Apa itu Kebijakan Kata Sandi dan Bagaimana Cara Membuatnya?
Diterbitkan: 2023-01-26Kata sandi yang disusupi adalah alasan utama pelanggaran data. Faktanya, lebih dari 80% pelanggaran terkait peretasan disebabkan oleh masalah terkait kata sandi. Kebijakan kata sandi yang kuat dapat membantu memastikan semua orang di bisnis Anda menggunakan kata sandi yang kuat.
Jadi apa itu kebijakan kata sandi? Bagaimana Anda bisa membuat kebijakan kata sandi standar? Dan apa praktik terbaik kebijakan kata sandi? Mari cari tahu di bawah ini.
Apa Itu Kebijakan Kata Sandi?
Kebijakan kata sandi adalah seperangkat pedoman untuk membuat setiap orang di perusahaan membuat kata sandi yang kuat dan menggunakannya dengan benar untuk meningkatkan keamanan komputer dan keamanan online.
Kebijakan kata sandi standar mencakup apa yang perlu dipertimbangkan pengguna dan apa yang harus mereka hindari saat membuat, mengubah, menyimpan, atau membagikan kata sandi.
Misalnya, kebijakan kata sandi Anda dapat menentukan bahwa pengguna harus membuat kata sandi yang lebih panjang, termasuk sejumlah karakter khusus.
Bergantung pada kebutuhan organisasi Anda, Anda dapat menjadikan kebijakan kata sandi sebagai penasihat atau wajib.
Mengapa Kebijakan Kata Sandi Penting?
Kebijakan kata sandi dapat membantu Anda menerapkan praktik penggunaan kata sandi yang kuat dan unik dalam bisnis Anda untuk meningkatkan keamanan kata sandi.
Berikut adalah alasan utama mengapa menerapkan kebijakan keamanan kata sandi yang kuat sangat penting untuk bisnis Anda:
- Penggunaan kembali kata sandi adalah kesalahan keamanan. Kebijakan kata sandi dapat dengan cepat mengesampingkan praktik penggunaan ulang kata sandi
- Kebijakan kata sandi yang kuat dengan klausul otentikasi multi-faktor membantu Anda meminimalkan berbagai risiko keamanan
- Semua orang di perusahaan Anda akan mulai membuat kata sandi yang rumit dan menyimpannya dengan aman. Akibatnya, kata sandi Anda akan aman dari serangan brute force dan serangan terkait kata sandi lainnya
- Kebijakan kata sandi yang kuat memberi sinyal kepada pelanggan dan vendor Anda bahwa Anda mengambil tindakan tegas untuk melindungi kata sandi. Ini dapat membantu membangun kepercayaan dengan mereka
Last but not least, kebijakan kata sandi menumbuhkan budaya keamanan siber yang sangat penting di dunia saat ini, karena bisnis kecil semakin menjadi sasaran berbagai jenis serangan keamanan siber.
Cara Membuat Kebijakan Kata Sandi Standar
Berikut ini adalah proses langkah demi langkah untuk membuat kebijakan kata sandi yang kuat:
1. Tetapkan Persyaratan Kerumitan Kata Sandi
Administrator sistem atau departemen TI harus menetapkan pedoman kerumitan kata sandi untuk memastikan pembuatan kata sandi yang kuat.
Berikut adalah persyaratan kata sandi penting untuk disertakan dalam kebijakan kata sandi Anda untuk membantu pengguna menghindari pembuatan kata sandi yang lemah:
- Kata sandi harus setidaknya sepuluh karakter (Lebih panjang lebih baik)
- Pengguna harus menyertakan huruf besar, huruf kecil, dan karakter khusus dalam kata sandi
- Memasukkan kata yang salah eja adalah taktik yang bagus untuk membuat kata sandi yang rumit
Serangan brute force dan serangan kamus dapat memecahkan kata sandi sederhana. Jadi kebijakan kata sandi Anda harus memiliki persyaratan kompleksitas untuk mendorong pengguna membuat kata sandi anti-peretas.
2. Buat Daftar Penolakan Kata Sandi
Selain mengetahui apa yang harus dilakukan pengguna, kebijakan kata sandi Anda juga harus menyatakan hal-hal yang harus dihindari pengguna saat membuat kata sandi.
Daftar penolakan kata sandi dapat mencakup hal berikut:
- Informasi terkait orang seperti nama, tanggal lahir, tempat lahir, jabatan, dll.
- Nomor telepon, nomor rumah, atau nomor jalan
- Nama pasangan, anak, atau orang yang dicintai
- Menggunakan kembali kata sandi yang sama di banyak akun
Sebagai aturan praktis, daftar tolak kebijakan kata sandi Anda harus menyertakan segala jenis informasi pribadi atau pola sederhana (seperti QWERTY hingga 123456).
3. Tetapkan Periode Kedaluwarsa Kata Sandi
Gagasan utama di balik pengaturan periode kedaluwarsa kata sandi adalah bahwa peretas tidak akan tahu apakah kata sandi yang mereka temukan di pelanggaran data lama akan berfungsi.
Misalnya, kata sandi Anda diungkapkan dalam insiden pelanggaran data dua bulan lalu. Dan Anda mengubah kata sandi Anda setiap bulan. Peretas tidak akan bisa mendapatkan akses ke akun Anda menggunakan kata sandi yang bocor itu.
Idealnya, periode kedaluwarsa kata sandi harus diatur menjadi tiga bulan. Namun periode ini bisa Anda sesuaikan, tergantung kebutuhan bisnis Anda. Selain itu, Anda harus memastikan bahwa karyawan Anda tidak menggunakan kembali kata sandi yang sama untuk akun lain.
4. Terapkan Otentikasi Multi-faktor
Otentikasi multi-faktor (MFA) dapat meningkatkan keamanan akun di bisnis Anda. Ini karena peretas tidak akan dapat memperoleh akses ke akun meskipun mereka mendapatkan info masuk dan kata sandi untuk akun tersebut.
Oleh karena itu, kebijakan sandi Anda harus mewajibkan pengguna menerapkan MFA untuk semua akun yang mengizinkan fitur ini.
5. Sertakan Ambang Penguncian Akun
Ambang batas penguncian akun memungkinkan akun pengguna dikunci setelah sejumlah upaya masuk yang gagal. Fitur ini melindungi akun Anda dari serangan Brute Force dan serangan kamus.
Idealnya, Anda dapat menyetel ambang batas penguncian akun menjadi lima upaya login yang gagal. Ini termasuk menerapkan periode penguncian akun selama 15 menit.
6. Memiliki Panduan Cara Menyimpan Password
Tahukah Anda bahwa 55 persen karyawan menyimpan kata sandi di catatan tempel? Cara karyawan Anda menyimpan kata sandi memengaruhi keamanan kata sandi.
Menyimpan kata sandi di email, aplikasi catatan di ponsel, catatan kertas, dan dokumen di komputer adalah praktik yang buruk. Dan hal itu melemahkan keamanan kata sandi, meskipun kata sandinya panjang dan rumit.
Oleh karena itu, kebijakan keamanan kata sandi Anda harus menyertakan pedoman yang jelas untuk menyimpan kata sandi dengan aman. Dan salah satu cara untuk melakukannya adalah dengan menggunakan pengelola kata sandi, yang membuat kata sandi Anda dienkripsi dan disimpan dengan aman di belakang kata sandi utama.
Meskipun sebagian besar browser saat ini memiliki fitur untuk menyimpan kata sandi, menggunakan pengelola kata sandi untuk menyimpan kata sandi adalah opsi yang lebih aman. Pengelola kata sandi juga menawarkan cara aman untuk berbagi kata sandi di antara pengguna yang berbeda.
7. Tetapkan Konsekuensi bagi Pelanggar Kebijakan
Anda telah membuat kebijakan keamanan kata sandi untuk mengamankan komputer dan akun online. Jadi setiap orang harus mengikutinya secara religius. Menetapkan beberapa konsekuensi bagi mereka yang sering melanggar kebijakan dapat menjadi ide yang baik untuk mendorong semua pengguna mematuhi kebijakan kata sandi,
Namun, Anda harus menemukan cara kreatif untuk membuat pelanggar kebijakan kata sandi merasa telah melakukan kesalahan. Hukuman keras apa pun dapat mengubahnya menjadi ancaman dari dalam.
Berikan lebih banyak sesi pelatihan kesadaran kepada pelanggar kebijakan, dan dorong mereka untuk mengikuti kebijakan kata sandi. Tetapi jika seseorang berulang kali melakukan kesalahan meskipun sudah banyak peringatan, membiarkan mereka pergi bisa menjadi pilihan terbaik, karena mereka mempertaruhkan bisnis Anda.
8. Perbarui Kebijakan Kata Sandi Anda Secara Rutin
Kebijakan kata sandi Anda seharusnya tidak menjadi sesuatu yang ditetapkan. Sebagai gantinya, Anda harus meninjau kebijakan kata sandi Anda dari waktu ke waktu dan memeriksa apakah berhasil:
- Memastikan bahwa pengguna membuat kata sandi yang panjang dan rumit
- Mencegah pengguna membuat kata sandi baru yang mudah diretas
- Mendorong pengguna untuk sering mengganti kata sandi, seperti yang direkomendasikan dalam kebijakan
- Mencegah pengguna menggunakan kata sandi yang sama untuk banyak akun
Menyesuaikan kebijakan kata sandi Anda sejalan dengan pengamatan yang dilakukan dalam audit kata sandi reguler membantu Anda membuat kebijakan kata sandi yang kuat untuk meningkatkan keamanan kata sandi dalam bisnis Anda.
Praktik Terbaik Kebijakan Kata Sandi
Berikut ini adalah praktik terbaik untuk memaksimalkan keberhasilan kebijakan kata sandi Anda:
1. Memiliki Kebijakan Kata Sandi yang Mudah Diakses
Buku panduan kebijakan harus ditata sedemikian rupa sehingga pengguna dapat dengan mudah menelusuri berbagai bagian seperti pembuatan kata sandi dan penyimpanan kata sandi.
Persiapkan hard copy dan soft copy kebijakan kata sandi Anda untuk memastikan pengguna dapat mengaksesnya sesuai keinginan mereka.
2. Mengadopsi Sistem Manajemen Kata Sandi
Menyertakan penggunaan wajib pengelola kata sandi dalam kebijakan Anda dapat sangat memperkuat keamanan kata sandi. Bagaimana?
Karyawan perlu membuat banyak kata sandi hari ini. Dan membuat kata sandi unik untuk setiap akun bisa menjadi masalah bagi banyak pengguna. Pengelola kata sandi dapat membuat kata sandi yang sulit dipecahkan secara instan dan menyimpan banyak kata sandi dengan aman.
3. Larang Berbagi Kata Sandi yang Tidak Aman
Berbagi kata sandi di antara pengguna adalah praktik umum dalam lingkungan bisnis saat ini ketika banyak karyawan mengerjakan satu proyek.
Untuk meningkatkan keamanan kata sandi, Anda harus memastikan tidak ada yang membagikan kata sandi melalui pesan teks, email, atau pesan instan. Berbagi kata sandi yang aman adalah suatu keharusan untuk meningkatkan keamanan kata sandi. Semua pengelola kata sandi terkenal memungkinkan pengguna berbagi kata sandi dengan aman.
4. Terapkan Waktu Login
Karyawan hanya boleh masuk ke akun dan sistem saat menggunakannya. Menjaga akun dan sistem tetap masuk saat tidak ada yang menggunakannya adalah praktik keamanan siber yang buruk. Dan kebijakan kata sandi harus dengan tegas melarang praktik ini.
5. Lakukan Audit Kata Sandi Biasa
Tetapkan audit kata sandi sebagai praktik rutin untuk memeriksa keefektifan kebijakan kata sandi Anda. Ini akan membantu Anda mengetahui area peningkatan dalam kebijakan kata sandi Anda untuk memaksimalkan keberhasilannya.
Apa Panduan Kata Sandi NIST?
Pedoman NIST penting untuk kata sandi termasuk tetapi tidak terbatas pada membuat setidaknya delapan karakter kata sandi panjang, menekankan panjang lebih dari kerumitan, mengaktifkan pengaturan 'tampilkan kata sandi', menerapkan otentikasi dua faktor atau multi-faktor, dan menghindari perubahan kata sandi yang sering.
Apakah Kata Sandi Kompleks Sama Pentingnya dengan Panjang Kata Sandi Minimum?
Kompleksitas dan panjang kata sandi diperlukan untuk membuat kata sandi yang sulit diretas. Tetapi memilih kata sandi yang lebih rumit daripada kata sandi yang lebih panjang membuat pengguna sulit mengingat kata sandi. Memaksimalkan panjang dan kerumitan direkomendasikan jika perusahaan menggunakan aplikasi pengelola kata sandi.
Seberapa Sering Kata Sandi Harus Diubah?
Sebagian besar pakar keamanan siber merekomendasikan agar kata sandi diubah setiap tiga bulan. Semua pengelola kata sandi yang baik sering kali memiliki fitur yang memberi tahu jika kata sandi yang disimpan ditemukan dalam insiden pelanggaran data apa pun. Anda harus segera mengubah kata sandi jika terkena pelanggaran data apa pun.
Haruskah Bisnis Kecil Menggunakan Pengelola Kata Sandi?
Ya, usaha kecil harus menggunakan pengelola kata sandi. Aplikasi pengelola kata sandi dapat membantu karyawan Anda membuat kata sandi yang kompleks, menyimpan kata sandi dengan aman, dan membagikan kata sandi dengan aman. Penggunaan pengelola kata sandi menawarkan perlindungan kata sandi yang andal.
Apa Kebijakan Kata Sandi yang Ideal?
Kebijakan kata sandi yang ideal menekankan pada pembuatan kata sandi yang sulit dipecahkan, menyimpan kata sandi dengan aman, dan menggunakan kata sandi yang berbeda untuk akun yang berbeda. Ini juga menekankan sering mengubah kata sandi lama.
ANDA MUNGKIN JUGA MENYUKAI:
- Berbagi Password WiFi Bisnis Gak Harus Susah, Pakai QR Code Seperti Ini
Gambar: Elemen Envato