Ancaman serangan terhadap password sangat tinggi, organisasi dan pengguna mereka harus menerapkan perilaku dan tindakan teknis yang tepat untuk mengurangi risiko ancaman tersebut. Tindakan cenderung melibatkan kedua hal, yaitu mencegah jebolnya password dan meminimalkan kerusakan pada saat terjadi. Sistem dan informasi yang berbeda dapat dikenai berbagai risiko, jadi mungkin memerlukan tindakan yang berbeda. Misalnya autentikasi dua faktor mungkin sesuai bagi peneliti dan administrator yang menangani informasi sensitif dan operator yang mengelola jaringan dan sistem utama meskipun dianggap terlalu mahal untuk penggunaan umum.
Authentikasi Two-Tahap
Sebagian besar serangan di dunia cyber akan jauh lebih sulit dilakukan jika password bukan satu-satunya yang dibutuhkan untuk login. Berbagai sistem dua tahap tersedia yang memerlukan tambahan pengukuran biometrik (misalnya sidik jari) atau kepemilikan perangkat tertentu (yang mungkin berkisar dari token khusus ke smartphone). Sistem dua tahap mungkin agak kurang nyaman untuk digunakan daripada password sederhana atau terbatas pada perangkat keras tertentu, jadi paling tepat untuk akun yang memiliki akses ke layanan atau informasi bernilai tinggi. Untuk tingkat keamanan ini, mereka mungkin lebih mudah digunakan daripada password statis yang sangat panjang dan kompleks.
Memproteksi File Password
Untuk memeriksa bahwa pengguna telah mengetikkan password yang benar, sistem harus memiliki referensi untuk memeriksa. Seorang penyerang yang bisa mendapatkan salinan file referensi ini dapat menjalankan program cracking terhadapnya dan hampir pasti akan berhasil menemukan password untuk beberapa akun pengguna. Oleh karena itu, file password harus menjadi salah satu informasi yang memperoleh perlindungan terbaik dalam sebuah yang sebuah organisasi, disimpan di mesin yang aman dengan akses terbatas dan, kecuali hal ini tidak mungkin dilakukan, hanya menyimpan hash daripada password sebenarnya. Pilihan algoritma hashing secara signifikan dapat mempengaruhi waktu untuk memecahkan file password - cobalah untuk menggunakan yang terkuat (lebih lambat) yang tersedia.
Federated authentication
Melaksanakan federated atau single sign on, menggunakan server otentikasi pusat, memiliki beberapa keuntungan keamanan. Ini mengurangi jumlah sistem yang memerlukan password untuk disimpan, dan juga harus memastikan bahwa protokol aman digunakan untuk mentransfernya melalui jaringan. Mengurangi jumlah password yang perlu diingat pengguna dan bisa membantu pengguna menggunakan frase password yang lebih kompleks dan aman. Namun karena kata kunci / frasa yang sama sekarang dapat memberi akses ke banyak sistem, akan lebih penting lagi untuk mengamankan server otentikasi pusat, dan agar pengguna berhati-hati terhadap serangan phishing atau serangan key logger.
Kompleksitas Password
Membuat password lebih kompleks meningkatkan kesulitan serangan yang mengandalkan brute force atau educated guess. Namun, tidak ada efek pada serangan yang me-reset password atau me-log saat pengguna memasukkannya. Penemuan tabel rainbow sebagai alternatif serangan brute force telah membuat password yang rumit bahkan rentan dalam beberapa menit jika terlalu pendek: Sebagian besar pihak berwenang sekarang merekomendasikan penggunaan passphrases atau urutan kata-kata acak untuk memastikan panjang yang cukup.
Password Lock-out
Pendekatan umum untuk mengurangi risiko usaha brute force untuk masuk ke akun adalah dengan mengunci akun atau meningkatkan penundaan antara upaya login saat terjadi kegagalan berulang. Ini bisa efektif dalam memperlambat serangan dan memberi waktu kepada responden untuk bereaksi terhadap alarm. Namun hal itu dapat menyebabkan masalah saat pengguna lupa memperbarui password yang tersimpan di browser atau perangkat jika retries otomatis memicu alarm lock-out..
Self-test Untuk Deteksi Masalah
Sejumlah program cracking password tersedia, jadi masuk akal bagi admin yang berwenang untuk menjalankannya terhadap file password organisasi sendiri. Ini harus direncanakan dengan hati-hati untuk meminimalkan risiko keamanan dan hukum bagi organisasi, staf dan informasinya: penguji hanya perlu mengetahui bahwa akun tertentu bisa di hack, bukan seperti password-nya. Latihan harus dirancang untuk membantu pengguna memilih dan mengingat password yang lebih baik, jika tidak, risiko mengurangi keamanan bukannya meningkatkan keamanan.
Detection/Containment
Bila password telah disusupi, pengguna yang tidak berwenang biasanya akan bersikap berbeda dari yang pengguna sebenarnya. Log saat akun digunakan, dan dari mana, dapat mengungkapkan indikasi awal bahwa itu terjadi. Mungkin juga untuk secara langsung mengidentifikasi penggunaan akun yang tidak sah.
Pola Penggunaan
Banyak akun akan menunjukkan pola yang cukup jelas saat mereka digunakan (kapan dan berapa hari dalam seminggu), dan dari mana pengguna masuk. Memang terkadang ini masalah kebijakan: akses terhadap informasi sensitif mungkin hanya diizinkan di lokasi dan waktu yang ditentukan. Perubahan pada pola ini mungkin menunjukkan bahwa ada masalah dengan akun. Sayangnya, hal itu mungkin juga merupakan hasil dari kejadian yang sah, seperti pemilik akun sedang berlibur atau memiliki tenggat waktu untuk bertemu. Bahkan di dekat login simultan dari berbagai penjuru planet mungkin hanya menunjukkan bahwa pengguna mengalami masalah dengan pengaturan VPN mereka. Upaya login dari alamat IP dari alamat yang di blocklist hampir selalu menjadi pertanda buruk. Beberapa layanan online menggunakan sinyal seperti ini sebagai pemicu tindakan otorisasi yang disempurnakan: jika situs tersebut memiliki kecurigaan bahwa pengguna tersebut bukan mereka yang mengklaimnya maka mereka diminta memberikan bukti tambahan sebelum diberi akses.
Aktifitas Mencurigakan
Sebagian besar serangan terhadap akun universitas tampaknya ditujukan untuk menggunakan fasilitas e-mail universitas untuk phishing lebih banyak akun (sebuah e-mail yang menipu dari dalam universitas mungkin akan lebih meyakinkan), atau mengirim e-mail massal. Pemantauan spam atau phishing mail yang dikirim dari akun universitas seringkali dapat memberikan indikasi awal masalah; membatasi tingkat di mana akun dapat mengirim surat dapat membatasi kerusakan yang diakibatkan, walaupun menangani masalah yang sebenarnya juga mendesak.
Beberapa jenis penyerang mempublikasikan password, atau lebih sering lagi file password, yang bisa mereka dapatkan. Tujuannya tampaknya bisa mempermalukan organisasi yang keamanannya telah dilanggar, atau untuk mencari bantuan dalam memecahkan password hash. Pemantauan situs yang digunakan untuk publikasi dapat menjadi cara yang efektif untuk menemukan masalah. Sayangnya sebagian besar penggunaan situs ini sah dan tidak berbahaya, namun Janet CSIRT dan tim respons insiden lainnya telah mengembangkan alat pemantauan yang meningkatkan kemungkinan peringatan akan benar-benar menunjukkan adanya masalah.
Password Timeout
Metode yang terkadang diusulkan untuk membatasi dampak kompromi password adalah mengharuskan pengguna mengubahnya secara teratur. Batas waktu untuk usia password ditetapkan berdasarkan waktu yang dibutuhkan untuk menjebol menggunakan metode brute-force, namun karena penemuan tabel rainbow akan menyebabkan ketahanan password hanya dalam menit atau jam. Melindungi password yang di-hashed terhadap usaha penjebolan merupakan tindakan yang lebih baik untuk melawan ancaman ini. Jangka waktu terbatas mungkin masih membantu dengan menonaktifkan akun yang tidak terpakai jika prosedur pengelolaan akun gagal melakukannya, dan dengan memastikan bahwa perubahan pada kebijakan password atau teknologi dapat diselesaikan bila semua password lama telah kadaluarsa, namun ini mungkin menyiratkan batas waktu kadaluwarsa yang berbeda dari yang digunakan sebelumnya. Dan, seperti saran Pusat CyberSecurity National UK, persyaratan untuk mengubah password berisiko tinggi mendorong pengguna untuk menggunakan urutan password (misalnya dengan mengubah angka) yang meningkatkan kemungkinan serangan menebak password yang berhasil.
++++++++++ About Curator ++++++++++
Onno W. Purbo
Pakar IT Jaringan. Mantan Dosen. Penulis. Rakyat Indonesia biasa saja.