Mengapa PASSWORD (terus) bertahan?
Oleh Steven J. Ross, CISA
diterjemahkan oleh Stanley Karouw ST., MTI
Oleh Steven J. Ross, CISA
diterjemahkan oleh Stanley Karouw ST., MTI
Merupakan rahasia umum bahwa password, sebagai sarana otentikasi yang dapat diandalkan, telah dirasakan sejak lama kegunaannya. Premis password sebenarnya cukup sederhana, yakni: Jika Anda tahu sesuatu, dan hanya anda yang tahu itu, maka acuan untuk rahasia itu, menunjukan bahwa anda adalah orang yang anda maksud.. Dan jika "sesuatu" adalah kombinasi dari karakter string, maka tidak mungkin bahwa siapa pun bias mengetahui apa yang anda rahasiakan dan dapat meniru anda! Premisnya cukup mudah tapi tidak semudah itu juga.
Satu hal yang pasti, bahwa mengetahui rahasia tidak berarti akan membuktikan bahwa Anda adalah Anda. Ini hanya membuktikan bahwa Anda adalah orang yang mengaku sebagai Anda atas dasar pengetahuan yang dianggap rahasia. Lebih buruk lagi, kebanyakan para praktisi telah menciptakan mitos password "lebih baik", yakni password yang berisi karakter khusus, angka tertentu dan panjang sedemikian rupa cenderung tidak mungkin ditebak. Cobalah j4R1d% x3. Silakan, coba. Coba mengetik itu. Tidak mudah, bukan? Sekarang tutup mata Anda dan mencoba untuk mengingatnya. Bahkan lebih keras, eh? Jika Anda harus menggunakan password seperti itu, Anda akan menuliskannya, tidak diragukan lagi, sehingga merusak premis yang diketahui (atau diketahui) hanya oleh Anda.
Namun kita semua cenderung memiliki (banyak) password. Saya memiliki password dari sebuah password di atas password lainnya. Satu untuk LAN, satu lagi untuk WAN, satu lagi untuk e-mail, satu lagi untuk timesheets dan aplikasi lainnya. Dan ada lagi password yang hanya saya gunakan di kantor. Ataupun untuk melakukan transaksi online.
Profesional keamanan komputer dan Auditor Sistem Informasi telah menghabiskan bertahun-tahun untuk mendukung password menjadi "lebih baik" yang sulit untuk dilihat kekurangannya sekarang, namun tetap ada kekurangan. Mereka memberikan perlindungan, tetapi sebenarnya itu hanya perasaan perlindungan.
Password adalah bentuk rahasia bersama, berguna hanya jika TETAP menjadi rahasia. Memiliki password yang banyak kadang2 tidak menguntungkan, karena Anda tidak dapat mengingat mereka semua. Jadi jika Anda seperti saya dan kebanyakan pengguna lain, hanya ada dua alternatif: membuat sebuah (atau beberapa) password yang semua sama dan tidak menuliskannya, tapi menghafalnya. Dan tentu saja, SELALU meluangkan waktu untuk "direpotkan" dengan mengganti password secara rutin dan teratur.
Banyak situs web melindungi password Anda dengan SSL, dan bahwa memang perlindungan kuat. Dalam hal ini, Anda tidak hanya merasa aman, Anda aman, tetapi hanya saat Anda berjalan di bawah SSL. Password yang anda masukkan aman, kecuali orang lain mendapatkannya lebih dulu. Ini seperti memiliki kunci terbaik dunia di pintu depan dan kemudian membagi-bagikan kunci.
Untungnya, garis-garis besar solusinya menjadi jelas. Dalam waktu dekat, saya yakin kita akan mengganti password. Mungkin cara yang lebih baik untuk menempatkan itu adalah bahwa kita akan mengganti semua password hantadengan satu. Hanya saja tidak akan menjadi kata sandi seperti itu. Ini akan memberi kita akses yang sama seperti yang kita miliki, mungkin lebih baik, tetapi kita tidak perlu mengingat apa pun, tidak perlu menuliskan apa pun. Ini disebut sertifikat. Tentu saja, sertifikat bukan solusi sempurna. Mereka datang dengan kantong masalah mereka sendiri, tetapi merupakan kantong jauh lebih kecil daripada yang dibawa oleh semua password. Intinya adalah bahwa sertifikat-string digital menggunakan fungsi kriptografi untuk memastikan identitas-mendapatkan kepercayaan dari pihak ketiga untuk menjamin Anda. Semua orang yang dapat membaca sertifikat tahu Anda adalah yang Anda katakan, bahwa Anda bisa melakukan apa yang Anda katakan anda bisa lakukan.
Tapi sampai semua orang memiliki sertifikat, sampai semua orang (atau setidaknya banyak kita) menggunakan mereka, password akan bertahan. Mereka ada karena kita telah membuat mereka ada dan mereka tidak akan hilang sampai kita semua menyadari kelemahan mereka. Kita semua harus masuk dengan sertifikat atau kita semua akan ditinggalkan. Ini adalah cara baru dalam melakukan sesuatu, suatu tatanan baru. Tentu saja perubahan menakutkan. Tapi semua password yang Anda bawa cukup menakutkan juga.
Untungnya, garis-garis besar solusinya menjadi jelas. Dalam waktu dekat, saya yakin kita akan mengganti password. Mungkin cara yang lebih baik untuk menempatkan itu adalah bahwa kita akan mengganti semua password hantadengan satu. Hanya saja tidak akan menjadi kata sandi seperti itu. Ini akan memberi kita akses yang sama seperti yang kita miliki, mungkin lebih baik, tetapi kita tidak perlu mengingat apa pun, tidak perlu menuliskan apa pun. Ini disebut sertifikat. Tentu saja, sertifikat bukan solusi sempurna. Mereka datang dengan kantong masalah mereka sendiri, tetapi merupakan kantong jauh lebih kecil daripada yang dibawa oleh semua password. Intinya adalah bahwa sertifikat-string digital menggunakan fungsi kriptografi untuk memastikan identitas-mendapatkan kepercayaan dari pihak ketiga untuk menjamin Anda. Semua orang yang dapat membaca sertifikat tahu Anda adalah yang Anda katakan, bahwa Anda bisa melakukan apa yang Anda katakan anda bisa lakukan.
Tapi sampai semua orang memiliki sertifikat, sampai semua orang (atau setidaknya banyak kita) menggunakan mereka, password akan bertahan. Mereka ada karena kita telah membuat mereka ada dan mereka tidak akan hilang sampai kita semua menyadari kelemahan mereka. Kita semua harus masuk dengan sertifikat atau kita semua akan ditinggalkan. Ini adalah cara baru dalam melakukan sesuatu, suatu tatanan baru. Tentu saja perubahan menakutkan. Tapi semua password yang Anda bawa cukup menakutkan juga.
Steven J. Ross, CISA
Direktur di Deloitte & Touche, alamt kontak di stross@dttus.com
(diterjemahkan dan diedit seperlunya oleh Stanley Karouw, ST., MTI sebagai studi kasus dalam Mata Kuliah Audit Sistem Informasi)
Direktur di Deloitte & Touche, alamt kontak di stross@dttus.com
(diterjemahkan dan diedit seperlunya oleh Stanley Karouw, ST., MTI sebagai studi kasus dalam Mata Kuliah Audit Sistem Informasi)
.jpg)