Kata sandi adalah kunci aset digital Anda: begitulah cara kita mengakses aplikasi dan data, serta infrastruktur dan sistem. Sering kali kata sandi berupa karakter yang kita ketik sebagai bagian dari perintah masuk, tetapi kata sandi juga dapat disembunyikan dalam kode, saat aplikasi memanggil sumber daya lain untuk menjalankan tugasnya.
Pengelolaan kata sandi merupakan proses yang rumit bagi tim operasi dan pengguna. Sayangnya, kerumitan tersebut sering kali berujung pada praktik kata sandi yang buruk, sehingga kata sandi menjadi target prioritas bagi penjahat dunia maya: mereka tahu bahwa mendapatkan akses ke kredensial yang tepat dapat memberi mereka kunci menuju kerajaan data organisasi. Hal itu dapat menyebabkan pelanggaran data yang membahayakan keamanan, produktivitas, dan reputasi.
Dengan kompleksitas tantangan dan risiko yang ditimbulkan oleh manajemen kata sandi yang buruk, Anda akan berpikir bahwa semua pemimpin TI akan menemukan cara untuk mengatasi masalah tersebut atau menempatkannya pada prioritas utama. Namun, benarkah demikian? Baru-baru ini, saya mengerjakan iterasi ketiga laporan Manajemen Kata Sandi Perusahaan GigaOm, dan salah satu hal yang mengejutkan saya adalah tidak semua orang menanggapi tantangan ini seserius yang seharusnya dan meluangkan waktu untuk memahami mengapa manajemen kata sandi sulit dan alat apa yang tersedia untuk membantu.
Mengapa Manajemen Kata Sandi Begitu Rumit?
Mengapa manajemen kata sandi menjadi masalah? Ada sejumlah alasan.
- Volume kata sandi yang harus dikelola dan diingat merupakan inti permasalahan. Pengguna memiliki lusinan kata sandi, yang masing-masing biasanya perlu diubah secara berkala, sering kali dengan kompleksitas yang meningkat, yang mengakibatkan praktik kata sandi yang buruk, seperti kata sandi yang lemah, penggunaan kata sandi yang berulang, dan keamanan kata sandi yang buruk.
- Manajemen kata sandi membosankan dan memakan waktu. Hal ini melibatkan penanganan kata sandi yang terlupakan, menemukan di mana terdapat risiko, dan mendefinisikan serta menerapkan kebijakan kata sandi yang kuat. Selain itu, kebijakan dan kontrol mungkin perlu dikonfigurasi dalam beberapa aplikasi dan sistem, yang selanjutnya akan meningkatkan beban kerja.
- Kebijakan kata sandi sulit ditegakkan. Organisasi perlu mengetahui seberapa baik kebijakan kata sandi mereka dan di mana risikonya. Sifat kata sandi yang terdistribusi membuat hal ini sangat sulit dipahami dan diatasi.
- Berbagi kata sandi adalah praktik umum. Bila akses diperlukan ke entitas umum—seperti infrastruktur, mesin, dan aplikasi—untuk pemeliharaan atau keperluan lain, kata sandi dapat dibagikan oleh tim operasi. Tim lain dapat berbagi kata sandi ke alat pemasaran dan penjualan, dan pengguna mungkin perlu memperoleh akses ke sumber daya jika pengguna lain tidak ada. Hal ini menimbulkan masalah terkait kepraktisan dan keamanan.
Manfaat Pengelola Kata Sandi
Pengelola kata sandi dapat menawarkan keuntungan signifikan bagi organisasi. Manfaatnya meliputi:
- Menyimpan kata sandi dengan aman: Solusi ini menyediakan brankas terenkripsi yang aman untuk menyimpan semua kata sandi, sehingga pengelolaannya menjadi lebih mudah dan efektif.
- Meningkatkan pelaporan: Dengan mengelola kata sandi dalam satu aplikasi, pengelola kata sandi dapat menilai efektivitas dan keamanan kata sandi serta apakah kata sandi tersebut sesuai dengan kebijakan organisasi. Pengelola kata sandi dapat memperingatkan potensi risiko dan membantu memandu pengguna dan tim operasi untuk menerapkan kontrol yang lebih baik.
- Memusatkan manajemen kebijakan: Dengan melihat kesehatan kata sandi secara keseluruhan, pengelola kata sandi dapat membantu organisasi memahami jenis kebijakan yang perlu diterapkan dan menyediakan lokasi terpusat untuk menerapkannya. Tim operasi juga dapat memperoleh wawasan tentang seberapa baik kebijakan diadopsi dan di mana masih ada risiko jika kebijakan tidak diikuti.
- Mempermudah kehidupan pengguna: Pengguna perusahaan sering kali harus berinteraksi dengan berbagai sistem dan sumber daya, yang berpotensi memerlukan sejumlah kata sandi untuk akses. Penggunaan pengelola kata sandi meniadakan kebutuhan akan banyak kata sandi, atau paling tidak, membuat penggunaannya tidak terlalu memberatkan. Pengelola kata sandi menghilangkan kerumitan pembuatan kata sandi dan memastikan kata sandi sesuai dengan kebijakan perusahaan. Meskipun pengelola kata sandi perusahaan biasanya lebih memperhatikan keamanan terkait pekerjaan, beberapa pengelola kata sandi menyediakan akses ke brankas kata sandi pribadi bagi pengguna, yang memungkinkan mereka meningkatkan keamanan kata sandi untuk diri mereka sendiri dan keluarga mereka.
Tantangan Pengelola Kata Sandi
Meskipun pengelola kata sandi memiliki keuntungan yang jelas, ada beberapa masalah potensial yang perlu dipertimbangkan.
- Telur dalam satu keranjang: Ini adalah kekhawatiran umum dan bukan tanpa dasar: dengan semua kredensial organisasi di satu tempat, kompromi bisa jadi sangat merugikan. Keamanan brankas sangatlah penting, yang membutuhkan kontrol akses yang kuat, enkripsi brankas, ketahanan, dan perlindungan. Namun, perlu diingat bahwa risiko pengelola kata sandi dilanggar mungkin lebih kecil daripada dampak praktik pengelolaan kata sandi yang buruk.
- Perubahan itu sulit: Seperti kebanyakan perubahan lainnya, perpindahan ke pengelola kata sandi bisa jadi sulit, biasanya mengharuskan organisasi untuk mengamanatkan perubahan dalam kebijakan dan interaksi pengguna dengan kata sandi dan aplikasi. Pemimpin TI tidak hanya perlu mendapatkan dukungan kepemimpinan untuk pengelola kata sandi, tetapi juga membantu pengguna untuk menggunakannya secara efektif guna meningkatkan keamanan organisasi dan pengalaman mereka sendiri. Ini akan membutuhkan waktu dan upaya—tetapi mungkin lebih sedikit waktu dan upaya daripada memulihkan dari pelanggaran yang disebabkan oleh praktik kata sandi yang buruk.
- Mempertanyakan kemungkinan dan risiko pelanggaran: Pencurian kata sandi masih menjadi salah satu cara paling umum bagi penyerang siber untuk mendapatkan akses. Itulah sebabnya serangan phishing masih sangat lazim dan mengapa ada banyak investasi dalam evolusinya yang berkelanjutan. Puluhan kata sandi, yang dimiliki oleh ratusan atau bahkan ribuan pengguna, di seluruh kehidupan pribadi dan bisnis mereka, semuanya menghadirkan risiko keamanan yang potensial. Hanya perlu satu kali pelanggaran kata sandi dan pelaku kejahatan dapat memperoleh akses ke aplikasi dan data sensitif.
Tidak diragukan lagi, pengelolaan kata sandi itu sulit, dan menemukan cara untuk mengatasinya sangatlah penting. Jika Anda belum pernah mempertimbangkan untuk menambahkan pengelola kata sandi ke gudang keamanan Anda, cobalah lihat beberapa vendor di bidang tersebut dan lihat apa yang dapat mereka lakukan untuk Anda.
Langkah Berikutnya
Untuk mempelajari lebih lanjut, lihat laporan Key Criteria and Radar manajemen kata sandi perusahaan GigaOm. Laporan ini memberikan gambaran menyeluruh tentang pasar, menguraikan kriteria yang perlu Anda pertimbangkan dalam keputusan pembelian, dan mengevaluasi kinerja sejumlah vendor terhadap kriteria keputusan tersebut.
Jika Anda belum menjadi pelanggan GigaOm, daftar di sini.
