Teknik Mitigasi Ancaman
Ada sejumlah teknik mitigasi ancaman yang tersedia yang dapat Anda gunakan untuk mengamankan kata sandi dengan lebih baik. Teknik-teknik ini diimplementasikan dengan menggunakan satu atau beberapa dari empat teknologi utama berikut.
| Teknologi | Deskripsi |
|---|---|
| KriptoAPI | CryptoAPI menyediakan serangkaian fungsi yang membantu Anda menerapkan rutinitas kriptografi ke entitas target. CryptoAPI dapat menyediakan hash, hash, enkripsi, dan dekripsi, untuk menyebutkan fungsionalitas utamanya. CryptoAPI juga memiliki fitur lain. Untuk mempelajari tentang kriptografi dan Kriptografi, lihat Kriptografi Esensial. |
| Daftar kontrol akses | Daftar kontrol akses (ACL) adalah daftar perlindungan keamanan yang berlaku untuk objek. Objek dapat berupa file, proses, peristiwa, atau apa pun yang memiliki deskriptor keamanan. Untuk informasi selengkapnya tentang ACL, lihat Daftar Access Control (ACL). |
| API perlindungan data | API perlindungan data (DPAPI) menyediakan empat fungsi berikut yang Anda gunakan untuk mengenkripsi dan mendekripsi data sensitif: CryptProtectData, CryptUnprotectData, CryptProtectMemory, dan CryptUnprotectMemory. |
| Nama pengguna dan kata sandi tersimpan | Storage fungsionalitas yang membuat penanganan kata sandi pengguna dan kredensial lainnya, seperti kunci privat, lebih mudah, lebih konsisten, dan lebih aman. Untuk informasi selengkapnya tentang fungsionalitas ini, lihat CredUIPromptForCredentials. |
Teknologi ini tidak tersedia di semua sistem operasi. Oleh karena itu, sejauh mana keamanan dapat ditingkatkan tergantung pada sistem operasi mana yang terlibat. Berikut adalah teknologi yang tersedia di setiap sistem operasi.
| Sistem operasi | Teknologi |
|---|---|
| Windows Server 2003 dan Windows XP |
|
| Windows 2000 |
|
Teknik mitigasi ancaman berikut menggunakan satu atau beberapa dari empat teknologi. Teknik yang memerlukan penggunaan teknologi yang tidak termasuk dalam sistem operasi tidak dapat digunakan.
Mendapatkan Kata Sandi dari Pengguna
Saat Anda mengizinkan pengguna untuk menyiapkan kata sandi, paksa penggunaan kata sandi yang kuat. Misalnya, mengharuskan kata sandi menjadi panjang minimum seperti delapan karakter atau lebih. Kata sandi juga harus disertakan huruf besar dan huruf kecil, angka, dan karakter keyboard lainnya seperti tanda dolar ($), tanda seru (!), atau lebih besar dari (>).
Setelah Anda mendapatkan kata sandi, gunakan dengan cepat (gunakan kode sesedikitan mungkin), lalu hapus semua batasan kata sandi. Ini meminimalkan waktu yang tersedia untuk penyusup untuk "menjebak" kata sandi. Trade-off dengan teknik ini adalah frekuensi yang kata sandinya harus diambil dari pengguna; namun, prinsipnya harus dipekerjakan sedapat mungkin. Untuk informasi tentang cara mendapatkan kata sandi dengan benar, lihat Meminta Kredensial kepada Pengguna.
Hindari menyediakan opsi antarmuka pengguna "ingat kata sandi saya". Seringkali, pengguna akan menuntut untuk memiliki opsi ini. Jika Anda harus menyediakannya, maka minimal, pastikan kata sandi disimpan dengan cara yang aman. Untuk informasi, lihat bagian Menyimpan Kata Sandi, nanti dalam topik ini.
Batasi percobaan entri kata sandi. Setelah sejumlah percobaan tanpa keberhasilan, kunci pengguna untuk jangka waktu tertentu. Secara opsional, perpanjang waktu respons untuk setiap percobaan maksimal. Teknik ini bertujuan untuk mengalahkan serangan tebakan.
Menyimpan Kata Sandi
Jangan pernah menyimpan kata sandi dalam teks biasa (tidak terenkripsi). Mengenkripsi kata sandi secara signifikan meningkatkan keamanannya. Untuk informasi tentang menyimpan kata sandi terenkripsi, lihat CryptProtectData. Untuk informasi tentang mengenkripsi kata sandi dalam memori, lihat CryptProtectMemory. Simpan kata sandi di beberapa tempat sesempurna mungkin. Semakin banyak tempat kata sandi disimpan, semakin besar kemungkinan penyusup menemukannya. Jangan pernah menyimpan kata sandi di halaman web atau dalam file berbasis web. Menyimpan kata sandi di halaman web atau dalam file berbasis web memungkinkan mereka untuk dengan mudah disusupi.
Setelah Anda mengenkripsi kata sandi dan menyimpannya, gunakan ACL aman untuk membatasi akses ke file. Atau, Anda dapat menyimpan kata sandi dan kunci enkripsi pada perangkat yang dapat dilepas. Menyimpan kata sandi dan kunci enkripsi pada media yang dapat dilepas, seperti kartu pintar, membantu menciptakan sistem yang lebih aman. Setelah kata sandi diambil untuk sesi tertentu, kartu dapat dihapus, sehingga menghapus kemungkinan bahwa penyusup dapat memperoleh akses ke sana.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk