Bagikan melalui

Metode autentikasi di ID Microsoft Entra - pertanyaan keamanan

Pertanyaan keamanan tidak digunakan sebagai metode autentikasi selama peristiwa masuk. Sebaliknya, pertanyaan keamanan dapat digunakan selama proses pengaturan ulang kata sandi mandiri (SSPR) untuk mengonfirmasi siapa Anda. Akun administrator tidak dapat menggunakan pertanyaan keamanan sebagai metode verifikasi dengan SSPR.

Penting

Penghentian kebijakan warisan: Pada 30 September 2025, kebijakan autentikasi multifaktor warisan dan pengaturan ulang kata sandi mandiri tidak akan digunakan lagi. Pengaturan akan beralih ke kebijakan metode autentikasi modern, yang tidak mendukung pertanyaan keamanan. Organisasi yang masih menggunakan pertanyaan keamanan di portal lama sangat dianjurkan untuk bermigrasi ke metode autentikasi yang lebih kuat agar dapat beralih ke portal autentikasi modern dan menghindari beroperasi dalam keadaan yang tidak diperbarui dan tidak lagi didukung.

Pertanyaan keamanan harus dihilangkan dari strategi autentikasi Anda karena menimbulkan kerentanan keamanan yang signifikan. Jawaban sering dapat ditebak, digunakan kembali di seluruh situs, atau dapat ditemukan melalui kecerdasan sumber terbuka (OSINT). Pelaku ancaman dapat menghitung atau mengelabui pengguna untuk mendapatkan kemungkinan respons (nama keluarga, sekolah, lokasi), lalu memicu alur reset kata sandi untuk melewati metode autentikasi yang lebih kuat. Setelah pelaku ancaman berhasil mereset kata sandi—terutama pada akun tanpa autentikasi multifaktor—mereka mendapatkan kredensial yang valid, membuat sesi persisten, mendaftarkan metode autentikasi tambahan, menambahkan aturan penerusan, dan menyelundupkan data sensitif.

Meskipun beberapa organisasi mungkin memiliki alasan bisnis untuk terus menggunakan pertanyaan keamanan, praktik ini sangat tidak disarankan karena kelemahan keamanan yang melekat pada autentikasi berbasis pengetahuan.

Saat pengguna mendaftar untuk SSPR, mereka diminta untuk memilih metode autentikasi yang akan digunakan. Jika mereka memilih untuk menggunakan pertanyaan keamanan, mereka memilih dari serangkaian pertanyaan untuk diminta dan kemudian memberikan jawaban mereka sendiri.

Cuplikan layar pusat admin Microsoft Entra yang memperlihatkan metode dan opsi autentikasi untuk pertanyaan keamanan

Nota

Pertanyaan keamanan disimpan secara privat dan aman pada objek pengguna di direktori dan hanya dapat dijawab oleh pengguna selama pendaftaran. Tidak ada cara bagi administrator untuk membaca atau mengubah pertanyaan atau jawaban pengguna.

Pertanyaan keamanan bisa kurang aman daripada metode lain karena beberapa orang mungkin mengetahui jawaban atas pertanyaan pengguna lain. Jika Anda menggunakan pertanyaan keamanan dengan SSPR, disarankan untuk menggunakannya bersama dengan metode lain. Pengguna dapat diminta untuk menggunakan Aplikasi Microsoft Authenticator atau autentikasi telepon untuk memverifikasi identitas mereka selama proses SSPR, dan memilih pertanyaan keamanan hanya jika mereka tidak memiliki ponsel atau perangkat terdaftar dengan mereka.

Pertanyaan yang telah ditentukan sebelumnya

Pertanyaan keamanan yang telah ditentukan sebelumnya berikut tersedia untuk digunakan sebagai metode verifikasi dengan SSPR. Semua pertanyaan keamanan ini diterjemahkan dan dilokalkan ke dalam kumpulan lengkap bahasa Microsoft 365 berdasarkan lokal browser pengguna:

  • Di kota mana Anda bertemu pasangan/mitra pertama Anda?
  • Di kota mana orang tuamu bertemu?
  • Di kota mana saudara terdekat Anda hidup?
  • Di kota apa ayahmu lahir?
  • Di kota apa pekerjaan pertamamu?
  • Di kota apa ibumu lahir?
  • Di kota apa kau berada di tahun baru tahun 2000?
  • Apa nama belakang guru favorit Anda di SMA?
  • Apa nama perguruan tinggi yang Anda daftar tetapi tidak jadi masuk?
  • Apa nama tempat Anda mengadakan resepsi pernikahan pertama Anda?
  • Siapa nama tengah ayahmu?
  • Apa makanan favorit Anda?
  • Apa nama depan dan belakang nenek ibu Anda?
  • Siapa nama tengah ibumu?
  • Berapa bulan dan tahun ulang tahun saudara tertua Anda? (misalnya, November 1985)
  • Apa nama tengah saudara tertua Anda?
  • Apa nama depan dan belakang kakek dari ayah Anda?
  • Apa nama tengah saudara bungsu kamu?
  • Sekolah apa yang anda hadiri untuk kelas enam?
  • Siapa nama depan dan belakang sahabat masa kecilmu?
  • Apa nama depan dan belakang dari pasangan signifikan pertama Anda?
  • Apa nama belakang guru sekolah kelas favorit Anda?
  • Apa merek dan model mobil atau sepeda motor pertama Anda?
  • Apa nama sekolah pertama yang Anda hadiri?
  • Apa nama rumah sakit di mana Anda dilahirkan?
  • Apa nama jalan dari rumah masa kecil pertama Anda?
  • Siapa nama pahlawan masa kecilmu?
  • Apa nama boneka hewan favorit Anda?
  • Siapa nama hewan peliharaan pertama Anda?
  • Apa nama panggilan masa kecil Anda?
  • Apa olahraga favorit Anda di SMA?
  • Apa pekerjaan pertama Anda?
  • Berapa empat digit terakhir nomor telepon masa kecil Anda?
  • Ketika Anda masih muda, apa yang Anda inginkan ketika Anda tumbuh dewasa?
  • Siapa orang paling terkenal yang pernah Anda temui?

Pertanyaan keamanan kustom

Untuk fleksibilitas tambahan, Anda dapat menentukan pertanyaan keamanan kustom Anda sendiri. Panjang maksimum pertanyaan keamanan kustom adalah 200 karakter.

Pertanyaan keamanan kustom tidak dilokalkan secara otomatis seperti dengan pertanyaan keamanan default. Semua pertanyaan kustom ditampilkan dalam bahasa yang sama dengan yang dimasukkan di antarmuka pengguna administratif, bahkan jika lokal browser pengguna berbeda. Jika Anda memerlukan pertanyaan yang dilokalkan, Anda harus menggunakan pertanyaan yang telah ditentukan sebelumnya.

Persyaratan pertanyaan keamanan

Untuk pertanyaan keamanan default dan kustom, persyaratan dan batasan berikut berlaku:

  • Batas karakter jawaban minimum adalah tiga karakter.
  • Batas karakter jawaban maksimum adalah 40 karakter.
  • Pengguna tidak dapat menjawab pertanyaan yang sama lebih dari satu kali.
  • Pengguna tidak dapat memberikan jawaban yang sama untuk lebih dari satu pertanyaan.
  • Setiap set karakter dapat digunakan untuk menentukan pertanyaan dan jawabannya, termasuk karakter Unicode.
  • Jumlah pertanyaan yang ditentukan harus lebih besar dari atau sama dengan jumlah pertanyaan yang diperlukan untuk mendaftar.

Langkah berikutnya

Untuk memulai, lihat tutorial untuk pengaturan ulang kata sandi mandiri (SSPR).

Untuk mempelajari selengkapnya tentang konsep SSPR, lihat Cara kerja pengaturan ulang kata sandi mandiri Microsoft Entra.

Pelajari selengkapnya tentang mengonfigurasi metode autentikasi menggunakan Microsoft Graph REST API.

  • Last updated on