Ada suatu layanan (mungkin sebagian teman-teman di sini pernah atau sedang menggunakannya) yang mewajibkan seluruh pelanggannya untuk mengganti password secara berkala (misalnya setiap 1 bulan sekali). Alasannya: karena itu sesuai standar ISO 27001. Padahal sepengetahuan saya, ISO 27001 tidak secara eksplisit mewajibkan pergantian password secara berkala sebagai standar mereka.
Jujur saja, saya senyum-senyum membaca alasannya.
Padahal, mewajibkan pengguna untuk mengganti password secara berkala sudah mulai ditinggalkan dalam praktik keamanan modern, termasuk oleh NIST (National Institute of Standards and Technology) dan NCSC (National Cyber Security Centre) Inggris. Kalau pinjam istilah pak ustad di pengajian: “Ganti-ganti password lebih banyak mudharatnya dari pada manfaatnya.”
Melapisi proses autentikasi dengan 2FA dan memantau aktivitas yang mencurigakan dianggap lebih efektif dan lebih nyaman bagi pengguna.
Ada pendekatan yang lebih baik, yaitu menggunakan OAuth. Login dengan Google berarti sistem menyerahkan urusan autentikasi kepada Google, yang telah menerapkan deteksi anomali, multi-factor authentication (MFA), dan berbagai teknologi keamanan lainnya. Tentunya sistem keamanan Google jauh lebih baik dibandingkan hanya mengganti password secara berkala.
Mau yang lebih kuat? Ada passwordless (biometrik, magic link, passkey). Para pakar keamanan siber mendorong kita untuk mulai beralih ke metode ini—meskipun implementasinya memang lebih rumit, baik di sisi sistem maupun pengguna yang belum semuanya siap.
Ya sudahlah. Ikuti saja aturannya. Tinggal diperbarui saja data di Password Manager. Gunakan password generator untuk membuat password sepanjang rangkaian kereta api mudik lebaran dan serumit pemikiran mantan.
Cuma ya itu tadi… rasanya gereget. Bikin gemes. Hahaha… 😁
Mawan A. Nugroho.
