Panduan password NIST
Panduan password NIST, sebagaimana dijelaskan dalam Special Publication (SP) 800-63B dari National Institute of Standards and Technology (NIST), dirancang untuk meningkatkan kekuatan password. Sejak 2014, standar password NIST telah direvisi hampir setiap tahun dengan mempertimbangkan wawasan dari pakar password cracking, praktik password yang rentan, perilaku hacker, dan insiden kebocoran password sebelumnya. Karena itu, standar NIST menjadi salah satu acuan paling berpengaruh dan paling direkomendasikan untuk pembuatan password. Password yang mematuhi NIST sulit dibobol, tetapi tetap mudah digunakan.
Apa panduan password NIST terbaru?
NIST SP 800-63B tidak hanya membahas praktik terbaik password, tetapi juga memberikan panduan singkat mengenai autentikasi dan pengelolaan identitas digital. Tabel berikut merangkum persyaratan authenticator dan verifier dalam SP 800-63B serta bagaimana ADSelfService Plus dapat membantu organisasi Anda memenuhi persyaratan tersebut.
| Persyaratan NIST | Deskripsi persyaratan | Bagaimana ADSelfService Plus membantu memenuhi persyaratan |
| Section 5.1.1.1 | Memorized secret, yaitu password, passphrase, atau PIN, harus memiliki minimal delapan karakter, dengan rekomendasi minimal 15 karakter untuk keamanan yang lebih baik. Panjang maksimum password harus mendukung hingga 64 karakter. | Dengan Password Policy Enforcer dari ADSelfService Plus, Anda dapat menyesuaikan panjang minimum password menjadi delapan karakter atau 15 karakter sesuai rekomendasi, tergantung pada kebutuhan organisasi Anda. Anda juga dapat mengatur panjang maksimum password hingga 64 karakter. |
| Section 5.1.1.1 | Semua karakter American Standard Code for Information Interchange (ASCII), termasuk karakter spasi, serta karakter Unicode harus diterima oleh verifier dalam memorized secret. | ADSelfService Plus memungkinkan Anda mengonfigurasi jumlah karakter spesial, Unicode, numerik, huruf besar, dan huruf kecil yang harus disertakan pengguna dalam password mereka. Anda juga dapat menentukan jenis karakter yang harus digunakan di awal password. |
| Section 5.1.1.1 | Pengguna tidak boleh diberikan petunjuk oleh verifier untuk membantu mereka mengingat memorized secret. | ADSelfService Plus tidak menyediakan password hint kepada pengguna selama proses verifikasi identitas. |
| Section 5.1.1.1 | Memorized secret pengguna tidak boleh mengandung secret yang pernah bocor sebelumnya; kata dalam kamus; karakter berulang atau berurutan (misalnya aaaaaa atau 1234abcd); atau kata yang spesifik terhadap konteks, seperti nama layanan, username, dan turunannya. Verifier harus meminta pengguna memilih secret lain jika salah satu kondisi tersebut terpenuhi. | ADSelfService Plus memungkinkan Anda membatasi pengguna agar tidak menggunakan kata kamus, palindrome, pola yang mudah ditebak, karakter berulang, serta karakter berurutan dari username dan password lama saat membuat password baru. Dengan integrasi ke Have I Been Pwned?, database breached password, solusi ini memastikan pengguna tidak menetapkan password yang lemah atau telah terekspos saat reset maupun change password. |
| Section 5.1.1.1 | Verifier sebaiknya menyediakan password strength meter untuk membantu pengguna memilih memorized secret yang kuat. | ADSelfService Plus menyediakan Password Strength Analyzer yang memberikan umpan balik visual secara instan mengenai kekuatan password saat pengguna mengganti atau mereset password mereka. |
| Section 5.1.1.1 | Memorized secret tidak boleh diubah secara berkala kecuali ada bukti bahwa secret tersebut telah terkompromi. | ADSelfService Plus tidak mendorong end-user untuk sering atau secara berkala mengganti password. Namun, admin dapat memicu tindakan automatic password reset bagi pengguna dengan password yang berpotensi terkompromi. |
| Section 5.1.1.1 | Pengguna harus diizinkan menggunakan fungsi paste saat memasukkan memorized secret, karena hal ini mendukung penggunaan password manager dan meningkatkan kemungkinan pengguna memilih memorized secret yang lebih kuat. | Dengan ADSelfService Plus, Anda dapat mengizinkan atau mencegah pengguna menggunakan fungsi copy dan paste pada field password. |
| Section 5.1.1.1 | Untuk membantu pengguna memasukkan memorized secret dengan benar, verifier sebaiknya menyediakan opsi untuk menampilkan secret tersebut—alih-alih hanya berupa deretan titik atau tanda bintang—sampai selesai dimasukkan. | ADSelfService Plus memberi pengguna opsi untuk melihat password mereka saat sedang diketik. |
| Section 5.2.2 | Untuk melindungi dari serangan online guessing, upaya autentikasi gagal berturut-turut pada satu akun harus dibatasi tidak lebih dari 100 kali. | ADSelfService Plus memungkinkan Anda mengonfigurasi jumlah percobaan logon gagal yang diizinkan untuk pengguna dalam periode waktu tertentu, beserta durasi lockout-nya. |
| Section 5.2.2 | Untuk mengurangi kemungkinan attacker mengunci akun pengguna yang sah, CAPTCHA harus diselesaikan sebelum mencoba autentikasi. | ADSelfService Plus memungkinkan Anda menampilkan atau menyembunyikan CAPTCHA sebelum pengguna mencoba autentikasi. |
| Section 5.2.2 | Untuk mengurangi kemungkinan attacker mengunci akun pengguna yang sah, teknik autentikasi berbasis risiko atau adaptive authentication harus diterapkan, termasuk penggunaan IP address, geolokasi, pola waktu permintaan, atau metadata browser. | ADSelfService Plus menyediakan conditional access policies yang secara otomatis menerapkan metode MFA tambahan sesuai konfigurasi untuk permintaan akses mencurigakan berdasarkan IP, geolokasi, waktu akses, dan device yang digunakan pengguna. |
| Section 5.2.3 | Untuk keterbatasan keamanan tertentu yang dijelaskan pada bagian ini, biometrik hanya boleh digunakan sebagai bagian dari MFA bersama physical authenticator (sesuatu yang Anda miliki), bukan sebagai authenticator mandiri. | ADSelfService Plus memungkinkan Anda mengonfigurasi biometric authenticator bersama authenticator lain, termasuk YubiKey, TOTP, dan smart card. |
| Section 5.2.3 | Tidak boleh diizinkan lebih dari lima percobaan autentikasi biometrik gagal secara berturut-turut. | ADSelfService Plus memungkinkan Anda mengonfigurasi jumlah percobaan logon gagal yang diizinkan untuk pengguna dalam periode waktu tertentu. |
| Section 5.2.3 | Jika terjadi lima percobaan autentikasi biometrik gagal berturut-turut, harus diterapkan jeda minimal 30 detik sebelum percobaan berikutnya atau biometric authenticator harus dinonaktifkan sepenuhnya. | ADSelfService Plus memungkinkan Anda mengonfigurasi durasi lockout akun jika terjadi kegagalan autentikasi biometrik. |
| Section 5.2.5 | Untuk menahan serangan phishing dan manipulator-in-the-middle (MITM), mekanisme autentikasi verifier impersonation-resistant harus diterapkan. | ADSelfService Plus menyediakan FIDO passkey authenticator yang tahan terhadap serangan phishing dan MITM berkat teknologi public key cryptography. |
| Section 5.2.8 | Untuk menahan replay attack, mekanisme autentikasi replay-resistant harus diterapkan. | ADSelfService Plus menyediakan FIDO passkey authenticator yang tahan terhadap replay attack dengan teknologi public key cryptography. |
Selain itu, NIST mengklasifikasikan mekanisme autentikasi ke dalam tiga kategori yang disebut Authenticator Assurance Levels (AAL): AAL1, AAL2, dan AAL3. Klik di sini untuk mempelajari lebih lanjut tentang AAL dan perbedaannya.
Panduan dan tips password NIST
Penerapan kebijakan password NIST secara efektif membutuhkan pemahaman terhadap persyaratan teknis sekaligus pertimbangan praktis di organisasi Anda. Rekomendasi password NIST terbaru menekankan pendekatan yang berpusat pada pengguna, dengan keseimbangan antara keamanan dan kemudahan penggunaan. Berikut beberapa tips penting untuk implementasi yang efektif:
Tip #1: Prioritaskan panjang password daripada kompleksitas
Saat mengonfigurasi pengaturan panjang password NIST, organisasi sebaiknya memprioritaskan rekomendasi minimum 15 karakter dibandingkan batas minimum delapan karakter. Pendekatan ini memberikan perlindungan yang jauh lebih kuat terhadap metode serangan modern, sekaligus tetap mudah dikelola oleh pengguna. Dukungan hingga 64 karakter juga mengakomodasi pengguna yang memilih passphrase, yang sering kali lebih aman dan lebih mudah diingat dibandingkan password pendek yang kompleks.
Tip #2: Terapkan standar kompleksitas modern
Panduan kompleksitas password NIST modern telah berkembang melampaui persyaratan tradisional terkait jenis karakter. Alih-alih memaksa pengguna menyertakan kombinasi huruf besar, huruf kecil, angka, dan simbol tertentu, standar kompleksitas password NIST saat ini lebih berfokus pada penyaringan terhadap kerentanan yang sudah dikenal serta mendorong pola pembuatan password yang lebih natural, mudah diingat, dan tetap aman dikelola oleh pengguna.
Tip #3: Terapkan kontrol password history yang efektif
Pengelolaan password history NIST yang efektif membantu mencegah password cycling, yaitu ketika pengguna bergantian memakai sejumlah kecil password yang sama. Dengan menerapkan kontrol password history yang tepat melalui ADSelfService Plus, pengguna tidak dapat begitu saja kembali menggunakan password yang baru dipakai, sehingga integritas sistem autentikasi tetap terjaga seiring waktu.
Tip #4: Gunakan framework keamanan yang menyeluruh
Organisasi yang mengikuti persyaratan password NIST perlu mempertimbangkan konteks keamanan autentikasi secara lebih luas. Aturan password NIST akan lebih efektif jika dipadukan dengan langkah-langkah keamanan pelengkap seperti MFA, pemantauan kebocoran, dan edukasi pengguna. Tujuannya adalah membangun framework keamanan yang komprehensif, yang menerapkan standar password NIST terkini sekaligus tetap mendukung operasional bisnis dan produktivitas pengguna. Untuk strategi implementasi dan praktik terbaik yang lebih mendetail, lihat panduan lengkap standar password NIST kami.
Penuhi standar password dan autentikasi NIST dengan ADSelfService Plus
ADSelfService Plus menyediakan Password Policy Enforcer, access policies, dan kapabilitas MFA untuk membantu organisasi Anda memenuhi persyaratan password dan standar autentikasi NIST.
Password Policy Enforcer
Password Policy Enforcer memungkinkan Anda menerapkan kebijakan password kustom yang terintegrasi secara mulus dengan kebijakan password AD bawaan, sehingga memberikan kontrol yang lebih granular. Kebijakan password ADSelfService Plus dapat diatur untuk menerapkan persyaratan berikut:
- Batasi Karakter
- Batasi Pengulangan
- Batasi Pola
- Batasi Panjang
Pengaturan ini mencakup penetapan jumlah karakter spesial, numerik, dan Unicode. Anda juga dapat menentukan jenis karakter yang harus digunakan di awal password.
Batasi pengguna agar tidak menggunakan kembali password lama mereka saat membuat password baru.
Batasi pengguna agar tidak menggunakan kembali password lama mereka saat membuat password baru.
Pengaturan ini membantu membatasi penggunaan karakter berurutan dari username atau password sebelumnya. Pengulangan karakter yang sama secara berturut-turut juga dapat dibatasi.
Batasi pengguna agar tidak menggunakan kembali password lama mereka saat membuat password baru.
Batasi pengguna agar tidak menggunakan kembali password lama mereka saat membuat password baru.
Pengaturan pada tab ini membantu membatasi kata kamus kustom, pola, dan palindrome yang umum digunakan.
Batasi pengguna agar tidak menggunakan pola umum, kata kamus, dan palindrome dalam password mereka.
Batasi pengguna agar tidak menggunakan pola umum, kata kamus, dan palindrome dalam password mereka.
Aturan ini memungkinkan Anda menetapkan jumlah minimum dan maksimum karakter untuk password.
Konfigurasikan panjang minimum dan maksimum password untuk memenuhi panduan password NIST.
Konfigurasikan panjang minimum dan maksimum password untuk memenuhi panduan password NIST.
Access policies
ADSelfService Plus memungkinkan Anda mendefinisikan sejumlah self-service policy dalam satu domain. Kebijakan ini dapat dikonfigurasi seperti yang ditunjukkan di bawah agar organisasi Anda memenuhi persyaratan dan standar password NIST untuk keamanan password yang lebih baik.
- Tetapkan jumlah maksimum kegagalan verifikasi identitas yang diizinkan, setelah itu pengguna akan diblokir secara otomatis.
- Batasi jumlah reset password yang dapat dilakukan pengguna melalui self-service.
- Izinkan atau cegah tindakan copy dan paste pada field password untuk mematuhi panduan kebijakan password NIST.
- Terapkan pengaturan password history AD saat reset password untuk membatasi penggunaan ulang password sesuai aturan password NIST.
- Aktifkan Password Strength Analyzer untuk membantu pengguna saat membuat password dengan menampilkan tingkat kekuatan password.
- Sediakan verifikasi kode CAPTCHA pada login pengguna untuk menambah keamanan.
- 1
Aktifkan Password Strength Analyzer untuk membantu pengguna saat membuat password dengan menampilkan tingkat kekuatan password.
2Terapkan pengaturan password history AD saat reset password untuk membatasi penggunaan ulang password.
Aktifkan Password Strength Analyzer untuk membantu pengguna saat membuat password dengan menampilkan tingkat kekuatan password.
Terapkan pengaturan password history AD saat reset password untuk membatasi penggunaan ulang password. - 1
Sediakan verifikasi kode CAPTCHA pada login pengguna untuk menambah keamanan.
Sediakan verifikasi kode CAPTCHA pada login pengguna untuk menambah keamanan.
- 1
Tetapkan jumlah maksimum kegagalan verifikasi identitas yang diizinkan, setelah itu pengguna akan diblokir secara otomatis.
2Batasi jumlah reset password yang dapat dilakukan pengguna melalui self-service.
Tetapkan jumlah maksimum kegagalan verifikasi identitas yang diizinkan, setelah itu pengguna akan diblokir secara otomatis.
Batasi jumlah reset password yang dapat dilakukan pengguna melalui self-service.
MFA
ADSelfService Plus menyediakan MFA untuk application, baik yang berbasis cloud maupun on-premises, serta endpoint. Solusi ini membantu Anda mengurangi attack surface dan melindungi bisnis dengan menerapkan tingkat jaminan identitas yang lebih tinggi.
Alasan organisasi Anda membutuhkan dukungan MFA dari ADSelfService Plus:
- Mengautentikasi pengguna dengan teknik adaptive MFA selain username dan password default mereka.
- Menyediakan 20 authenticator berbeda yang dapat dipilih, termasuk biometrik, FIDO passkey, Duo Security, TOTP, YubiKey, dan smart card.
- Memungkinkan konfigurasi workflow untuk menyesuaikan authenticator bagi pengguna dari OU, domain, atau grup yang berbeda.
- Mengamankan upaya login lokal maupun remote pada server dan workstation.
- Mengatasi seluruh serangan siber berbasis kredensial, termasuk phishing, brute-force, password spray, dan dictionary attack.
- Membantu organisasi Anda memenuhi mandat kepatuhan GDPR, PCI DSS, dan HIPAA, selain NIST SP 800-63B.
- 1
Amankan akses pengguna ke semua endpoint di jaringan Anda, seperti mesin, VPN, login Outlook on the web, dan application, menggunakan MFA.
Amankan akses pengguna ke semua endpoint di jaringan Anda, seperti mesin, VPN, login Outlook on the web, dan application, menggunakan MFA.
- 1
Tentukan jumlah dan jenis metode MFA yang harus digunakan pengguna untuk mendapatkan akses ke resource.
Tentukan jumlah dan jenis metode MFA yang harus digunakan pengguna untuk mendapatkan akses ke resource.
- 1
Pilih dari 20 authenticator berbeda untuk memverifikasi identitas pengguna Anda.
1Siapkan alur MFA yang berbeda untuk grup atau departemen yang berbeda di organisasi Anda.
Pilih dari 20 authenticator berbeda untuk memverifikasi identitas pengguna Anda.
Siapkan alur MFA yang berbeda untuk grup atau departemen yang berbeda di organisasi Anda.
Manfaat menggunakan ADSelfService Plus untuk memenuhi persyaratan password NIST
- Fleksibilitas yang granular
Sesuaikan konfigurasi kebijakan password NIST untuk berbagai peran pengguna di organisasi berdasarkan tingkat akses mereka ke data sensitif.
- Integrasi dengan Have I Been Pwned?
Integrasikan dengan Have I Been Pwned?, database breached password, untuk memastikan pengguna menghindari password yang lemah atau terkompromi saat reset dan change password, sehingga membantu organisasi memenuhi rekomendasi password NIST.
- Conditional access policies
Secara otomatis memperketat metode MFA untuk permintaan akses yang mencurigakan dengan conditional access policies berdasarkan IP, lokasi, dan waktu akses pengguna.
- Kepatuhan terhadap regulasi lainnya
Selaraskan dengan standar PCI DSS, HIPAA, Essential Eight, CJIS, SOX, dan GDPR.
Perkuat pertahanan siber bisnis Anda dengan ADSelfService Plus, solusi serbaguna yang membantu karyawan Anda menerapkan panduan password NIST dan praktik terbaik untuk proses autentikasi yang aman.
Keunggulan ADSelfService Plus
Password self-service
Hilangkan kebutuhan akan panggilan help desk yang panjang bagi pengguna Windows AD dengan menyediakan kemampuan self-service password reset dan account unlock.
Satu identitas dengan single sign-on
Dapatkan akses satu klik yang mulus ke lebih dari 100 cloud application. Dengan enterprise single sign-on, pengguna dapat mengakses semua cloud application mereka menggunakan kredensial Windows AD.
Sinkronisasi password
Sinkronkan password pengguna Windows AD dan perubahan akun secara otomatis di berbagai sistem, termasuk Microsoft 365, Google Workspace, dan IBM iSeries.
MFA
Aktifkan MFA berbasis konteks dengan 20 faktor autentikasi berbeda untuk login endpoint, application, VPN, Outlook on the web, dan RDP.
Notifikasi kedaluwarsa password dan akun
Beri tahu pengguna Windows AD tentang password dan akun yang akan kedaluwarsa melalui notifikasi email dan SMS.
Password Policy Enforcer
Password yang kuat dapat menahan berbagai ancaman peretasan. Terapkan password yang patuh pada pengguna Windows AD dengan menampilkan persyaratan kompleksitas password.
