NIST: Kata sandi yang lebih panjang mengalahkan kata sandi yang rumit

Senin akan menjadi hari terakhir bagi publik untuk berkomentar aturan yang diusulkan dari Institut Standar dan Teknologi Nasional yang akan menyederhanakan standar kata sandi yang harus digunakan oleh lembaga pemerintah dan perusahaan sektor swasta didorong untuk mengikutinya.

Usulan itu akan menghilangkan aturan kompleksitas kata sandi, seperti persyaratan bahwa kata sandi harus berisi huruf besar, huruf kecil, angka, dan simbol. NIST mengatakan dalam proposalnya bahwa perilaku pengguna sering kali menyebabkan aturan kompleksitas ini menjadi bumerang, sehingga perusahaan harus menyederhanakan aturan kata sandi mereka dan fokus pada panjang kata sandi daripada komposisi.

Bagi bank dan credit unions, aturan kata sandi yang disederhanakan akan mengurangi gesekan dalam perbankan online dan seluler sekaligus meningkatkan keamanan. Rekomendasi dari NIST memberikan semacam lampu hijau bagi institusi mana pun yang ingin menerapkan perubahan serupa pada persyaratan kata sandi mereka.

Sebagai pengganti aturan kompleksitas kata sandi, NIST menyarankan perusahaan untuk memeriksa kata sandi berdasarkan daftar blokir, yang mencakup kata sandi yang bocor saat terjadi pelanggaran dan kata sandi satu kata yang mudah ditebak (seperti “kata sandi” atau nama layanan).

Persyaratan kata sandi yang rumit sering kali menciptakan labirin yang membuat frustrasi pengguna yang mencoba membuat kata sandi yang aman. Aturan-aturan ini telah menginspirasi forum daring untuk mempermalukan perusahaan di depan umum yang menegakkan aturan tersebut dan permainan daring yang populer yang membawa pemain dalam perjalanan membuat kata sandi dengan persyaratan yang semakin tidak masuk akal.

Sering, peraturan rumit ini menjadi bumerangmenurut NIST.

“Kata sandi yang sangat rumit menimbulkan potensi kerentanan baru: kata sandi tersebut cenderung tidak mudah diingat dan lebih mungkin ditulis atau disimpan secara elektronik dengan cara yang tidak aman,” kata badan tersebut dalam usulan peraturannya. “Meskipun praktik-praktik ini belum tentu rentan, beberapa metode untuk mencatat rahasia semacam itu bisa jadi rentan.”

Namun yang lebih penting, penelitian yang dikutip oleh agensi tersebut menunjukkan bahwa pengguna merespons dengan cara yang dapat diprediksi ketika dihadapkan pada persyaratan kompleksitas kata sandi. Ini berarti “sebagian besar kebijakan pembuatan kata sandi yang umum tetap rentan terhadap serangan online,” menurut makalah tahun 2009 yang ditulis oleh tim yang dipimpin oleh Matt Weir, seorang peneliti di Florida State University.

“Hal ini disebabkan oleh sebagian pengguna yang memilih kata sandi yang mudah ditebak namun tetap mematuhi kebijakan pembuatan kata sandi yang berlaku, misalnya ‘Password!1’,” tulis surat kabar tersebut.

Meskipun kata sandi yang tidak terlalu rumit masih rentan terhadap perilaku yang dapat diprediksi ini, proposal NIST mengharuskan lembaga untuk memberikan panduan kepada pengguna dalam memilih kata sandi yang lebih kuat jika kata sandi yang mereka kirimkan ditemukan dalam daftar blokir. Hal ini, kata badan tersebut, mencegah modifikasi sepele terhadap kata sandi yang lemah.

Meskipun aturan kompleksitas kata sandi memiliki keuntungan teoretis karena mengharuskan pengguna menggunakan kata sandi unik yang lebih sulit untuk dipecahkan, aturan tersebut sering kali hanya mendorong pengguna untuk menggunakan variasi kata sandi yang dapat diprediksi yang sama dengan yang mereka gunakan di tempat lain. Itu menurut sebuah postingan blog dari Enzoic, sebuah perusahaan keamanan siber yang berspesialisasi dalam penyaringan kata sandi yang disusupi dan perlindungan pengambilalihan akun, tentang aturan yang diusulkan.

“Ini tidak berarti bahwa semua aturan kompleksitas kata sandi harus dihapus, namun kita perlu mempertimbangkan kembali apa yang membuat kata sandi menjadi rumit dan juga mempertimbangkan kegunaannya,” kata Enzoic dalam postingannya. “Inilah sebabnya pedoman kata sandi NIST dan banyak organisasi lainnya menghapus persyaratan karakter khusus dalam kata sandi.”

Yang membuat frustrasi bagi pengguna, perusahaan dan agensi sering kali menggagalkan upaya mereka untuk membuat kata sandi yang mudah diingat — seperti kalimat atau frasa — dengan melarang karakter tertentu dalam kata sandi mereka, seperti spasi.

Perusahaan sering kali melarang karakter ini dalam kata sandi sebagai cara untuk menggagalkannya Serangan injeksi SQLdi mana penyerang mengubah atau menghapus database dengan memasukkan perintah melalui formulir online. Namun, serangan ini hanya berhasil jika sistem kata sandi perusahaan memiliki kelemahan parah — yaitu, jika perusahaan gagal melakukan hashing kata sandi sebelum mencapai database.

Hashing kata sandi mengubahnya menjadi teks yang tidak dapat digunakan dalam serangan injeksi. Ini adalah fungsi satu arah yang mengubah kata sandi menjadi serangkaian karakter dengan panjang tetap. Hashing kata sandi yang sama selalu menghasilkan hasil yang sama, yaitu bagaimana perusahaan harus mengautentikasi kata sandi. Namun, mengambil hash dan mencoba mengembalikannya ke kata sandi memang mustahil dilakukan.

Daripada memaksakan aturan mengenai komposisi kata sandi, perusahaan harus fokus pada panjang kata sandi sebagai “faktor utama dalam mengkarakterisasi kekuatan kata sandi,” menurut aturan yang diusulkan NIST.

Khususnya, peraturan yang diusulkan juga mendorong perusahaan untuk meningkatkan jumlah maksimum karakter yang dapat digunakan pengguna dalam kata sandi mereka menjadi setidaknya 64, atau bahkan lebih lama untuk hasil yang lebih baik.

“Pengguna harus didorong untuk membuat kata sandi mereka sepanjang yang mereka inginkan, sesuai alasan,” bunyi aturan yang diusulkan.

Satu-satunya faktor yang membatasi panjang kata sandi adalah berapa lama waktu yang dibutuhkan untuk melakukan hash. Kali ini bertambah untuk “kata sandi yang sangat panjang (mungkin panjangnya megabyte),” menurut aturan yang diusulkan NIST. Kata sandi yang panjang akan berisi jutaan karakter, membuatnya lebih panjang dari pada buku Moby-Dick.