NIST (Institut Nasional Standar dan Teknologi AS), melarang persyaratan komposisi karakter tertentu untuk kata sandi

 (mastodon.social)
26 poin oleh GN⁺ 2024-09-26 | 14 komentar | Bagikan ke WhatsApp
  • NIST berencana melarang "persyaratan pembuatan kata sandi dengan kombinasi berbagai gaya karakter" dan "persyaratan perubahan kata sandi secara berkala". Hal ini dianggap sebagai kelemahan keamanan siber

Persyaratan kata sandi

  • Verifier dan CSP harus mewajibkan panjang kata sandi minimal 8 karakter, dan disarankan untuk mensyaratkan minimal 15 karakter SHALL
  • Verifier dan CSP sebaiknya mengizinkan panjang maksimum kata sandi setidaknya 64 karakter SHOULD
  • Verifier dan CSP sebaiknya mengizinkan semua karakter ASCII yang dapat dicetak serta karakter spasi dalam kata sandi SHOULD
  • Verifier dan CSP sebaiknya mengizinkan karakter Unicode dalam kata sandi. Saat mengevaluasi panjang kata sandi, setiap code point Unicode harus dihitung sebagai satu karakter SHOULD
  • Verifier dan CSP tidak boleh memberlakukan aturan komposisi lain pada kata sandi (misalnya, mewajibkan campuran berbagai jenis karakter) SHALL NOT
  • Verifier dan CSP tidak boleh mewajibkan pengguna untuk mengubah kata sandi secara berkala SHALL NOT. Namun, jika ada bukti kompromi terhadap authenticator, verifier harus memaksa perubahan SHALL
  • Verifier dan CSP tidak boleh mengizinkan subscriber menyimpan petunjuk yang dapat diakses oleh pihak yang mengklaim identitas tetapi tidak terautentikasi SHALL NOT
  • Verifier dan CSP tidak boleh memprompt subscriber untuk menggunakan knowledge-based authentication (KBA) atau pertanyaan keamanan saat memilih kata sandi SHALL NOT
  • Verifier harus memverifikasi seluruh kata sandi yang dikirimkan (yaitu, tidak boleh memotongnya) SHALL

Penyebutan lainnya

  • Masalah pada aturan lama: sebelumnya ada masalah di mana karakter Unicode tidak tersimpan dengan benar di platform tertentu. Namun kini Unicode memberikan entropi yang lebih besar
  • Persyaratan baru: pedoman NIST yang baru akan memasukkan persyaratan untuk mengizinkan Unicode arbitrer. Ini penting bagi perangkat lunak yang mengklaim mendukung internasionalisasi (i18n)
  • Aturan komposisi kata sandi: NIST mengubah aturan komposisi kata sandi dari "tidak direkomendasikan" menjadi "tidak diizinkan". Ini merupakan langkah penting untuk memperkuat keamanan
  • Benturan dengan standar industri: beberapa standar industri (misalnya PCI, ISO 27001:2022) masih memiliki persyaratan yang bertentangan dengan NIST. Ini membuat perusahaan sulit mengikuti aturan NIST yang baru
  • Penggunaan password manager: password manager berguna tidak hanya untuk situs web tetapi juga untuk berbagai sistem. Ada juga cara memasukkan kata sandi master melalui hardware token atau autentikasi biometrik
  • Batas panjang kata sandi: batas panjang kata sandi ditujukan untuk mencegah pengurasan sumber daya pada sistem autentikasi. Namun, batas yang terlalu pendek dapat menjadi kendala serius bagi keamanan

Ringkasan GN⁺

  • Aturan kata sandi baru dari NIST memperkuat keamanan dengan menghapus persyaratan keamanan lama yang tidak perlu dan merugikan.
  • Dukungan kata sandi Unicode akan sangat membantu pengguna internasional.
  • Karena benturan dengan beberapa standar industri, perusahaan mungkin akan kesulitan mengikuti aturan baru ini.
  • Password manager berguna di berbagai sistem, dan keamanan dapat diperkuat melalui hardware token.
  • Batas panjang kata sandi dimaksudkan untuk mencegah pengurasan sumber daya, tetapi batas yang terlalu pendek dapat menimbulkan masalah keamanan.

Bacaan terkait

14 komentar

 
2024-09-26
[Komentar ini disembunyikan.]
 
hided62 2024-09-26

Tempat yang membatasi panjang maksimum terlalu pendek memang agak disayangkan.
Sebenarnya, untuk kata sandi,

nasi set menu enak 0212341234 makan siang spesial 1 porsi bayar kartu

seperti kombinasi dari "kata-kata yang sudah ada" pun, kalau disambung beberapa sekaligus, tingkat kesulitannya naik drastis.
 
semjei 2024-09-27

Perusahaan kami juga mengubah pedomannya pada awal tahun ini, sehingga diganti menjadi rangkaian 4 kata bahasa Inggris acak atau lebih.
Jadi setiap pagi saya memulai hari dengan mengetik kata-kata mutiara.
 
savvykang 2024-09-26

Bahkan Coupang, yang budaya pengembangannya katanya lumayan lebih baik, diam-diam membatasi panjang kata sandi menjadi 16 karakter tanpa umpan balik visual apa pun. Tidak ada email perubahan kata sandi, dan karena tiba-tiba saya tidak bisa login tanpa alasan, saya kira akun saya diretas.
 
galadbran 2024-09-28

Mungkin karena di bidang pengembangan juga ada banyak area. Keamanan atau aksesibilitas tampaknya termasuk bidang yang secara khas tidak banyak dibahas. Andai saja sedikit dari upaya yang dicurahkan untuk dark pattern ...
 
savvykang 2024-09-28

Baru saya cek, ternyata batas maksimumnya sudah disesuaikan menjadi 20 karakter. Namun, di halaman pendaftaran anggota di web masih membatasi panjang kata sandi tanpa ada panduan apa pun atau umpan balik visual terkait kata sandi, sedangkan di halaman login web tidak ada batasan sama sekali. Sebaliknya, di halaman perubahan kata sandi aplikasi Android, aturan kata sandi dicantumkan dengan tepat. Sepertinya tim Android dan tim frontend web tidak sinkron.

Saya rasa ini adalah gejala silo yang khas
 
unsure4000 2024-09-26

Tidak ada satu pun yang dijalankan dengan benar...
 
bakyeono0 2024-09-26

Kalau ada rekan-rekan yang menangani UI membaca ini, mohon juga hapus UI yang memaksa pengguna memasukkan kata sandi lewat keyboard virtual yang ditampilkan di layar saat input password.
Mungkin awalnya dibuat untuk mencegah kata sandi terekspos oleh keylogger, tetapi sekarang risikonya justru jauh lebih besar karena kata sandi bisa terekam oleh kamera yang ada di mana-mana.
Setiap kali melihat UI seperti itu rasanya membingungkan, dan aneh juga karena sampai sekarang masih dipertahankan.
Saya curiga alasan awal soal keylogger itu sudah dilupakan, dan sekarang orang-orang cuma ikut-ikutan karena semua orang juga melakukannya.
 
lux1024 2024-09-28

Karena itu adalah panduan keamanan pemerintah. Mungkin tidak ada satu pun perusahaan yang ingin memasukkan keyboard virtual.

Dalam berbagai sertifikasi standar juga banyak yang mewajibkan keyboard virtual. Persyaratan detailnya ternyata lebih banyak dari yang dibayangkan; kalau tidak memakai produk (SDK) dari vendor yang sudah ada yang mengimplementasikan ini, proses audit bisa memakan waktu lebih lama atau bahkan ditolak. Sampai-sampai rasanya ini nyaris seperti kartel vendor keamanan.
 
2024-09-27
[Komentar ini disembunyikan.]
 
bakyeono 2024-09-27

Bukan hanya instansi pemerintah, perusahaan berbasis teknologi seperti Naver dan Coupang juga melakukan itu, jadi rasanya makin membuat frustrasi.
 
carnoxen 2024-09-27

Bukankah mereka hanya terpaksa mematuhinya karena pemerintah memerintahkan demikian?
 
savvykang 2024-09-26

Saya enggan menggunakan situs yang membatasi panjang maksimum kata sandi hanya sekitar 12 karakter atau tidak mengizinkan simbol khusus. Itu terlihat sebagai salah satu tanda bahwa mereka tidak terlalu memerhatikan keamanan.
 
GN⁺ 2024-09-26
Komentar Hacker News

  • Sejak 2017, NIST telah memberikan panduan yang melonggarkan aturan komposisi kata sandi

    • "Verifier tidak boleh memaksakan aturan komposisi lain pada kata sandi yang dihafal"
    • "Verifier tidak boleh meminta perubahan kata sandi secara arbitrer"
    • "Authenticator harus memaksa perubahan jika ada bukti bahwa kredensial telah dikompromikan"

  • NIST tidak menetapkan kebijakan, tetapi banyak kebijakan lain merujuk ke NIST 800-63

  • Saat mendaftar di situs web, aturan seperti "kata sandi yang baik harus memakai a, b, c" sangat menjengkelkan

    • Banyak pengembang situs tampaknya tidak begitu paham soal kata sandi yang baik

  • NIST juga melarang 'pertanyaan keamanan' (misalnya: "Nama gadis ibu Anda?")

  • NIST selama puluhan tahun memberikan panduan kata sandi yang keliru, dan baru sekarang beralih ke solusi yang lebih masuk akal

    • Banyak perangkat lunak dibangun berdasarkan panduan lama yang salah itu, dan akan butuh waktu lama untuk mengubahnya

  • Tampaknya persyaratan "harus memverifikasi seluruh kata sandi yang dikirim" muncul karena masalah bcrypt

  • NIST menyarankan panjang maksimum kata sandi 64 karakter (banyak situs membatasinya sampai 20 karakter sehingga passphrase tidak bisa digunakan)

  • Kisah dari seorang pengguna:

    • Bank istrinya sampai bulan lalu masih menggunakan ID numerik untuk login
    • Mulai bulan ini, mereka memaksa pengguna memilih nama pengguna, dan itu harus menyertakan huruf kapital serta angka
    • Bank ini adalah bank terbesar ke-8 di Eropa

  • Ada perdebatan apakah mewajibkan karakter tertentu meningkatkan atau justru menurunkan entropi

    • Jika karakter tertentu diwajibkan, rentang karakter yang bisa dipilih menjadi lebih sempit sehingga entropi menurun
    • Namun karena sebagian besar pengguna memilih kata sandi yang lemah, mewajibkan karakter tertentu bisa saja meningkatkan entropi
    • Tetapi kebanyakan pengguna menempatkan karakter itu di posisi yang mudah ditebak, jadi entropinya kemungkinan tetap menurun

  • Menunggu NIST mengganti kata sandi plaintext dengan PAKE, dan W3C menyiapkan mekanisme untuk itu

  • Tautan asli: NIST SP 800-63b