Panduan Keselamatan Nama Pengguna Dan Kata Laluan
Rutin atau kelemahan dalam perilaku manusia (Social Engineering) sering digunakan oleh penceroboh komputer untuk mendapatkan laluan masuk. Salah satu pintu masuk kepada sesebuah sistem adalah nama pengguna dan kata laluannya.
Nama pengguna yang boleh diteka, kata laluan menggunakan perkataan daripada kamus, kata laluan yang tidak ditukar begitu lama, pengkongsian nama pengguna dan kata laluan, tidak melakukan audit kepada log kemasukkan dan sistem, tidak menjalankan ujian penembusan dan menulis kata laluan adalah diantara perkara kecil tapi penting yang tidak dilakukan dalam mengurangkan risiko kejayaan serangan melalui "Social Engineering".
Artikel ini ditulis untuk pentadbir komputer IT, namun begitu amalannya bersesuaian untuk pengguna-pengguna lain dalam menjaga nama pengguna dan kata laluan masing-masing.
Diantara langkah-langkah mudah yang boleh diambil dalam meningkatkan taraf keselamatan dalam penggunaan nama pengguna dan kata laluan.
(1) Gunakan nama pengguna yang unik
Menjadi kebiasaan nama pengguna dikaitkan dengan nama individu atau applikasi yang dipasang. Sebagai contoh menggunakan nama pengguna Oracle. Ia dengan mudah boleh diandaikan sebagai nama pengguna untuk pangkalan data Oracle. Dengan kelemahan menggunakan kata laluan daripada kamus, peluang pencerobohan akan menjadi semakin tinggi.
Inilah yang dicari oleh penceroboh komputer. Sesuatu yang mudah untuk pentadbir maka mudahlah untuk mereka.
Gunakan nama penggunaan yang tiada kaitan sebagai contoh ora123. Gunakan campuran huruf dan nombor untuk menyukarkan tekaan.
Serangan menggunakan perkataan dalam kamus sering digunakan untuk mendapatkan nama pengguna dan juga kata laluan. Menggunakan nama pengguna campuran huruf dan nombor akan meningkatkan tahap kesukaran untuk membuat tekaan.
Begitu juga menggunakan nama pengguna berkaitan dengan individu. Apabila nama pengguna dikait dengan individu dan pangkat, maka ia boleh dijangkakan pengguna itu mempunyai keistimewaan pentadbiran yang lebih tinggi daripada orang lain. Adalah dinasihatkan membuat nama pengguna yang tiada kaitan dengan individu dan pangkat, agar ia tidak mudah untuk diteka kemampuannya.
Penceroboh akan cuba menyerang nama pengguna yang dijangkakan akan memberikan mereka peluang untuk pergi lebih jauh lagi dengan keistimewaan pengguna tersebut.
(2) Kata laluan yang senang diingat tetapi sukar diteka.
Kata laluan perlulah menggunakan enam atau lebih campuran huruf kecil, besar dan nombor. Tambahan simbol khas seperti ! @ # $ % ^ & * akan meningkatkan lagi tahap kesukaran untuk diteka. Sebagai contoh, jika mahu menggunakan kata laluan cilipadi, maka kata laluan boleh menjadi
c1L1p4d1
dan penambahan simbol khas
c1L1p4d1@7
Campuran kata laluan begini akan meningkatkan tahap kesukaran dan menambahkan masa yang terlalu untuk dipecah masuk dengan menggunakan perisian pemecah kata laluan.
Perisian-perisian pencerobohan menggunakan perkataan-perkataan dalam kamus bagi membuat serangan kepada nama pengguna dan kata laluan. Elakkan langsung menggunakan perkataan-perkataan dalam kamus.
(3) Kata laluan hanya perlu diingat
Jangan sekali menulis kata laluan dimana-mana. Kata laluan hanya perlu diingat. Jangan ditulis didalam diari, atau ditulis dan disimpan dalam dompet atau membuat catatan dalam telpon bimbit.
Tiada yang selamat jika kata laluan ditulis. Jika ada keperluan untuk menulis kata laluan, pastikan ia ditulis diatas kertas yang tebal kemudian dilipat dan dimasukkan dalam sampul bergam, sampul dicop pada bahagian boleh buka dan disimpan dalam peti keselamatan.
(4) Amalan tukaran kata laluan secara berkala
Jika ada ditanya bilakah kata laluan anda kali terakhir ditukar? Pasti ramai yang menjawab tidak pernah menukarnya. Standard jangka masa tukaran kata laluan, adalah 90 hari untuk pengguna biasa, 60 hari untuk akaun super dan akaun penting. Bagi komputer pelayan (server) yang dengan sensitif tinggi, 30 hari adalah standard utama.
Dengan menukar kata laluan secara berkala, ia akan mengurangkan peluang untuk kata laluan yang dicuri daripada ia dipergunakan. Ada banyak cara untuk mendapatkan kata laluan sama ada dengan key logger, intipan dan pelbagai.
Unik dan sukar bagaimana pun kata laluan anda, pasti ia akan didapatkan oleh penceroboh yang betul-betul mahir dan dedikasi.
(5) Jangan berkongsi nama pengguna dan kata laluan
Jangan sesekali kongsikan nama pengguna dan kata laluan dengan orang lain. Apabila ini berlaku ia sudah diluar kawalan pemiliknya dalam soal apabila ia diturut dikongsikan kepada orang lain tanpa pengetahuan pemiliknya. Sekiranya berlaku masalah, pemilik nama pengguna dan kata laluan akan dipersalahkan walaupun kesalahan itu bukan dilakukan olehnya.
Sekiranya ada keperluan untuk berkongsi nama pengguna, tukarkan kata laluannya dengan cepat apabila selesai digunakan.
(6) Pelbagaikan kata laluan untuk setiap nama pengguna
Kata laluan perlu unik untuk setiap nama pengguna. Jangan samakan kata laluan hanya kerana mahu senang ingat kerana apabila berlaku pencerobohan kepada satu server akan membahayakan server yang lain.
Amalan ini sepatutnya diamalkan oleh pengguna lain terutama melibatkan penggunaan kemudahan di Internet. Jangan samakan kata laluan email dengan kata laluan pengguna di forum. Jangan sesekali samakan nama pengguna dan kata laluan kemudahan perbankan Internet anda. Biarlah unik agar pencerobohan dalam akaun email tidak akan menggugat akaun bank Internet anda.
(7) Berhati-hati dengan laman Phising
Apabila mengisikan satu borang di Internet untuk apa jua kemudahan berhati-hatilah. Kes curian nama pengguna dan kata laluan sering berlaku. Sekiranya anda mendapat email daripada laman web yang sering anda lawati, perhatikan linknya agar ia sama dengan link laman web yang sepatutnya anda lawati.
Terdapat banyak kes phising. Phising adalah usaha mendapatkan nama pengguna dan kata laluan melalui laman web yang dibuat hampir sama dengan laman web asal tetapi ia dibuat dalam server lain yang hanya dengan tujuan mendapat nama pengguna dan kata laluan anda.
Edaran link laman phising sering dilakukan dengan email, yang seakan datang daripada laman yang biasa dan terkenal. Berhati-hati juga dengan email yang disangkakan datang daripada laman Internet bank anda. Menjadi polisi semua bank untuk tidak edarkan maklumat atau link melalui email.
Mozilla Firefox dengan Google toolbar memberikan kemudahan peringatan laman phising apabila ia mengesan laman yang dilawati pengguna dalam senarai laman phising.
Begitu juga dengan kemudahan penapisan email daripada sumber terbuka yang menggunakan enjin Clamav dapat mengesan email yang mengandungi link phising.
(8) Hadkan penggunaan nama pengguna super
Salah satu serangan pencerobohan adalah untuk mencuba memasuki akaun adalah dengan menggunakan nama pengguna super yang biasa digunakan. Antaranya adalah administrator atau root. Akaun berkuasa ini perlu dikurangkan penggunaannya.
Satu akaun lain perlu dibuat dimana ia perlu dengan keistimewaan pentadbiran (privilage) yang rendah dan bersesuaian dengan tugasan yang berkaitan sahaja. Sebagai contoh, untuk menjalankan Oracle, hanya buat satu akaun dengan hanya kemampuan untuk oracle sama ada untuk menjalankan "Service" Oracle atau hak terhadap folder Oracle.
Kata laluan (password) untuk pengguna super perlulah ditetap supaya ia tidak mudah untuk diteka atau diingati. Ia perlulah ditaip oleh kaki tangan yang tidak terlibat dengan IT. Ia perlu dtuliskan sendiri oleh kakitangan tadi diatas kertas yang tebal yang dilipat dan dimasukkan dalam sampul surat bergam. Sampul surat ini perlulah dicop pada lipatan mudah buka dan disimpan dalam peti simpanan keselamatan.
Bagi keselamatan tahap tinggi, kata laluan akaun super ini akan dimasukkan dua bahagian oleh dua orang daripada jabatan-jabatan luar IT dan masing-masing tidak akan beritahu apa yang dimasukkan. Dua bahagian ini akan disimpan dalam kertas berlipat yang berlainan, dimasukkan dalam sampul surat berlainan dan disimpan dalam dua peti keselamatan yang berlainan.
Apabila nama pengguna super dan kata laluannya digunakan. Kata laluan perlu ditukarkan dengan kata laluan baru berdasarkan langkah-langkah yang dinyatakan tadi.
Kata laluan super juga termasukkan dalam pertukaran secara berkala. Tukarkan kata laluan pengguna super setiap 60 hari atau bagi komputer pelayan (server) dengan data sensitif setiap 30 hari.
Terdapat langkah khusus yang membuat nama pengguna super ini hanya boleh digunakan pada terminal di komputer pelayan. Nama pengguna super sepatutnya tidak digunakan melalui sistem rangkaian. Terdapat pelbagai perisian yang boleh mendapatkan paket data sistem rangkaian dan membuat analisa carian nama pengguna dan kata laluan.
(9) Audit dan ujian penembusan perlu dijalankan
Audit komputer pelayan dan ujian penembusan rangkaian perlu dijalankan setiap tahun bagi memastikan komputer pelayan adalah dalam keadaan selamat dan tidak diceroboh.
Kebanyakan kes pencerobohan tidak dikesan dengan cepat. Dengan menjalankan audit ia boleh memastikan tahap keselamatan komputer pelayan sentiasa tinggi dan mematuhi standard disamping melihat sama ada berlaku kes pencerobohan.
Lebih baik mengetahui kelemahan itu awal daripada mengetahuinya melalui penglibatan penceroboh.
(10) Wujudnya jabatan, unit atau jawatan khusus untuk penjagaan keselamatan IT
Tugasan menjaga nama pengguna super dan kata laluan sepatutnya diasingkan daripada pentadbir komputer dan sokongan teknikal. Pengasingan tugas akan mengurangkan risiko keselamatan yang ditimbulkan daripada dalaman.
Pengasingan ini turut memastikan bahawa penjaga keselamatan IT tidak boleh menjalankan kerja-kerja pentadbiran komputer dan sokongan teknikal.
Jawatan, unit atau jabatan yang diwujudkan untuk keselamatan komputer selain dipertanggung jawabkan dengan penjagaan nama pengguna super, ia turut menjalankan audit komputer, membuat kerja-kerja penembusan komputer dan lain-lain hal keselamatan komputer.
Pada jangka masa berkala, Ketua bahagian atau jabatan IT perlu menjalankan audit kepada jawatan atau jabatan IT melalui bantuan pentadbir komputer IT untuk memastikan wujud periksa dan imbang antara dua tugasan ini.
Pada masa berkala juga, perlu juga wujud penilaian daripada agensi keselamatan luar atau syarikat audit keselamatan IT luar dalam membuat penilaian audit keselamatan IT dalaman.
Masalah keselamatan IT bukan sahaja datang daripada kelemahan applikasi atau sistem operasi. Kebanyakan kes pencerobohan adalah disebabkan oleh kelemahan manusia. Malah serangan melalui "Social Engineering" sering dilakukan bagi mendapatkan nama pengguna dan kata laluan dibandingkan dengan serangan lain.
Harisfazillah Jamel
http://blog.harisfazillah.info/
30 Mei 2007
This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 2.5 Malaysia License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/2.5/my/ or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.
Di Internet
http://www.harisfazillah.info-a.googlepages.com/katalaluan