Berhentilah Untuk Sering Mengubah Kata Sandi
Minggu lalu, saya menulis kata-kata “Alasan lain untuk menggunakan pengelola kata sandi adalah mereka membuatnya sangat mudah untuk mengubah kata sandi menjadi sesuatu yang lebih kuat, yang harus sering Anda lakukan.” Karena itulah saran yang diberikan semua orang tentang kata sandi, serta membuatnya kuat dan unik untuk setiap layanan dan akun yang Anda buat.
Pada tahun 2017 Institut Nasional Standar dan Teknologi (NIST) mengeluarkan Pedoman Identitas Digital yang menggunakan banyak pembicaraan ilmiah untuk membahas standar keamanan informasi dan “pengautentik rahasia yang dihafal” istilahnya untuk kata sandi, frasa sandi, dan nomor identifikasi pribadi (PIN). Tidak mengharuskan [kata sandi] diubah secara sewenang-wenang (misalnya, secara berkala) kecuali ada permintaan pengguna atau bukti kompromi autentikator.”
Laporan dari NIST, sebuah lembaga non-regulasi yang merupakan bagian dari Departemen Perdagangan AS, juga menyertakan lampiran tentang Kekuatan Rahasia yang Dihafal, yang membahas bagaimana hampir tidak mungkin bagi orang untuk menghafal kata sandi jika mereka telah memaksakan “aturan komposisi,” seperti memasukkan simbol, huruf besar, angka, dll.
Pada akhirnya, saran terbaik untuk siapa pun yang berurusan dengan keamanan kata sandi adalah menggunakan perangkat lunak pengelola kata sandi sehingga Anda tidak perlu mengingat banyak hal, kecuali satu kata sandi/frasa utama. Tidak ada yang mengalahkan menghafal untuk keamanan, tetapi setelah beberapa tahun online, Anda dapat memiliki ratusan kata sandi untuk disimpan di otak Anda. Dengan cara itu terletak kegilaan.
Seberapa Sering Anda Mengubah Kata Sandi Anda?
Mari kita kembali ke frekuensi. Saran standar untuk mengubah kata sandi Anda setiap beberapa bulan hingga satu tahun, tertanam di sebagian besar artikel tentang masalah ini. Pencarian Google tentang “seberapa sering saya harus mengubah kata sandi saya” memiliki hasil pertama yang berbunyi “setiap 60 – 90 hari.” Sebagian besar situs dan artikel mengatakan hal yang sama, dengan beberapa pengecualian.
Kisah yang saya tulis tentang kata sandi yang mendorong semua ini termasuk liputan survei PCMag di mana kami bertanya secara khusus: “Seberapa sering Anda mengubah kata sandi Anda?” Saya siap untuk mengolok-olok fakta bahwa 74% responden mengaku mengubah kata sandi mereka minimal setiap enam bulan. Hanya 26% yang mengatakan mereka tidak menggantinya secara teratur.
Saya percaya yang terakhir, tetapi mengubah “rahasia yang diingat” sepanjang waktu? Saya tidak membelinya. Sinis dalam diri saya, yang mengendalikan sebagian besar dari apa yang saya lakukan dan katakan, berpikir bahwa orang-orang itu percaya bahwa mereka seharusnya sering mengubah kata sandi, dan tidak mau mengakui kepada kami (atau diri mereka sendiri) bahwa mereka tidak melakukannya. Mungkin mereka kesal karena tempat kerja atau layanan mereka memaksa mereka untuk sering berubah.
Jadi saya di sini untuk mengatakan: Berhentilah merasa bersalah! Para ahli memberi tahu kami empat tahun lalu untuk berhenti membuat perubahan kata sandi biasa, dan inilah saatnya kami mendengarkan. Selama kata sandi Anda sudah cukup kuat dan unik, banyak mengubahnya tidak banyak membantu Anda. (Kecuali jika dikompromikan dalam pelanggaran data, tentu saja, segera ubah.)
Ini tidak akan menghentikan entitas tertentu dari memaksa Anda untuk mengubah kata sandi Anda. Bos atau bank Anda mungkin perlu membujuk untuk berhenti menunjukkan pesan “Silakan masukkan kata sandi baru untuk melanjutkan” yang menakutkan itu setiap beberapa bulan. Mereka mungkin juga tidak akan membiarkan Anda menggunakan kembali kata sandi, meskipun itu adalah kata sandi terkuat yang pernah Anda buat. Mereka mungkin juga akan terus membatasi ukuran dan membutuhkan karakter khusus.
Originally posted 2022-02-06 17:40:39.