Seperti yang sudah Anda ketahui, Microsoft telah mengubah panduan kebijakan kedaluwarsa kata sandi. Pada Mei 2019, mereka memposting
posting blog yang menjelaskan keputusan tersebut.
Pakar keamanan dunia maya tahu bahwa rata-rata orang memiliki kata sandi yang nyaman untuk dimasukkan dan karenanya mudah diambil di komputer. Pada saat yang sama, kebutuhan untuk mengubahnya sekali setiap beberapa bulan tidak mengubah fakta bahwa kata sandi seperti itu mudah diambil. Kekuatan komputer modern memungkinkan Anda secara brutal memaksa kata sandi 8 karakter alfanumerik dalam beberapa jam. Mengubah satu atau dua dari delapan karakter tidak akan membuat tugas lebih sulit.
Banyak waktu telah berlalu sejak rilis rekomendasi Microsoft, dan sekarang saatnya untuk menarik kesimpulan, apakah layak untuk sepenuhnya menghilangkan kedaluwarsa kata sandi? Padahal, tidak sesederhana itu.
Kebijakan kedaluwarsa kata sandi hanyalah salah satu batu bata di dinding keamanan siber. Jangan mendapatkan salah satu bata tembok jika Anda tidak memiliki metode perlindungan lain untuk mengimbangi tindakan ini. Oleh karena itu, lebih baik fokus pada faktor risiko terbesar dalam organisasi dan menyusun strategi keamanan siber sedemikian rupa untuk menguranginya.
Mengapa menyingkirkan kebijakan kedaluwarsa kata sandi?
Argumen Microsoft tentang masalah ini adalah bahwa kebijakan kadaluwarsa kata sandi bernilai kecil dalam hal keamanan informasi. Akibatnya, mereka tidak lagi merekomendasikan penggunaannya dan mengeluarkan elemen ini dari struktur tingkat keamanan cybersecurity dari Microsoft.
Tetapi Microsoft tidak meminta untuk segera menonaktifkan semua kebijakan kata sandi Anda. Mereka hanya memberi tahu Anda bahwa strategi keamanan Anda membutuhkan lebih dari sekedar berakhirnya kata sandi.
Haruskah saya menghapus kebijakan kata sandi?
Sebagian besar organisasi harus membiarkan kebijakan kedaluwarsa kata sandi tidak berubah. Pikirkan pertanyaan sederhana berikut: apa yang terjadi jika kata sandi dicuri dari pengguna?
Kebijakan kata sandi membantu mengurangi tekanan penyerang dengan memblokir saluran akses vital mereka di dalam jaringan. Semakin pendek kata sandi, semakin sedikit waktu yang tersisa untuk kompromi sistem dan data keluaran (kecuali jika penyerang menggunakan titik masuk lain). Microsoft percaya bahwa semua kebijakan yang sama, yang awalnya ditujukan untuk menghilangkan kata sandi yang dikompromikan dari rotasi, sebenarnya hanya mendorong praktik buruk - misalnya, penggunaan kembali dan iterasi yang lemah (vesna2019, leto2019, zima2019) kata sandi, lembar contekan pada monitor, dll.
Dengan kata lain, Microsoft percaya bahwa risiko praktik kata sandi yang buruk sebenarnya lebih tinggi daripada manfaat menerapkan kebijakan kedaluwarsa. Kami di Varonis sebagian setuju dengan ini, tetapi sebenarnya ada kesalahpahaman yang kuat tentang apa yang perlu disiapkan perusahaan untuk menolak kebijakan tersebut.
Perubahan ini sangat meningkatkan kegunaan pengguna dan mudah diimplementasikan, tetapi pada akhirnya ada peluang untuk hanya meningkatkan risiko secara keseluruhan jika Anda tidak mengikuti praktik terbaik lainnya di industri, seperti:
- frasa rahasia : memaksa panjang (16 karakter atau lebih) dan kata sandi yang rumit meningkatkan kesulitan untuk menghancurkannya. Standar lama minimal 8 karakter dipecahkan dalam beberapa jam pada PC modern.
- model akses minimum yang diperlukan : di dunia di mana keteguhan tidak pernah dilanggar, sangat penting untuk mengetahui bahwa pengguna hanya memiliki akses ke jumlah data minimum yang diperlukan.
- pelacakan perilaku : Anda harus dapat mendeteksi kompromi akun berdasarkan penyimpangan dari login normal dan penggunaan data non-standar. Hanya menganalisis statistik dalam hal ini tidak akan membantu.
- otentikasi multi-faktor : meskipun penyerang mengetahui nama pengguna dan kata sandi, otentikasi multi-faktor merupakan kendala serius bagi penyerang rata-rata.
Apakah kata sandi akhirnya mati?
Itu pertanyaan utamanya, bukan?
Ada beberapa teknologi yang berusaha mengganti kata sandi sebagai protokol otentikasi de facto. FIDO2 menyimpan kredensial pada perangkat fisik. Biometrik, meskipun ragu tentang "keunikan tetapi kurangnya privasi," juga merupakan pilihan potensial.
Paradigma baru adalah untuk mencari metode otentikasi yang tidak dapat secara tidak
sengaja dikirimkan atau mudah dicuri . Namun sejauh ini, teknologi seperti itu belum membuat jalan mereka dari perusahaan
sektor dalam arus utama. Sampai saat itu, Varonis merekomendasikan untuk membiarkan kebijakan kedaluwarsa kata sandi Anda tidak berubah, dan menganggap ketidaknyamanan pengguna sebagai kecil demi kebaikan bersama.
Bagaimana Varonis membantu melindungi terhadap pencurian identitas
Varonis memberikan perlindungan tambahan untuk meningkatkan kebijakan kata sandi Anda. Kami melacak aktivitas file, peristiwa di
Active Directory ,
telemetri perimeter , dan sumber daya lainnya untuk membangun model dasar perilaku pengguna. Kemudian kami membandingkannya dengan perilaku saat ini berdasarkan
model ancaman bawaan untuk memahami apakah akun dikompromikan.
Dasbor Direktori Aktif menampilkan akun yang berisiko dikompromikan, seperti akun layanan dengan hak administratif, kata sandi tanpa tanggal kedaluwarsa, atau tidak ada kepatuhan dengan persyaratan yang ditentukan dalam kebijakan. Model ancaman juga mengungkapkan berbagai varian anomali login, seperti masuk pada waktu yang tidak standar, masuk dari perangkat baru, potensi kekuatan brutal atau serangan pemanenan tiket.
Sampai saat itu, lebih baik membiarkan kebijakan kedaluwarsa kata sandi Anda tetap berlaku.
Dan jika Anda ingin menyaksikan Varonis beraksi, daftarlah untuk
demonstrasi langsung serangan cyber kami . Kami akan menunjukkan cara melakukan serangan, dan menunjukkan cara mendeteksi dan menyelidiki insiden tersebut berdasarkan platform kami.