Panduan ini menjelaskan dan menyediakan model panduan dan rekomendasi sandi modern untuk desainer dan engineer yang membuat aplikasi online yang aman. Panduan terkait, Keamanan sandi modern untuk pengguna, menawarkan panduan bagi pengguna akhir. Panduan ini membahas berbagai opsi yang dapat dipertimbangkan saat membangun sistem autentikasi berbasis sandi. Panduan ini juga menetapkan serangkaian rekomendasi yang berfokus pada pengguna terkait kebijakan dan penyimpanan sandi, termasuk keseimbangan kegunaan dan kekuatan sandi.
Dunia teknologi telah berupaya meningkatkan kualitas sandi sejak awal perkembangan komputasi. Autentikasi pengetahuan bersama memiliki masalah karena informasi bisa jatuh ke tangan yang salah atau dilupakan. Masalah ini diperburuk karena sistem yang tidak mendukung kasus penggunaan aman di dunia nyata dan karena keputusan pengguna cenderung mengambil jalan pintas.
Menurut studi Yubico/Ponemon pada tahun 2019, 69 persen responden mengaku pernah berbagi sandi dengan rekan kerja mereka untuk mengakses akun. Lebih dari setengah responden (51 persen) menggunakan kembali rata-rata lima sandi di seluruh akun bisnis dan pribadi mereka. Selain itu, autentikasi 2 langkah (2FA) tidak digunakan secara luas, meskipun menambahkan perlindungan selain nama pengguna dan sandi. 67 persen responden tidak menggunakan bentuk 2FA dalam kehidupan pribadi mereka, dan 55 persen responden tidak menggunakannya di tempat kerja.
Sistem sandi yang dirancang untuk aplikasi modern juga dapat mengizinkan, atau bahkan mendorong pengguna untuk menggunakan sandi yang tidak aman. Sistem yang hanya mengizinkan kredensial satu faktor dan menerapkan kebijakan keamanan yang tidak efektif akan menambah masalah. Jika aturan berubah-ubah dan tidak konsisten, pengguna dapat menangani sandi mereka dengan cara yang tidak aman, dan sistem pemulihan sandi dapat membuat pengguna dan aplikasi rentan terhadap kategori ancaman yang mungkin tidak dipertimbangkan.
Ringkasan
Dokumen ini menguraikan:
- Sumber tepercaya yang berisi informasi tepercaya dan sudah diteliti tentang keamanan sandi
- Rekomendasi untuk engineer yang mendesain sistem pengelolaan sandi
- Antipola dan legenda urban umum seputar keamanan sandi
- Topik untuk penelitian tambahan
Untuk membaca panduan layanan yang lengkap, klik tombol: