Praktik keamanan siber (cyber security) yang paling sederhana adalah dengan mengganti kata kunci, alias password secara berkala. Ini termasuk mengganti password email, media sosial, hingga mengganti akun beberapa tools untuk bekerja.
Selama beberapa dekade terakhir, pakar cyber security menyarankan agar pengguna internet mengganti password mereka setiap dua hingga tiga bulan.
Alasan utama untuk mengganti password dan informasi kredensial lainnya seperti pin dan passcode secara berkala adalah untuk membatasi jumlah waktu kredensial yang hilang, dicuri, atau dipalsukan dapat digunakan oleh orang lain.
Salah kaprah dalam praktik mengganti password
Praktik mengganti password secara berkala sebenarnya berawal dari kepercayaan yang tidak tepat di masa lalu yang mengatakan bahwa hacker akan memata-matai secara diam-diam, menyimpan data Anda, dan menunggu Anda lemah.
Teori itu percaya bahwa jika kata sandi sering diubah, penyerang akan terhalang untuk mendapatkan akses kredensial yang lebih besar.
Padahal saat ini penyerang tidak akan selalu aktif. Misalnya, seorang peretas bisa mendapat akses ke kredensial perbankan Anda kapan pun mereka mau.
Mereka akan segera mentransfer uang dari rekening bank Anda secara terang-terangan.
Dalam situasi seperti itu, mengubah kredensial Anda secara teratur memang terasa sia-sia. Namun demikian, tetap sangat penting untuk mengubahnya sesegera mungkin setelah mengetahui kerugian yang terjadi.
Kelemahan lain dari sering mengganti password pribadi adalah membuatnya lebih sulit untuk diingat.
Orang cenderung memilih kata sandi yang lebih mudah diingat dan ditebak. Semakin sering mengganti password, orang cenderung semakin mencari password atau pin yang lebih mudah diingat lagi.
Apa yang Anda lakukan supaya Anda mengingat password yang berbeda di banyak akun? Sebagian besar pasti mencatatnya di sebuah tempat, entah di buku catatan, di handphone, atau di email.
Tanpa kita sadari, cara ini sebenarnya menimbulkan risiko lebih besar. Catatan Anda bisa hilang, dibuka orang lain, dan dengan sekejap orang lain mengetahui seluruh password yang Anda simpan.
Bagaimana praktik terbaiknya?
Menurut pedoman NIST dan NCSC, durasi mengganti password terbaik adalah tidak memiliki password sama sekali, melainkan fokus pada perubahan kata sandi segera setelah terjadi pelanggaran dan menggunakan otentikasi multifaktor (MFA) beserta layanan manajemen password.
Pedoman ini sangat masuk akal. Ibaratnya begini, Anda tidak mungkin mengganti kunci rumah setiap tiga bulan sekali, tetapi Anda pasti akan menggantinya manakala rumah Anda dibobol.
Ada situasi tertentu di mana durasi pengaturan ulang kata sandi diperlukan untuk memenuhi standar tertentu, seperti standar ISO 27001. Namun dalam kasus sehari-hari, apalagi untuk kebutuhan pribadi, akan sangat berguna untuk menggunakan aplikasi pengelola password.
Dengan aplikasi pengelola password, Anda dapat menghasilkan kata sandi yang tidak mudah ditebak, dapat disimpan dengan aman, dan dapat memberlakukan durasi tertentu melalui masa berlaku kata sandi.
Fitur bagus lainnya yang ditawarkan oleh pengelola kata sandi adalah MFA, yang bekerja dengan menggunakan metode yang berbeda secara fundamental untuk membuktikan identitas Anda.
MFA biasanya bekerja lewat tiga faktor klasik: sesuatu yang Anda ketahui (pengetahuan) dalam hal ini password, sesuatu yang Anda miliki (kepemilikan), dan sesuatu tentang Anda (inherence).
MFA yang dibangun dengan baik menggunakan dua atau lebih faktor unik, seperti password (pengetahuan) ditambah sidik jari (inherence), atau password (pengetahuan) ditambah kata sandi sekali pakai (One time password) pada aplikasi seluler akan memberikan nilai aman yang jauh lebih tinggi.
Menggunakan banyak faktor seperti itu akan mempersulit penyerang karena mereka memerlukan usaha lebih keras untuk masuk ke dalam akun Anda. Ini membuat akun lebih aman.
Aplikasi pengelola password yang baik, seperti Zoho Vault, juga memiliki fitur pemantauan aktif yang akan memantau password yang telah disusupi.
Fitur ini akan memberi tahu Anda jika ada kata sandi yang dibobol dalam pelanggaran data oleh layanan apa pun yang Anda gunakan.
Zoho Vault menawarkan fitur yang ditujukan untuk melindungi pengguna. Fitur pembuat password yang ada memungkinkan Anda membuat kata sandi dengan berbagai tingkat kerumitan dan menyimpannya secara otomatis.
Zoho Vault juga memiliki opsi untuk mengatur peringatan kedaluwarsa bagi pengguna yang perlu mengganti password secara berkala.
Fitur lain yang ditawarkan adalah autentikasi dua faktor berupa OTP sementara (TOTP).
Setiap kali ada pelanggaran password di akun Anda, Zoho Vault akan memperingatkan Anda untuk memperbarui atau mengganti password tersebut.
Peringatan ini akan tetap terlihat sampai Anda mengganti seluruh password.
Jika Anda tertarik untuk mempelajari lebih lanjut tentang bagaimana Anda atau organisasi Anda dapat memanfaatkan aplikasi pengelola password, hubungi pakar Zoho Vault kami untuk informasi produk dan demo selengkapnya.
Comments