Melindungi akun Direktori Aktif (AD) dimulai dengan kebijakan kata sandi yang kuat, didukung oleh penegakan hukum yang konsisten di seluruh organisasi. Namun, buat aturannya terlalu lemah dan Anda meningkatkan permukaan serangan Anda; menjadikannya terlalu ketat dan pengguna akan menemukan solusi, seperti menuliskan kata sandi, menggunakannya kembali di seluruh sistem, atau menambahkan tanda “!” ke akhir versi terakhir.
Tantangannya adalah menerapkan standar kata sandi yang modern dan tangguh sehingga menghindari peningkatan jumlah tiket layanan bantuan atau membuat frustrasi orang-orang yang ingin Anda lindungi. Namun, dengan pendekatan yang tepat, Anda dapat memperkuat postur kata sandi AD Anda dan pada saat yang sama membuat hidup lebih mudah bagi pengguna.
Gunakan frasa sandi dibandingkan kata sandi yang rumit
Aturan kompleksitas kata sandi tradisional membuat frustrasi dan tidak memberikan perlindungan yang diperlukan untuk lanskap ancaman saat ini. Ketika orang dipaksa untuk memasukkan simbol, angka, dan huruf campuran, mereka cenderung memilih opsi yang mudah diingat, namun dapat ditebak, seperti Kata Sandi!2026.
Pendekatan yang lebih baik adalah memprioritaskan panjang daripada kompleksitas dengan frasa sandi. Kata sandi yang lebih panjang dan terdiri dari beberapa kata lebih mudah diingat dan jauh lebih sulit untuk dipecahkan. NIST merekomendasikan untuk mengizinkan kata sandi hingga 64 karakter.
Meskipun sebagian besar pengguna tidak akan mencapai batas tersebut, meningkatkan panjang minimum (misalnya, menjadi 15 karakter atau lebih) akan memperkuat keamanan dan mengurangi kebutuhan akan kata sandi yang canggung dan rawan kesalahan.
Blokir kata sandi yang lemah dan disusupi
Bahkan dengan kata sandi yang lebih panjang, pengguna masih cenderung memilih opsi yang lemah atau umum. Serangan penyemprotan kata sandi mengandalkan eksploitasi kecenderungan tersebut, sehingga sangat penting bagi organisasi untuk secara aktif memblokir pembuatan kata sandi yang lemah. Di sinilah solusi seperti itu Kebijakan Kata Sandi Specops membantu:
- Membuat daftar kata terlarang khusus: Tim keamanan dapat membangun secara khusus kamus istilah yang diblokir yang mencerminkan lingkungan organisasi mereka. Hal ini membantu mencegah pilihan umum yang lemah, termasuk kata sandi berdasarkan nama pengguna, nama tampilan, karakter berulang, perubahan tambahan, atau penggunaan ulang elemen dari kredensial yang ada.
- Pelanggaran perlindungan kata sandi: Dengan terus memeriksa kata sandi terhadap database lebih dari 5,4 miliar kredensial yang diketahui dilanggar, Kebijakan Kata Sandi Specops membantu menghentikan penggunaan kata sandi yang disusupi di AD dan memungkinkan masalah ditangani dengan cepat.
Menghentikan kata sandi yang lemah saat pembuatan jauh lebih efektif daripada mencoba memperbaiki masalah setelah akun disusupi.
Pikirkan kembali masa berlaku kata sandi
Ketika pengguna diharuskan menyetel ulang kredensial terlalu sering, mereka cenderung melakukan sedikit perubahan, mengubah beberapa karakter, atau membuat perubahan bertahap. Untuk menghindari hal ini, mereka yang menetapkan kebijakan kata sandi harus menjauhi masa berlaku kata sandi wajib kecuali ada bukti kompromi.
Itu tidak berarti masa berlakunya harus dihapus tanpa pertimbangan, terutama jika penggunaan ulang kata sandi menjadi perhatian. Namun, ada alasan kuat untuk memperpanjang periode kedaluwarsa ketika pengguna membuat kata sandi yang panjang dan kuat dan Anda memiliki kontrol untuk mendeteksi kredensial yang disusupi.
Penuaan berdasarkan panjang memperkuat pendekatan ini. Mengikat periode kedaluwarsa dengan panjang kata sandi akan mendorong kredensial yang lebih panjang dan lebih kuat dengan imbalan perpanjangan atau bahkan penghapusan masa berlaku, kecuali jika ada penyusupan yang terdeteksi.
Gunakan pengelola kata sandi
Salah satu tantangan terbesar dalam kebijakan kata sandi yang kuat adalah penggunaan kembali. Bahkan ketika karyawan membuat kata sandi AD yang bagus, mereka cenderung mengulanginya di sistem lain hanya karena mengingat lusinan kredensial tidaklah realistis.
Pengelola kata sandi yang disetujui, dilaksanakan dengan amanmenghilangkan beban itu. Hal ini memungkinkan pengguna untuk membuat dan, yang lebih penting, menyimpan setiap kata sandi unik dan panjang yang mereka perlukan untuk akun mereka. Untuk tim TI, pengelola kata sandi perusahaan juga mendukung kontrol yang lebih baik atas kredensial bersama dan akun istimewa. Dikombinasikan dengan kebijakan AD yang ramah frasa sandi, ini adalah cara praktis untuk meningkatkan keamanan sekaligus mengurangi gesekan.
Terapkan pengaturan ulang kata sandi layanan mandiri
Penyetelan ulang kata sandi adalah salah satu penyebab paling umum dari tiket meja bantuan di lingkungan AD. Ketika kebijakan ketat dan karyawan melakukan kesalahan, antrean dukungan akan cepat terisi.
Penyetelan ulang kata sandi layanan mandiri yang aman mengurangi tekanan tersebut. Dengan memverifikasi identitas melalui MFA atau metode autentikasi lainnya, staf dapat mengatur ulang kata sandi mereka dengan cepat, sehingga menghilangkan kebutuhan untuk mengajukan tiket.
Pemulihan yang lebih cepat mengurangi waktu henti, membatasi solusi berisiko, dan meningkatkan pengalaman pengguna. Ketika orang tahu bahwa mereka tidak akan terkunci dalam waktu lama, kebijakan kata sandi tidak akan terlalu mengganggu.
Notifikasi yang dapat disesuaikan
Pengguna tidak boleh lengah dengan penguncian mendadak atau peringatan kedaluwarsa di menit-menit terakhir. Gangguan inilah yang menyebabkan gangguan yang tidak perlu dan panggilan dukungan.
Pemberitahuan yang jelas dan tepat waktu membuat perbedaan, menyoroti kapan tindakan diperlukan dan menjelaskan persyaratan dengan jelas. Komunikasi yang baik tidak akan menggantikan kontrol yang kuat, namun membantu pengguna tetap patuh dan mengurangi hambatan yang sering timbul saat penerapan kata sandi.
Berikan umpan balik dinamis pada pembuatan kata sandi
Pesan “kata sandi tidak memenuhi persyaratan” yang tidak jelas tidak membantu. Menegakkan aturan AD secara efektif berarti memberikan umpan balik spesifik dan real-time saat membuat atau mengubah kata sandi. Pengukur kekuatan, pemeriksaan kata sandi yang dilarang, dan petunjuk yang jelas memudahkan pengguna untuk melihat dengan tepat apa saja persyaratannya.
Ketika umpan balik diberikan secara langsung dan dapat ditindaklanjuti, pengguna akan cenderung menciptakan kredensial yang lebih kuat. Ini adalah peningkatan kegunaan kecil yang memberikan peningkatan nyata dalam kualitas kata sandi.
Bagaimana Specops dapat membantu
Meninjau dan memperbarui kebijakan kata sandi AD adalah keseimbangan antara keamanan dan kegunaan. Titik awal yang baik adalah mengaudit lingkungan AD Anda menggunakan solusi seperti Auditor Kata Sandi Specops. Alat gratis ini menjalankan pemindaian AD Anda hanya-baca dan menyoroti kerentanan terkait kata sandi, disajikan dalam laporan yang mudah dipahami.
Kebijakan Kata Sandi Specops kemudian membantu organisasi mengatasi masalah terkait kata sandi dan memastikan penegakan kebijakan yang berkelanjutan di lingkungan mereka. Hal ini mencakup perbaikan praktis yang memperkuat ketahanan, seperti terus memindai kata sandi yang dibobol dan mendukung penerapan frasa sandi.
Jika Anda memikirkan kembali strategi kata sandi Anda, kami dapat membantu Anda membangun pendekatan yang meningkatkan perlindungan sekaligus mempertahankan pengalaman pengguna.
Hubungi kami hari ini atau pesan demo untuk melihat solusi kami diterapkan.
Disponsori dan ditulis oleh Perangkat Lunak Specops.
