis karakter atau bahasa tertentu

Dengan membatasi pengulangan karakter, kontrol pembuatan kata sandi ini mengurangi jumlah kombinasi yang harus dipertimbangkan oleh penyerang, dan dengan demikian, melemahkan keefektifan kata sandi. Alat peretasan kata sandi memiliki opsi untuk menentukan pembatasan ini untuk mempercepat proses serangan.
Untuk pengguna perorangan dan akun pribadi, kecil kemungkinan serangan semacam ini berhasil. Serangan pada satu akun kemungkinan besar akan memicu penguncian. Sebuah serangan brute-force dengan kecepatan rendah dapat memakan waktu lama untuk menemukan kombinasi login yang tepat, bahkan untuk kata sandi yang relatif pendek.
Alat peretasan kata sandi ideal untuk menebak kata sandi otomatis pada beberapa akun, tetapi juga mahir dalam menelusuri data untuk mencari tema, frasa, dan informasi yang umum.

Metode Serangan Kata Sandi yang Umum

Pada bagian ini, kita akan melihat teknik-teknik peretasan kata sandi yang umum. Beberapa teknik ini mungkin tumpang tindih dalam hal alat dan metodologi. Penyerang sering kali menggabungkan beberapa taktik yang saling melengkapi untuk meningkatkan peluang keberhasilan mereka.

Serangan Menebak Kata Sandi

Salah satu teknik serangan kata sandi yang paling populer adalah menebak kata sandi.
Sebagian besar sistem saat ini mengampuni manusia karena kita memiliki banyak sekali kata sandi yang harus diingat. Sistem-sistem ini mengizinkan kita untuk melakukan beberapa kesalahan, tanpa mengunci akun kita. Ketika penguncian terjadi, umumnya berlangsung kurang dari 30 menit.

1. Tebakan Acak

Nama pengguna adalah bagian dari kredensial yang tidak berubah, dan juga sangat mudah ditebak, biasanya berbentuk inisial pertama ditambah nama keluarga. Nama pengguna biasanya berupa alamat email, sesuatu yang dikomunikasikan secara luas. Seorang penyerang sekarang sudah memiliki separuh detail yang dibutuhkan untuk masuk ke banyak sistem Anda. Yang kurang hanyalah kata sandi.
Tebakan kata sandi acak jarang berhasil kecuali jika kata sandi itu umum atau berdasarkan kata dalam kamus. Mengetahui informasi tentang identitas target akan meningkatkan kemungkinan berhasilnya tebakan oleh pelaku ancaman. Informasi ini dikumpulkan dari media sosial, interaksi langsung, percakapan yang menipu, atau bahkan data yang dikumpulkan dari pelanggaran sebelumnya.
Varian yang paling umum untuk kata sandi yang rentan ditebak termasuk skema umum ini:

  • Kata "kata sandi" atau turunan dasar seperti "p@ssw0rd"
  • Turunan dari nama pengguna pemilik akun, termasuk inisial. Ini mungkin termasuk variasi yang tidak kentara, seperti angka dan karakter khusus.
  • Ulang tahun yang diformat ulang atau eksplisit untuk pengguna atau kerabat mereka, biasanya, keturunan atau tanggal khusus lainnya
  • Tempat atau peristiwa yang berkesan
  • Nama kerabat dan turunannya dengan angka atau karakter khusus, ketika disajikan bersama
  • Hewan peliharaan, warna, makanan, atau barang penting lainnya bagi individu

Walaupun alat peretas kata sandi otomatis tidak diperlukan untuk serangan menebak kata sandi, alat ini akan meningkatkan tingkat keberhasilan.
Serangan menebak kata sandi cenderung meninggalkan bukti di log peristiwa dan mengakibatkan penguncian otomatis akun setelah "n" kali percobaan. Ketika pemilik akun menggunakan ulang kata sandi di berbagai sumber daya dengan praktik kebersihan kata sandi yang buruk, risiko penebakan kata sandi dan pergerakan lateral meningkat secara dramatis.

2. Serangan Kamus

Serangan kamus adalah teknik otomatis yang menggunakan daftar kata sandi terhadap akun yang valid untuk mengungkapkan kata sandi. Daftar itu sendiri adalah sebuah kamus kata. Pembobol kata sandi dasar menggunakan daftar kata tunggal yang umum, seperti "baseball", untuk membobol kata sandi, meretas akun, dan melancarkan misi jahat pelaku ancaman.
Jika pelaku ancaman mengetahui panjang kata sandi akun yang ditargetkan dan persyaratan kerumitannya, maka kamus kata sandi akan disesuaikan dengan target. Pembobol kata sandi tingkat lanjut sering kali menggunakan kamus dan mencampurkan angka dan simbol untuk meniru kata sandi dunia nyata dengan persyaratan kerumitan.
Alat serangan kamus yang efektif memungkinkan pelaku ancaman:

  • Menetapkan persyaratan kerumitan untuk panjang, persyaratan karakter, dan rangkaian karakter
  • Menambahkan kata dan kombinasi kata/nama secara manual yang disesuaikan dengan target
  • Menargetkan kesalahan eja yang umum pada kata-kata yang sering digunakan yang mungkin memiliki simbol yang diganti atau ditambahkan
  • Beroperasi dalam berbagai bahasa

Kelemahan dari serangan kamus adalah bahwa mereka bergantung pada kata-kata yang sebenarnya dan turunannya yang disediakan oleh pengguna kamus default. Jika kata sandi yang sebenarnya adalah fiktif, menggunakan banyak bahasa, atau menggunakan lebih dari satu kata atau frasa, maka seharusnya dapat menggagalkan serangan kamus.
Metode yang paling umum untuk mengurangi ancaman serangan kamus adalah upaya penguncian akun. Setelah "n" kali percobaan yang salah, akun pengguna secara otomatis terkunci untuk jangka waktu tertentu dan, setelah beberapa kali penguncian, membutuhkan campur tangan manusia. Akun harus dibuka secara manual oleh pihak yang berwenang, seperti meja bantuan atau melalui solusi pengaturan ulang kata sandi otomatis. Namun, pengaturan penguncian terkadang dinonaktifkan. Jadi, jika kegagalan log masuk tidak dipantau dalam log peristiwa, serangan kamus merupakan vektor serangan yang efektif bagi aktor ancaman.

3. Brute Force

Serangan kata sandi brute force menggunakan metode terprogram untuk mencoba semua kombinasi yang mungkin untuk sebuah kata sandi. Metode ini efisien untuk kata sandi yang memiliki panjang string (karakter) yang pendek dan rumit. Hal ini bisa menjadi tidak mungkin, bahkan untuk sistem modern tercepat sekalipun, dengan kata sandi yang terdiri dari delapan karakter atau lebih.
Jika kata sandi hanya memiliki karakter abjad, termasuk huruf besar atau huruf kecil, kemungkinan besar dibutuhkan 8.031.810.176 tebakan untuk memecahkannya. Ini mengasumsikan bahwa penyerang mengetahui panjang kata sandi dan persyaratan kerumitannya.

Faktor-faktor lain termasuk angka, sensitivitas huruf besar-kecil, dan karakter khusus dalam bahasa lokal.
Dengan parameter yang tepat yang dimasukkan, serangan brute force akan selalu menemukan kata sandi, pada akhirnya. Daya komputasi yang dibutuhkan dan lamanya waktu yang dibutuhkan sering kali membuat pengujian brute force menjadi tidak berguna pada saat selesai. Waktu yang dibutuhkan untuk melakukan serangan ditentukan oleh waktu yang dibutuhkan untuk menghasilkan semua permutasi kata sandi yang mungkin. Kemudian, waktu respons sistem target diperhitungkan berdasarkan permintaan serial atau multithreaded.
Serangan kata sandi dengan cara kasar cenderung menjadi metode yang paling tidak efisien untuk meretas kata sandi. Dengan demikian, pelaku ancaman menggunakannya sebagai upaya terakhir.

4. Pengisian Kredensial

Credential stuffing adalah teknik peretasan otomatis yang memanfaatkan kredensial yang dicuri. Kredensial ini terdiri dari daftar nama pengguna, alamat email, dan kata sandi. Para penyerang sering kali membeli "daftar kombo" di web gelap yang menyediakan kombo email/kata sandi yang sudah dikemas sebelumnya. Teknik ini umumnya memanfaatkan otomatisasi untuk mengirimkan permintaan login yang ditujukan pada sebuah aplikasi dan untuk menangkap upaya login yang berhasil untuk dieksploitasi di masa depan.

Serangan credential stuffing tidak berusaha untuk melakukan brute force atau menebak kata sandi apa pun. Pelaku ancaman mengotomatiskan autentikasi berdasarkan kredensial yang ditemukan sebelumnya menggunakan alat yang disesuaikan, biasanya dengan kata sandi yang diperoleh dari web gelap dari pelanggaran pihak ketiga sebelumnya. Pendekatan ini dapat memerlukan jutaan percobaan untuk menentukan di mana pengguna berpotensi menggunakan kembali kredensial mereka di situs web atau aplikasi lain.
Serangan pengisian kredensial memangsa penggunaan ulang kata sandi. Serangan ini hanya berhasil karena begitu banyak pengguna yang menggunakan kembali kombinasi kredensial yang sama di beberapa situs tanpa bentuk MFA apa pun.

5. Penyemprotan Kata Sandi

Penyemprotan kata sandi adalah serangan berbasis kredensial yang mencoba mengakses banyak akun dengan menggunakan beberapa kata sandi yang sama. Secara konseptual, ini adalah kebalikan dari serangan kata sandi brute force. Brute force mencoba untuk mendapatkan akses yang sah ke satu akun dengan berulang kali memompa kombinasi kata sandi dalam jumlah besar.
Selama setahun terakhir, serangan kata sandi kembali menjadi terkenal. Midnight Blizzard membobol Microsoft dengan mengkompromikan lingkungan uji coba yang sudah lama tidak diproduksi dengan serangan semprotan kata sandi yang tidak canggih. Cisco dan Okta juga memperingatkan tentang serangan semprotan kata sandi berskala besar yang memanfaatkan berbagai proksi perumahan untuk menghindari deteksi.

Selama serangan semprotan kata sandi, aktor ancaman mencoba satu kata sandi yang umum digunakan (seperti "12345678" atau "Passw0rd") terhadap banyak akun sebelum melanjutkan untuk mencoba kata sandi kedua, sehingga menghindari penguncian akun.
Pelaku ancaman mencoba setiap akun pengguna dalam daftar mereka dengan kata sandi yang sama sebelum mengatur ulang daftar dan mencoba kata sandi berikutnya. Teknik ini meminimalkan risiko terdeteksinya dan terkuncinya satu akun oleh pelaku ancaman karena adanya jeda waktu di antara percobaan.

Dengan kebersihan kata sandi yang buruk oleh satu pengguna atau pada satu akun, pelaku ancaman kemungkinan besar akan berhasil menyusup ke dalam sumber daya. Teknik ini baru-baru ini digunakan dalam serangan Microsoft Midnight Blizzard.

Rekayasa Sosial & Serangan Berbasis Manusia

Serangan rekayasa sosial meliputi variasi email phishing, vishing (panggilan suara), serangan pengaturan ulang kata sandi, dan bahkan ancaman deepfake. Serangan-serangan ini memerlukan pembelajaran sebanyak mungkin tentang target sehingga penjahat siber dapat menebak kata sandi target.
Nama-nama hewan peliharaan, anak-anak, pasangan, alamat, ulang tahun, hobi, teman adalah informasi paling berharga yang tersedia bagi para pelaku ancaman. Faktor film favorit, acara TV, penulis, band, aktor, dan banyak lagi, dan sebagian besar akun media sosial menjadi tambang emas informasi.

1. Phishing & Vishing

Phishing dan vishing (panggilan suara) sering kali dimanfaatkan untuk mengumpulkan informasi untuk serangan lain, serta untuk menanam perangkat lunak berbahaya (melalui lampiran atau tautan) pada titik akhir. Malware ini dapat digunakan untuk mencuri kata sandi.
Email phishing atau vishing juga dapat menjadi bagian dari serangan pengaturan ulang kata sandi yang dipalsukan. Salah satu taktik yang umum dilakukan adalah email phishing memberikan tautan untuk diklik dengan tujuan mengatur ulang kata sandi akun. Para penyerang mungkin mengklaim bahwa hal ini disebabkan oleh potensi pembobolan kata sandi lama. Email tersebut mungkin menampilkan logo dan rupa sebuah pedagang, seperti bank, peritel, atau penyedia layanan. Namun, tautan dalam email tersebut mengarahkan korban ke antarmuka pengaturan ulang kata sandi palsu. Penyerang kemudian mengumpulkan kata sandi yang sah untuk membobol akun korban yang sah. Bagi seorang karyawan, email pengaturan ulang kata sandi palsu bahkan dapat terlihat berasal dari meja bantuan perusahaan itu sendiri, jika dibuat dengan terampil (jenis serangan phishing ini akan memiliki tingkat kesulitan tinggi pada Skala Phishing NIST).
Serangan-serangan ini merupakan pengingat yang konstan tentang mengapa pelatihan pengguna akhir sangat penting. Pengguna harus selalu waspada untuk memastikan permintaan alamat email atau nomor telepon memang sah.

2. Perubahan dan Pengaturan Ulang Kata Sandi Secara Paksa dan Otomatis

Sayangnya, ada risiko umum dalam mengatur ulang kata sandi yang membuat pengaturan ulang kata sandi otomatis menjadi target bagi para pelaku ancaman. Mengatur ulang kata sandi adalah tindakan perubahan kata sandi secara paksa oleh orang lain, seperti dari service desk atau pemilik aplikasi. Perubahan ini tidak diprakarsai oleh pengguna akhir.
Risiko pengaturan ulang kata sandi otomatis Termasuk:

  • Pengaturan ulang kata sandi melalui email atau pesan teks dan disimpan oleh pengguna akhir
  • Kata sandi yang diatur ulang oleh meja bantuan digunakan kembali setiap kali pengaturan ulang kata sandi diminta
  • Pengaturan ulang kata sandi secara membabi buta diberikan karena penguncian akun
  • Kata sandi yang disampaikan secara verbal dapat terdengar keras
  • Pengaturan ulang kata sandi yang rumit yang ditulis oleh pengguna akhir
  • Kata sandi berbasis pola yang dapat diprediksi akan digunakan pengguna saat diatur ulang

Setiap kali kata sandi disetel ulang, ada pengakuan tersirat bahwa kata sandi lama berisiko dan perlu diubah. Mungkin kata sandi tersebut terlupakan, kedaluwarsa, atau memicu penguncian karena beberapa kali gagal. Pengaturan ulang, pengiriman, dan penyimpanan kata sandi baru menimbulkan risiko sampai kata sandi diubah oleh pengguna akhir. Tentu saja, terkadang pengguna akhir lalai untuk mengubah kata sandi sama sekali.
Setelah identitas dibobol, pelaku ancaman bisa meminta pengaturan ulang kata sandi dan membuat kata sandi mereka sendiri untuk akun tersebut.
Praktik terbaik pengaturan ulang kata sandi:

  • Kata sandi harus acak dan melebihi persyaratan kompleksitas sesuai kebijakan bisnis.
  • Kata sandi harus diubah oleh pengguna akhir setelah login pertama dan memerlukan otentikasi dua faktor atau multi-faktor untuk memvalidasi setiap permintaan berikutnya.
  • Permintaan pengaturan ulang kata sandi harus selalu berasal dari lokasi yang aman dan otomatisasi harus dipantau.
  • Situs web publik untuk bisnis (bukan pribadi) harus memerlukan verifikasi tambahan untuk tautan 'Lupa Kata Sandi'.
  • Pengaturan ulang kata sandi melalui email mengasumsikan bahwa pengguna akhir masih memiliki akses ke email untuk mengakses kata sandi yang baru. Jika kata sandi email itu sendiri membutuhkan pengaturan ulang, metode transmisi lain harus dibuat. Ini biasanya harus melibatkan campur tangan manusia.
  • Jangan gunakan pesan teks SMS - pesan teks ini tidak cukup aman untuk mengirimkan informasi pengaturan ulang kata sandi.
  • Jika memungkinkan, pengaturan ulang kata sandi harus bersifat sementara-pengaturan ulang kata sandi hanya boleh aktif selama durasi yang telah ditentukan. Jika pengguna akhir tidak mengakses akun lagi dalam jangka waktu yang telah ditentukan, penguncian akun akan terjadi.

Mengubah kata sandi sesering mungkin merupakan praktik keamanan terbaik untuk akun istimewa (bukan akun pribadi atau konsumen). Namun, mengatur ulang kata sandi dan mengirimkannya melalui media yang tidak aman bukanlah praktik keamanan. Bagi individu, pengaturan ulang kata sandi yang sederhana bisa menjadi pembeda antara pelaku ancaman yang memiliki akun Anda dan permintaan kata sandi yang sah.

3. Menguping

Penyadapan kata sandi mengacu pada kata sandi yang didengar secara lisan oleh pelaku ancaman. Penyadapan kata sandi bisa terjadi secara tidak sengaja atau disengaja dan dapat mencakup penyadapan berbasis suara dan digital untuk menangkap pengungkapan yang terdengar.

Mudah-mudahan tidak ada seorang pun dalam bisnis Anda yang meneriakkan kata sandi di seluruh kantor, tetapi beberapa organisasi masih menggunakan panggilan suara ke meja bantuan untuk mengatur ulang kata sandi. Selama panggilan meja bantuan ini, kata sandi yang diperbarui dapat diucapkan kepada pengguna. Sangatlah penting bahwa pengguna diminta untuk mengatur ulang kata sandi pada saat pertama kali masuk, setelah menggunakan kata sandi sementara dari meja bantuan. Langkah ini mengurangi risiko kata sandi, karena penyadap tidak dapat menggunakan kata sandi baru tanpa mengungkapkan aktivitas mereka.

Tentu saja, suara bukanlah satu-satunya cara kita "mengumumkan" kata sandi kita. Berapa banyak dari kita yang menggunakan keyboard Bluetooth yang mentransmisikan penekanan tombol melalui udara? Meskipun kita menganggap remeh keamanan transmisi, ada kemungkinan untuk mengorbankan beberapa jenis komunikasi Bluetooth.

Pada masa-masa awal komputasi, Anda harus terhubung secara fisik ke mesin yang Anda akses. Sistem yang Anda autentikasi juga berjalan secara lokal. Sekarang, kita secara teratur mengautentikasi ke dalam sistem di belahan dunia lain, dan semakin banyak, yang bahkan bukan sistem kita. Kata sandi kita dikirimkan secara elektronik melalui banyak sistem untuk mencapai tujuannya, dan jika tidak ada enkripsi yang tepat dan perlindungan lainnya, mungkin rentan terhadap penyadapan melalui penyadapan atau penangkapan paket nirkabel.

4. Berselancar di Atas Bahu (Shoulder Surfing)

Shoulder surfing memungkinkan pelaku ancaman untuk mendapatkan pengetahuan tentang kredensial melalui pengamatan. Ini termasuk mengamati kata sandi, pin, dan pola gesek saat dimasukkan, atau bahkan pena yang mencoret-coret kata sandi pada catatan tempel.
Konsepnya sederhana. Pelaku ancaman mengamati secara fisik atau menggunakan perangkat elektronik seperti kamera untuk mengumpulkan kata sandi dan menggunakannya untuk serangan. Inilah sebabnya, saat menggunakan ATM, disarankan untuk melindungi entri PIN Anda pada papan tombol. Hal ini mencegah pelaku ancaman terdekat untuk mengetahui PIN Anda.

5. Kata Sandi untuk Pembelian

Meskipun daftar kata sandi, tabel hash, dan tabel pelangi tersedia di web gelap, pengguna terkadang menjual kredensial perusahaan mereka sendiri sebagai bagian dari serangan orang dalam. Faktanya, orang dalam yang nakal dapat menjual kredensial dan mengklaim bahwa kredensial tersebut telah dibobol, memberikan mereka penyangkalan yang masuk akal. Ancaman orang dalam ini sangat mengkhawatirkan terutama bagi pengguna yang memiliki hak istimewa, yang kredensial mereka dapat memberikan akses ke aset perusahaan yang paling sensitif.
Cara yang paling efektif untuk mengatasi risiko kompromi kredensial istimewa adalah dengan menghapus akses langsung dan menerapkan manajemen akses istimewa (PAM ) untuk melindungi akun yang paling sensitif. Semua sesi yang berhubungan dengan akun yang sangat istimewa harus diarahkan melalui sistem yang memfasilitasi akses, tetapi tanpa mengungkapkan kredensial yang sebenarnya.

Serangan Berbasis Hash

Ketika penyerang berhasil mendapatkan akses ke sebuah sistem atau situs web, mereka sering kali ingin mencuri basis data yang berisi nama pengguna dan kata sandi untuk semua orang yang mengakses aplikasi tersebut. Meskipun kredensial tidak dapat dibaca oleh manusia, kredensial tersebut disimpan dalam bentuk hash. Mencuri basis data kata sandi memberikan setidaknya tiga manfaat besar terkait pencurian kata sandi:

  1. Penemuan kredensial pengguna yang sangat istimewa yang dapat digunakan untuk berinteraksi dengan sistem atau berkomunikasi dari mesin ke mesin ke sumber daya lain
  2. Harta karun kredensial yang kaya, mungkin digunakan di berbagai sistem untuk autentikasi dan otorisasi
  3. Basis data dapat diserang secara offline, tanpa memperhatikan kontrol apa pun terkait jumlah atau frekuensi upaya login

Saat ini, sudah tidak lazim menemukan sistem yang tidak menyandikan kata sandi pengguna. Penyerang akan menemukan daftar nilai dan bukan kata sandi teks. Ketika data telah disandikan dan bukan dienkripsi, tidak ada cara untuk mengubah bentuk yang disandikan menjadi nilai aslinya. Satu-satunya kesempatan penyerang adalah untuk membuka sandi dan mencoba untuk membuat versi kata sandi yang disandikan. Ini kemudian dapat dibandingkan dengan daftar yang dicuri. Proses penyandian ini disebut "hashing", dan kata sandi yang disandikan disebut "hash".
Mari kita lihat lebih dekat beberapa jenis serangan berbasis hash yang umum:

1. Serangan Pass-the-Hash

Pass-the-Hash (PtH ) adalah teknik yang memungkinkan penyerang untuk mengautentikasi sumber daya dengan menggunakan hash NT LAN Manager (NTLM) yang mendasari kata sandi pengguna, sebagai pengganti penggunaan kata sandi akun yang sebenarnya yang dapat dibaca oleh manusia. Setelah diperoleh, nama pengguna dan hash yang valid dapat digunakan untuk mengautentikasi ke server atau layanan jarak jauh menggunakan autentikasi LM atau NTLM.
Serangan PtH mengeksploitasi kelemahan implementasi pada protokol autentikasi. Hash kata sandi tetap statis untuk setiap sesi sampai kata sandi itu sendiri berubah. PtH dapat dilakukan terhadap hampir semua server atau layanan yang menerima autentikasi LM atau NTLM, termasuk Windows, Unix, Linux, atau sistem operasi lain.
Malware dapat mengikis memori untuk mencari hash kata sandi, membuat pengguna, aplikasi, layanan, atau proses yang sedang berjalan menjadi target potensial. Setelah diperoleh, ia menggunakan perintah dan kontrol atau otomatisasi lain untuk pergerakan lateral tambahan atau eksfiltrasi data.
Meskipun serangan PtH lebih umum terjadi pada sistem Windows, serangan ini juga dapat mengeksploitasi titik akhir Unix dan Linux. Sistem modern dapat bertahan dari serangan PtH dengan berbagai cara. Namun, mengubah kata sandi sesering mungkin atau menggunakan kata sandi sekali pakai (OTP ) merupakan pertahanan yang baik untuk menjaga hash tetap berbeda di antara sesi. Solusi manajemen kata sandi yang dapat merotasi kata sandi sesering mungkin atau menyesuaikan token keamanan adalah pertahanan yang efektif terhadap teknik ini.

2. Serangan Pass-the-Ticket

Dalam serangan Pass-the-Ticket, aktor ancaman mencuri tiket pemberian tiket Kerberos (TGT) untuk menyamar sebagai pengguna di jaringan. Jika berhasil, metode serangan ini memintas mekanisme autentikasi, memberikan penyerang akses yang tidak sah ke sumber daya.
Alat-alat seperti Mimikatz memungkinkan para pelaku ancaman untuk meluncurkan serangan pass-the-ticket yang bergerak melalui jaringan dengan menyalin tiket dari mesin pengguna akhir yang telah disusupi, atau dari server otorisasi yang telah didelegasikan.
Penjahat siber biasanya melancarkan serangan pass-the-ticket dengan salah satu dari dua cara:

  • Mencuri Ticket Granting Ticket atau Service Ticket dari mesin Windows dan menggunakan tiket yang dicuri untuk menyamar sebagai pengguna
  • Mencuri Ticket Granting Ticket atau Service Ticket dengan mengkompromikan server yang melakukan otorisasi atas nama pengguna

Dalam serangan Golden Ticket, penyerang mencoba mencuri hash akun KRBTGT pada pengontrol domain. Ini adalah akun yang digunakan oleh Kerberos untuk mengenkripsi Tiket Pemberian Tiket. Jika berhasil dalam serangan Golden Ticket, penyerang dapat membuat tiket tak terbatas, memberikan tingkat akses apa pun, dengan masa berlaku yang hampir tak terbatas.
Perlindungan terhadap ancaman pemberian tiket membutuhkan banyak kontrol. Manajemen akun dan sesi istimewa yang kuat (PASM) dapat menerapkan rotasi kata sandi yang sering dan menghilangkan kata sandi bersama. Pelapisan pada manajemen hak istimewa titik akhir (EPM ) dapat menerapkan hak istimewa paling sedikit untuk mengurangi jumlah login istimewa yang diizinkan dan untuk membatasi pergerakan lateral. Kemampuan deteksi dan respons ancaman identitas (ITDR ) dapat dengan cepat menunjukkan aktivitas anomali dan mengatur respons untuk mencegah atau membatasi kerusakan.

3. Serangan Kerberoasting

Seperti serangan pass-the-ticket, kerberoasting mengeksploitasi protokol otentikasi Kerberos. Dalam serangan kerberoasting, pelaku ancaman menargetkan akun layanan yang terkait dengan Service Principal Names (SPN), yang digunakan untuk mengidentifikasi secara unik setiap contoh layanan yang berjalan di sebuah sistem.
Untuk meluncurkan serangan, musuh meminta tiket Kerberos Ticket Granting Service (TGS) untuk akun layanan yang ditargetkan dari Key Distribution Center (KDC). Bekerja secara offline untuk membantu menghindari deteksi, penyerang mencoba untuk membobol kata sandi hash yang tersimpan di dalam tiket TGS. Jika kata sandi tersebut dibobol, penyerang berpotensi membahayakan seluruh jaringan melalui layanan yang disusupi.
Organisasi dapat secara efektif melindungi dari kerberoasting melalui setidaknya beberapa kontrol keamanan yang berbeda, terutama di seluruh manajemen akses istimewa (PAM) dan disiplin ITDR. Misalnya, memberlakukan kata sandi yang kuat, dan akun layanan orientasi untuk manajemen (kredensial bergilir, dll.) dan pemantauan dapat meningkatkan resistensi terhadap kerberoasting. ITDR dapat secara proaktif mengidentifikasi akun yang berpotensi rentan terhadap kerberoasting karena penggunaan sandi yang lemah, dan merekomendasikan mitigasi untuk memperkuat postur keamanan.

4. Serangan Tabel Pelangi

Cipher hashing sangat kompleks dan biasanya terkenal, yang berarti ada jumlah yang terbatas untuk dicoba. Ketersediaan terbatas dari cipher yang dapat diandalkan mengarah ke alat lain dalam gudang penyerang, tabel hash. Tabel hash adalah daftar kata sandi ter-hash yang telah dihitung sebelumnya dalam perbandingan sederhana terhadap data yang dicuri.
Sementara tabel hash akan menyimpan kata sandi dan hash untuk sandi tertentu, Tabel Pelangi menyimpan kata sandi dan hash untuk beberapa sandi. Mereka kemudian mengecilkan data ke tingkat yang lebih mudah dikelola - meskipun file-file tersebut masih relatif besar.
Pendekatan umum untuk mengalahkan tabel hash dan Serangan Tabel Pelangi adalah dengan "menggarami" hash. Ini menerapkan penyandian ekstra dan unik pada setiap kata sandi. Walaupun sandi tersebut sama, tanpa garam, tidak akan menghasilkan hash yang sama. Mengasinkan hash membuat tabel hash menjadi berlebihan. Menggunakan kata sandi yang panjang, rumit, unik, dan autentikasi multi-faktor juga memberikan perlindungan terhadap Serangan Tabel Pelangi dan tabel hash.

Contoh Perangkat Lunak Peretas Kata Sandi yang Umum

Beberapa contoh alat peretas kata sandi yang paling terkenal dan populer saat ini meliputi:

  • Kain dan Habel
  • John the Ripper
  • Hydra
  • Hashcat
  • Ophcrack

Beberapa alat khusus, seperti peretas kata sandi Wifi, peretas kata sandi Windows, dan lain-lain, dirancang untuk memecahkan jenis kata sandi tertentu.
Saat ini, perusahaan sering kali melibatkan peretas etis dan penguji penetrasi untuk meningkatkan ketahanan jaringan keamanan mereka. Selanjutnya, ketersediaan dan pengembangan perangkat lunak peretas telah meningkat baik untuk tujuan baik maupun jahat. Perangkat lunak forensik komputer modern dan perangkat lunak pendukung litigasi juga menyertakan fungsionalitas peretasan kata sandi untuk mendapatkan bukti. Perangkat lunak peretas yang paling canggih akan menggabungkan campuran strategi peretasan untuk memaksimalkan produktivitas dan efektivitas.

Praktik Kata Sandi yang Berisiko

Beberapa teknik pembobolan kata sandi mengandalkan kerentanan sistem atau mendapatkan akses ke akun yang memiliki hak istimewa untuk mencapai pergerakan lateral dan mengumpulkan kata sandi lainnya. Namun, sebagian besar pembobolan bergantung pada kebersihan kata sandi yang tidak memadai, keamanan identitas yang buruk, dan tidak adanya manajemen kredensial yang tepat dan alat identitas.
Mari kita lihat beberapa praktik yang membuat peretasan kata sandi menjadi latihan peretasan yang mudah.

1. Kata Sandi yang Umum dan Sering Digunakan

Manusia adalah makhluk yang memiliki kebiasaan. Ini berarti ada beberapa kata tertentu yang lebih sering digunakan sebagai kata sandi daripada kata sandi lainnya.
Ketika Game of Thrones pertama kali ditayangkan, "naga" dengan cepat menjadi salah satu kata sandi yang paling sering digunakan. Orang-orang sering menggunakan nama-nama hewan peliharaan, anak-anak, pasangan, dan jalan, serta tanggal lahir mereka.
Situs media sosial secara teratur mendorong orang untuk membagikan nama hewan peliharaan favorit mereka atau berbagi detail dari masa kecil mereka. Mekanisme brilian untuk membantu membuat daftar kata sandi prediktif yang digunakan dalam serangan!
Setiap tahun, daftar mengungkapkan kata sandi yang paling sering digunakan, dan kata sandi tertentu setiap tahun muncul kembali. Berikut ini adalah daftar sepuluh besar (miliktim Investigasi CyberNews) per November 2023:

  1. 123456
  2. 123456789
  3. qwerty
  4. kata sandi
  5. 12345
  6. qwerty123
  7. 1q2w3e
  8. 12345678
  9. 111111
  10. 1234567890

Pusat Keamanan Siber Nasional Inggris menerbitkan daftar 100 ribu kata sandi yang paling sering digunakan. Daftar ini dikumpulkan dari data padasitus web'Have I Been Pwned' milik Troy Hunt. Troy mengumpulkan kredensial yang terungkap dalam serangan yang berhasil ke dalam basis data yang dapat dicari. Ini sekarang berisi informasi lebih dari 11 miliar akun. Itu lebih dari satu akun per orang di planet ini! Kedua sumber daya ini sangat menarik perhatian, dan ada baiknya Anda memeriksa kredensial Anda dari waktu ke waktu.
Hanya ada sedikit imajinasi di antara kata sandi yang paling umum, dan itu akan menjadi kata sandi pertama yang dicoba oleh penyerang terhadap akun Anda.

2. Kredensial Tersemat

Kredensial yang disematkan (juga disebut 'kredensial yang dikodekan dengan keras') mengacu pada kredensial berbasis teks yang tidak terenkripsi yang disisipkan di dalam kode. Kredensial yang disematkan dapat berupa:

  • Datang sebagai bawaan pabrik, seperti untuk perangkat IoT atau penggunaan pertama kali sebuah aplikasi
  • Disematkan ke dalam kode oleh manusia, seperti dengan alat DevOps atau repositori data
  • Disematkan dalam aplikasi dan digunakan untuk transmisi aplikasi-ke-aplikasi

Keberadaan kredensial yang disematkan menghadirkan beberapa risiko. Terkadang, kredensial disematkan selama pengembangan untuk memudahkan akses, kemudian dilupakan dan diterbitkan ke dalam produksi. Potongan kode dapat dibagikan di GitHub atau platform lain untuk kolaborasi, tetapi dengan kata sandi sensitif yang disematkan di dalamnya. Jika penyerang mendapatkan akses ke titik akhir atau sistem, mereka mungkin dapat memindai kata sandi teks biasa. Hal ini dapat memberi mereka akses ke aset sensitif melalui rahasia yang disematkan.
Kata sandi standar yang sudah dikodekan digunakan di banyak perangkat, aplikasi, dan sistem yang sama. Hal ini membantu menyederhanakan penyiapan dalam skala besar, tetapi berisiko memberikan potensi pembobolan dalam skala besar.
Banyak jenis kredensial yang disematkan (seperti yang ada di dalam IoT) sulit atau tidak mungkin dihapus atau diganti secara manual, dan biasanya membutuhkan pembaruan keamanan vendor untuk memulihkan atau menggunakan alat PAM khusus.

3. Kredensial Default

Kredensial default hanyalah preset dari pabrik. Mereka sering disematkan ke dalam perangkat dan aplikasi. Sering kali, kredensial default ini digunakan bersama di seluruh perangkat yang serupa. Default ini mungkin sudah diketahui oleh pelaku ancaman. Perangkat, sistem, dan akun dengan kredensial default rentan terhadap kamus, brute force, dan berbagai jenis serangan lainnya. Jika sebuah organisasi memiliki banyak titik akhir yang semuanya memiliki pengaturan awal yang sama dan tidak berubah, semua titik akhir tersebut dapat dengan mudah disusupi secara massal.
Dalam beberapa tahun terakhir, undang-undang telah disahkan untuk mengamanatkan penguatan keamanan yang lebih baik untuk perangkat IoT, termasuk memastikan bahwa kata sandi bersifat unik pada saat pengaturan ulang atau untuk konfigurasi awal. Meskipun praktik kata sandi ini dapat mengurangi serangan secara massal, kredensial default sering kali tersedia secara fisik di perangkat dalam bentuk teks yang jelas atau melalui kode QR. Hal ini menyiratkan bahwa keamanan fisik sama pentingnya dengan keamanan digital untuk kredensial default dan pengaturan ulang perangkat.

4. Pertanyaan Keamanan yang Digunakan Kembali

Pertanyaan keamanan adalah teknik yang terutama digunakan oleh lembaga keuangan dan pedagang untuk memverifikasi pengguna terhadap akun mereka dan memberikan kepercayaan identitas. Konsepnya adalah mengajukan pertanyaan kepada pengguna, menantang pengguna untuk merespons informasi pribadi dan pribadi yang hanya diketahui oleh pengguna.
Pertanyaan keamanan sering kali diperlukan saat Anda membuat akun baru. Ini adalah bentuk autentikasi dua faktor untuk digunakan jika kata sandi terlupa. Pengguna akhir mungkin akan menerima perintah untuk menjawab pertanyaan keamanan saat masuk dari lokasi baru. Mereka juga mungkin akan diminta ketika memilih "lupa kata sandi" atau ketika mengubah kata sandi.
Beberapa pertanyaan keamanan yang umum meliputi:

  • Di rumah sakit mana Anda dilahirkan?
  • Apa nama hewan peliharaan favorit Anda?
  • Apa merek mobil pertama Anda?
  • Apa makanan favorit Anda?
  • Apa nama panggilan masa kecil Anda?
  • Apa tim favorit Anda?

Namun, pertanyaan-pertanyaan keamanan ini sendiri memiliki risiko. Jawaban dari beberapa pertanyaan ini dapat dengan mudah ditemukan melalui catatan publik, atau media sosial. Semakin banyak tempat dan orang yang mengetahui jawaban pertanyaan keamanan pengguna, semakin besar kemungkinan pertanyaan tersebut dapat dijawab oleh orang lain. Ketika pertanyaan keamanan dan jawabannya dicuri dalam sebuah pelanggaran, pertanyaan tersebut dapat digunakan untuk membobol akun lain.
Ketika sebuah sumber meminta Anda untuk menggunakan pertanyaan keamanan, rekomendasi kami adalah menggunakan pertanyaan dan jawaban yang paling tidak jelas. Jangan pernah membagikan informasi serupa dengan situs lain yang menggunakan pertanyaan keamanan yang sama. Dan jika memungkinkan, gunakan persyaratan kerumitan dari kata sandi untuk memberikan jawaban pertanyaan keamanan. Sebagai contoh, jika Anda lahir di Orlando, berikan jawaban pertanyaan keamanan "Orl@nd0" dan perlakukan jawaban tersebut sebagai kata sandi juga.

5. Kurangnya Pengelola Kata Sandi Otomatis

Praktik kata sandi apa pun yang bergantung terutama atau sepenuhnya pada manusia untuk mengelola kredensial dan mempertahankan praktik terbaik memiliki risiko. Banyaknya kata sandi pribadi, apalagi kata sandi akun perusahaan, terlalu banyak untuk dikelola dan diingat oleh manusia biasa.
Mengandalkan manusia adalah jaminan bahwa kata sandi akan digunakan kembali, dan kata sandi kamus juga akan digunakan. Kata sandi akan disematkan dalam kode untuk memudahkan akses. Jalan pintas lain yang berisiko akan diambil-ini adalah sifat alamiah manusia.
Oleh karena itu, pertimbangkan metode yang aman untuk membuat, menyimpan, dan mengambil semua kata sandi.

Praktik Terbaik Keamanan Kata Sandi

1. Gunakan Pengelola Kata Sandi & Brankas - Bukan Manusia

Sedapat mungkin, andalkan pengelola kata sandi otomatis daripada pengelolaan kata sandi manual oleh manusia. Jangan menyimpan kata sandi dalam spreadsheet, dokumen kata, disematkan dalam kode, atau di atas kertas. Pengelola kata sandi dapat memastikan manajemen kata sandi dan praktik terbaik keamanan diterapkan secara konsisten. Alat-alat ini dapat menyuntikkan kredensial yang tersimpan secara otomatis untuk memulai sebuah sesi. Kredensial disamarkan dari pengguna, seperti vendor, untuk memberikan keamanan tambahan.

Pengelola Kata Sandi Pribadi dapat dimanfaatkan untuk kata sandi standar dan akses akun. Solusi Manajemen Kata Sandi Khusus (juga disebut sebagai Manajemen Kata Sandi Perusahaan atau Manajemen Akun dan Sesi Khusus) harus digunakan untuk kredensial khusus. Kredensial tersebut meliputi kata sandi, kunci SSH, dan rahasia DevOps untuk karyawan, vendor, manusia, aplikasi, dan mesin. Solusi perusahaan ini merupakan bagian dari platform manajemen akses istimewa (PAM), dan juga penting untuk memungkinkan postur keamanan tanpa kepercayaan. Semakin banyak, platform ini juga mengamankan kata sandi tenaga kerja umum yang digunakan untuk aplikasi. Hal ini mencerminkan garis yang kabur antara identitas yang tidak diistimewakan dan yang diistimewakan. Misalnya, akun cloud dapat memiliki banyak jenis izin dan hak, yang dapat memberikan pijakan utama bagi penyerang yang terampil untuk meningkatkan akses.
Solusi manajemen kata sandi perusahaan juga bisa mengotomatiskan alur kerja untuk mengurangi paparan. Ini termasuk secara otomatis merotasi kata sandi, jika ditentukan bahwa kredensial tersebut telah atau sedang berisiko dikompromikan.

2. Temukan dan Masukkan Semua Kata Sandi

Saat memberikan akses ke manusia, mesin, aplikasi, karyawan, atau vendor, semua kata sandi harus diketahui terlebih dahulu - baru kemudian dapat dimasukkan dan disimpan secara terpusat. Selain itu, semua aset yang menggunakan kata sandi terkelola harus diketahui dan didokumentasikan untuk mencegah akses yang tidak tepat.

3. Buat Kata Sandi yang Panjang, Acak, dan Unik

Kata sandi yang kuat dapat mencegah upaya pembobolan kata sandi. Kata sandi harus terdiri dari lebih dari delapan karakter dan terdiri dari huruf besar dan kecil, angka, dan simbol. Hindari penggunaan kata-kata kamus, nama, dan kata sandi lain yang mudah dibaca manusia. Panjang dan kekuatannya harus mencerminkan sensitivitas akun yang ingin dilindungi oleh kata sandi tersebut. Menurut Publikasi Khusus NIST 800-63, Panduan Identitas Digital, praktik terbaik adalah membuat kata sandi hingga 64 karakter, termasuk spasi.

4. Enkripsi kata sandi

Enkripsi menambahkan lapisan perlindungan untuk kata sandi, bahkan jika kata sandi tersebut dicuri oleh penjahat siber. Terapkan enkripsi ujung ke ujung yang tidak dapat dibalikkan ke semua jalur komunikasi jaringan. Dengan cara ini, Anda dapat melindungi kata sandi saat transit melalui jaringan. Cara yang paling umum untuk memastikan perlindungan ini bagi konsumen adalah dengan menyediakan enkripsi WiFi untuk akses nirkabel jaringan rumah Anda.

5. Gunakan Kata Sandi Unik, Tanpa Menggunakan Ulang

Praktik terbaik yang sederhana ini melindungi dari beragam strategi penggunaan ulang kata sandi dan alat peretas kata sandi. Jika tidak, jika satu akun dibobol, akun lain dengan kredensial yang sama dapat dengan mudah disusupi.

6. Menerapkan Praktik Terbaik Kedaluwarsa dan Rotasi Kata Sandi

Di sini praktik terbaiknya berbeda-beda, tergantung pada apakah kata sandi itu untuk penggunaan pribadi dan/atau akun standar atau untuk akses istimewa. NIST menyarankan untuk menghindari mengubah kata sandi pribadi, kecuali jika kompromi mereka dipertanyakan. Di sisi lain, kata sandi yang memiliki hak istimewa, harus diubah secara rutin (dirotasi). Akun-akun istimewa yang paling sensitif sebaiknya menggunakan kata sandi sekali pakai (OTP) atau rahasia dinamis, yang akan kedaluwarsa setelah digunakan.

7. Menerapkan Autentikasi Multi-Faktor

Untuk setiap akun, dan terutama untuk akun istimewa dan akses vendor/remote, autentikasi faktor tunggal (pasangan kata sandi/username) tidak cukup. Menambahkan faktor otentikasi tambahan secara substantif memperkuat perlindungan dan meningkatkan jaminan bahwa identitas yang mencoba memulai akses adalah orang yang mereka katakan.
Otentikasi multi-faktor (MFA), dengan menggabungkan faktor-faktor seperti titik akhir atau biometrik, aplikasi pengautentikasi, melindungi akun dari alat peretas kata sandi dan serangan tebak-tebakan dengan membutuhkan langkah ekstra untuk memberikan keyakinan identitas untuk otentikasi. Dengan demikian, beberapa bentuk MFA, seperti FIDO2, lebih kuat daripada yang lain, seperti yang telah ditunjukkan oleh pelanggaran dalam beberapa tahun terakhir, seperti melalui serangan kelelahan MFA.

8. Menghentikan Kata Sandi Ketika Karyawan atau Vendor Telah Keluar

Tidak jarang mantan karyawan mencoba untuk terus mengakses sistem organisasi. Selalu cabut akses dan ubah kata sandi saat seorang karyawan keluar untuk semua sistem yang mungkin telah digunakan bersama. Hal ini tidak hanya melindungi dari serangan yang dilakukan oleh karyawan tersebut, tetapi juga dari pelaku ancaman lain yang mungkin menemukan akun dan kredensial yang ditinggalkan karena kesalahan dalam proses bergabung, pindah, dan keluar.

Tentukan & Atasi Kata Sandi Anda yang Paling Berbahaya dan Risiko Berbasis Identitas

Keamanan identitas perusahaan didasarkan pada penerapan praktik terbaik keamanan kata sandi secara konsisten. Namun, dengan menggunakan pendekatan manajemen risiko, organisasi harus memprioritaskan identitas dengan dampak tertinggi terlebih dahulu. Dengan banyaknya penyimpanan identitas, sistem, dan aplikasi SaaS yang berbeda (yang memerlukan puluhan ribu bidang hak istimewa, hak akses, dan izin), hal ini bukanlah hal yang mudah.

Wawasan Keamanan Identitas BeyondTrust yang inovatif dibuat khusus untuk mengatasi tantangan keamanan identitas inti ini. Organisasi mungkin memiliki campuran dari Active Directory, Entra ID, Okta, PingOne, AWS, Azure, Google Cloud, dan aplikasi SaaS yang membentuk struktur identitas mereka. Dengan Identity Security Insights, Anda dapat melindunginya secara kohesif sebagai SATU Permukaan Serangan Identitas. Produk ini merupakan alasan utama BeyondTrust baru-baru ini dinobatkan sebagai pemimpin oleh KuppingerCole dalam disiplin baru Deteksi dan Respons Ancaman Identitas (ITDR).
Produk ini membantu memastikan keamanan kata sandi dan postur identitas yang tepat dengan deteksi kerentanan identitas yang komprehensif, seperti:

  • Akun-akun yang tidak memiliki hak istimewa yang dapat mengambil hash kata sandi dari AD Domain Controller melalui serangan DCSync
  • Akun dengan alamat email pribadi
  • Izin, hak istimewa, dan hak yang berlebihan
  • Akun istimewa yang tidak dikelola
  • Akun istimewa yang tidak memiliki MFA
  • Akun nonprivileged dengan jalur serangan ke Admin Domain untuk AD lokal
  • Akun yang rentan terhadap Kerberoasting

Sumber: beyondtrust.com