Panduan ini menjelaskan dan mencontohkan panduan dan rekomendasi sandi modern untuk desainer dan engineer yang membuat aplikasi online yang aman. Panduan terkait, Keamanan sandi modern untuk pengguna, menawarkan panduan bagi pengguna akhir. Panduan ini membahas berbagai opsi yang perlu dipertimbangkan saat membangun sistem autentikasi berbasis sandi. Panduan ini juga menetapkan serangkaian rekomendasi yang berfokus pengguna terkait kebijakan dan penyimpanan sandi, termasuk keseimbangan antara kegunaan dan kekuatan sandi.
Sejak awal perkembangan komputasi, dunia teknologi terus berupaya meningkatkan kualitas pengamanan sandi. Autentikasi pengetahuan bersama memunculkan masalah karena informasi dapat jatuh ke tangan yang salah atau terlupakan. Masalah ini diperburuk oleh sistem yang tidak mendukung kasus penggunaan aman di dunia nyata dan kecenderungan pengguna untuk mengambil jalan pintas.
Menurut studi Yubico/Ponemon tahun 2019, 69 persen responden mengaku pernah berbagi sandi dengan rekan kerja mereka untuk mengakses akun. Lebih dari separuh responden (51 persen) menggunakan kembali rata-rata lima sandi di berbagai akun bisnis dan pribadi mereka. Selain itu, autentikasi 2 langkah (2FA) tidak digunakan secara luas, padahal metode ini meningkatkan perlindungan selain dengan nama pengguna dan sandi. Dari semua responden, 67 persen di antaranya tidak menggunakan metode 2FA apa pun dalam kehidupan pribadi mereka, dan 55 persen responden tidak menggunakannya di tempat kerja.
Sistem sandi yang dirancang untuk aplikasi modern juga memungkinkan, atau bahkan mendorong, pengguna untuk menggunakan sandi yang tidak aman. Sistem yang membolehkan kredensial satu faktor saja dan yang menerapkan kebijakan keamanan yang tidak efektif makin memperparah masalah. Aturan yang serampangan dan tidak konsisten membuat pengguna menangani sandi mereka secara tidak aman. Di samping itu, sistem pemulihan sandi dapat membuat pengguna dan aplikasi rentan terhadap bermacam ancaman yang mungkin tidak mereka pertimbangkan.
Ringkasan
Dokumen ini menguraikan:
- Sumber-sumber tepercaya yang berisi informasi kredibel dan berbasis riset tentang keamanan sandi
- Rekomendasi bagi engineer yang mendesain sistem pengelolaan sandi
- Antipola dan mitos umum seputar keamanan sandi
- Topik untuk penelitian tambahan
Untuk membaca info layanan ini selengkapnya, klik tombol: