Dokumen tersebut membahas tentang kebijakan kata sandi yang memadai. Ia menjelaskan bahwa kata sandi yang rumit tidak selalu lebih aman, dan kata sandi yang panjang lebih sulit ditebak meskipun hanya menggunakan huruf dan angka. Dokumen tersebut juga memberikan pedoman pembuatan kata sandi yang kuat yaitu menggunakan frasa beberapa kata dan minimal 14 karakter serta menganjurkan penggunaan otentikasi f

1. Adequate
Password Policy
Oleh: Didiet Kusumadihardja | didiet@arch.web.id
Terakhir diperbaharui: 22 March 2019

2. Tentang Penulis
22 Maret 2019 Adequate Password Policy oleh Didiet Kusumadihardja 2
Didiet Kusumadihardja memiliki lebih dari 12 tahun pengalaman di bidang Teknologi
Informasi (TI), terutama dalam jaringan komputer dan infrastruktur sistem dengan
berbagai jenis produk TI mulai dari produk kelas menengah ke bawah hingga produk
kelas menengah ke atas, dari yang proprietary hingga open-source.
Didiet memiliki pengalaman dalam berbagai area mulai dari Wireless Internet Service
Providers (WISP), startup (e-commerce), manage services, uji tuntas TI, audit TI,
keamanan TI, pengujian penetrasi, layanan konsultasi TI, dan layanan pelatihan.
Kualifikasi dan Afiliasi Profesional:
 Sarjana Teknik, teknik Elektro, Universitas Katolik Indonesia Atma Jaya
 Terdaftar sebagai anggota komite EC-Council Certified Network Defense Scheme
 Terdaftar sebagai anggota Indonesia Honeynet Project (IHP)
 Terdaftar sebagai MikroTik Certified Consultant Indonesia region
 Terdaftar sebagai MikroTik Certified Trainer Indonesia region
 Terpilih dan telah lulus dari Cisco Cybersecurity Scholarship - CCNA Cyber Ops
 Penguji eksternal Uji Kompetensi Kejuruan Nasional Teknik Komputer & Jaringan (UKK
TKJ) at SMK Bina Informatika Bintaro tahun 2017 & 2018
 Dan memiliki beberapa sertifikasi professional lainnya seperti CEH, CND, JNCIA, VCA-
DCV, MTCIPv6E, MTCTCE, MTCINE, MTCWE, MTCRE, MTCUME, MTCNA, UBWA,
UEWA, UBRSA, USRS & HE IPv6 Certification
Mobile/WA: +62 813 1115 0054 | Email: didiet@arch.web.id

3. Adequate password policy?
• Salah satu kontrol keamanan Teknologi Informasi (TI) yang biasa
diterapkan dalam perusahaan adalah kebijakan kata kunci (password).
• Tetapi kebijakan password seperti apa yang dinilai sudah memadai?
• Contoh aturan password yang rumit:
• Panjang minimal 8 karakter
• Memiliki huruf besar dan kecil
• Memiliki paling sedikit satu angka (contoh: 0-9)
• Memiliki paling sedikit satu simbol (contoh: !$%^&*()_+|~-=`{}[]:";'<>?,/)
• Kombinasi password yang rumit, bukan berarti anda akan lebih aman.
22 Maret 2019 Adequate Password Policy oleh Didiet Kusumadihardja 3

4. Password Strength
• Password yang panjang
tidak kebal dari cracking,
tetapi lebih sulit ditebak
oleh mesin dan lebih mudah
diingat oleh manusia.
• Sedangkan password yang
pendek, menggunakan
angka, simbol dan huruf
besar/kecil lebih mudah
ditebak oleh mesin dan
lebih sulit diingat oleh
manusia.
22 Maret 2019 Adequate Password Policy oleh Didiet Kusumadihardja 4
Gambar Randall Munroe, xkcd.com

5. Pedoman Pembuatan Password
• Password adalah komponen penting dari keamanan informasi.
Password berfungsi untuk melindungi pengguna akun; Namun,
password yang dibuat dengan buruk dapat menyebabkan sistem,
data, atau jaringan ditembus oleh orang yang tidak bertanggung
jawab.
• Password yang kuat harus memiliki karakter yang panjang, semakin
banyak karakter yang Anda miliki, semakin kuat password-nya.
• Rekomendasi panjang minimal password: 14 karakter
• Disarankan menggunakan frasa sandi (passphrase), password yang
terdiri dari beberapa kata.
• Contoh: "Sudah waktunya untuk liburan”, karena passphrase lebih
mudah diingat dan memenuhi persyaratan kekuatan.
22 Maret 2019 Adequate Password Policy oleh Didiet Kusumadihardja 5

6. Pedoman Pembuatan Password
• Setiap akun harus harus memiliki password yang unik dan berbeda.
• Disarankan untuk menggunakan ‘Password Manager’, untuk
memungkinkan pengguna menyimpan banyak password.
• Apabila memungkinkan, aktifkan juga penggunaan multi-factor
authentication.
22 Maret 2019 Adequate Password Policy oleh Didiet Kusumadihardja 6

7. Kebijakan Perlindungan Password
Pembuatan Password
• Semua password tingkat pengguna dan tingkat sistem harus sesuai
dengan Pedoman Pembuatan Password.
• Pengguna harus menggunakan password yang unik dan terpisah
untuk setiap akun terkait pekerjaan mereka. Pengguna tidak boleh
menggunakan password terkait pekerjaan untuk akun pribadi mereka.
• Akun pengguna yang memiliki hak tingkat sistem diberikan melalui
keanggotaan grup (Misal grup Administrator) harus memiliki password
yang unik dari semua akun lain yang dipegang pengguna tersebut
untuk mengakses hak istimewa tingkat sistem. Sangat disarankan
menggunakan multi-factor authentication untuk setiap akun istimewa.
22 Maret 2019 Adequate Password Policy oleh Didiet Kusumadihardja 7

8. Kebijakan Perlindungan Password
Perubahan Password
• Password harus diubah ketika ada alasan untuk meyakini password
telah dicuri.
• Password cracking atau guessing dapat dilakukan secara berkala atau
acak oleh Tim Infosec/audit. Jika password berhasil ditebak atau
dipecahkan, pengguna harus diminta untuk mengubahnya agar sesuai
dengan Pedoman Pembuatan Password.
22 Maret 2019 Adequate Password Policy oleh Didiet Kusumadihardja 8

9. Kebijakan Perlindungan Password
Perlindungan Password
• Password tidak boleh dibagikan kepada siapa pun, termasuk supervisor dan
rekan kerja. Semua password harus diperlakukan sebagai informasi rahasia
dan sensitif.
• Password tidak boleh dimasukkan ke dalam pesan email atau bentuk lain dari
komunikasi elektronik, atau diungkapkan melalui telepon kepada siapa pun.
• Password hanya dapat disimpan di “Password Manager" yang disahkan oleh
organisasi.
• Jangan menggunakan fitur "Ingat Kata Sandi“/”remember password” dari
aplikasi (misalnya, web browser).
• Setiap pengguna yang mencurigai bahwa password-nya mungkin telah dicuri
harus melaporkan insiden tersebut dan mengubah semua password.
22 Maret 2019 Adequate Password Policy oleh Didiet Kusumadihardja 9

10. Kebijakan Perlindungan Password
Pengembangan Aplikasi
Pengembang aplikasi harus memastikan bahwa aplikasi mereka
mengandung tindakan pencegahan keamanan berikut ini:
• Aplikasi harus mendukung otentikasi pengguna individual, bukan grup.
• Aplikasi tidak boleh menyimpan password dalam teks yang jelas (clear
text) atau dalam bentuk yang mudah dibalik.
• Aplikasi tidak boleh mengirimkan password dalam clear text melalui
jaringan.
• Aplikasi harus menyediakan semacam manajemen peran, sehingga
pengguna dapat mengambil fungsi orang lain tanpa harus mengetahui
password orang lain.
22 Maret 2019 Adequate Password Policy oleh Didiet Kusumadihardja 10

11. Kebijakan Perlindungan Password
Multi-Factor Authentication
• Penggunaan multi-factor authentication sangat dianjurkan dan harus
digunakan apabila memungkinkan, tidak hanya untuk akun yang
terkait dengan pekerjaan tetapi juga akun pribadi.
• Multi-factor authentication melibatkan penggunaan beberapa atau
semua hal berikut ini:
• Something you know (misal, password)
• Something you have (misal, authentication token)
• Something you are (misal, fingerprint, facial scan)
22 Maret 2019 Adequate Password Policy oleh Didiet Kusumadihardja 11

12. Strategi Pembuatan dan Perubahan Password
Berikut ini beberapa strategi yang perlu diingat oleh para pengguna pada saat
membuat atau mengubah password:
• Komunikasikan informasi dengan jelas tentang cara membuat dan mengubah
password.
• Komunikasikan persyaratan password dengan jelas.
• Ijinkan setidaknya 64 karakter panjang password untuk mendukung
penggunaan passphrase. Ijinkan pengguna untuk membuat password yang
bisa dihafal selama yang mereka inginkan, menggunakan karakter apa pun
yang mereka suka (termasuk spasi), sehingga memudahkan untuk dihafal.
• Jangan memaksakan aturan komposisi lainnya (misal, campuran dari
berbagai jenis karakter) pada password yang dihafal.
• Jangan meminta password yang sudah dihafal diubah secara sewenang-
wenang (misal, secara berkala) kecuali ada permintaan pengguna atau bukti
bahwa password sudah dicuri.
• Berikan umpan balik yang jelas, bermakna, dan dapat ditindaklanjuti ketika
password yang dipilih ditolak (misal, ketika kata itu muncul di "daftar hitam"
password yang tidak dapat diterima atau telah digunakan sebelumnya).
Sarankan pengguna bahwa mereka perlu memilih password yang berbeda
karena pilihan mereka sebelumnya biasa digunakan.
22 Maret 2019 Adequate Password Policy oleh Didiet Kusumadihardja 12

13. Karakteristik password/passphrase yang lemah
Password/passphrase yang lemah memiliki karakteristik sebagai
berikut:
• Hanya terdiri dari delapan (8) karakter atau kurang.
• Berisi informasi pribadi seperti tanggal lahir, alamat, nomor telepon,
nama anggota keluarga, hewan peliharaan, teman, nama perusahaan
dan karakter fantasi.
• Berisi pola angka seperti aaabbb, qwerty, zyxwvuts, atau 123321.
22 Maret 2019 Adequate Password Policy oleh Didiet Kusumadihardja 13

14. Referensi
• Baker, Jessica. (2017). The New NIST SP 800-63 Password Guidelines. IT Freedom. https://blog.itfreedom.com/blog/nist-
sp-800-63-password-guidelines (Diakses 2019-03-22).
• Center for Internet Security. (2015) CIS Debian Linux 7 Benchmark v1.0.0. http://benchmarks.cisecurity.org (Diakses 2018-
08-31).
• Center for Internet Security. (2018) CIS Microsoft Windows Server 2012 R2 Benchmark v2.3.0.
http://benchmarks.cisecurity.org (Diakses 2018-08-31).
• Garcia, Mike. (2017). Easy Ways to Build a Better P@$5w0rd. NIST. https://www.nist.gov/blogs/taking-measure/easy-ways-
build-better-p5w0rd (Diakses 2019-03-22).
• Grassi, Paul. (2017). Mic Drop — Announcing the New Special Publication 800-63 Suite!. NIST. https://www.nist.gov/blogs/i-
think-therefore-iam/mic-drop-announcing-new-special-publication-800-63-suite (Diakses 2019-03-22).
• Johnston, Casey. (2013). Password complexity rules more annoying, less effective than lengthy ones.
https://arstechnica.com/information-technology/2013/06/password-complexity-rules-more-annoying-less-effective-than-
length-ones/ (Diakses 2019-03-22).
• Masters, Greg. (2017). Shift in password strategy from NIST. Haymarket Media.
https://www.scmagazine.com/home/security-news/privacy-compliance/shift-in-password-strategy-from-nist/ (Diakses 2019-
03-22).
• NIST. (2017). NIST Special publication 800-63-3 Digital Identity Guidelines. National Institute of Standards and Technology.
https://doi.org/10.6028/NIST.SP.800-63-3 (Diakses 2019-03-22).
• NIST. (2017). NIST Special publication 800-63A Digital Identity Guidelines Enrollment and Identity Proofing. National
Institute of Standards and Technology. https://doi.org/10.6028/NIST.SP.800-63a (Diakses 2019-03-22).
• NIST. (2017). NIST Special publication 800-63B Digital Identity Guidelines Authentication and Lifecycle Management.
National Institute of Standards and Technology. https://doi.org/10.6028/NIST.SP.800-63b (Diakses 2019-03-22).
• NIST. (2017). NIST Special publication 800-63C Digital Identity Guidelines Federation and Assertions. National Institute of
Standards and Technology. https://doi.org/10.6028/NIST.SP.800-63c (Diakses 2019-03-22).
• SANS Policy Team. (2014). Password Construction Guidelines. SANS Institute. https://www.sans.org/security-
resources/policies/general (Diakses 2017-06-15).
• SANS Policy Team. (2017). Password Construction Guidelines. SANS Institute. https://www.sans.org/security-
resources/policies/general (Diakses 2019-03-21).
Adequate Password Policy oleh Didiet Kusumadihardja 1422 Maret 2019

15. Diijinkan menggunakan sebagian
atau seluruh materi pada modul ini,
baik berupa ide, foto, tulisan,
konfigurasi dan diagram selama
untuk kepentingan pengajaran, dan
memberikan kredit kepada penulis
serta link ke www.arch.web.id
Adequate Password Policy
Didiet
Kusumadihardja
Mobile: +62 813 1115 0054
e-mail: didiet@arch.web.id
22 Maret 2019 Adequate Password Policy oleh Didiet Kusumadihardja 15