Oleh: Elyse Betters Picaro / ZDNET
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
*
Poin Penting ZDNET:**
- Kata sandi yang lemah atau telah bocor merupakan risiko keamanan signifikan bagi perusahaan.
- Karyawan masih sering menggunakan ulang kata sandi atau membagikannya via email.
- Masa depan tanpa kata sandi mungkin tercapai, namun membutuhkan waktu dan usaha.
***
Penggunaan kata sandi yang lemah atau telah bocor untuk akun pribadi saja sudah cukup buruk. Namun, menggunakannya di lingkungan kerja tidak hanya membahayakan Anda, tetapi juga seluruh perusahaan. Praktik ini dianggap sebagai ancaman keamanan utama, menurut laporan terbaru dari pengelola kata sandi 1Password.
Dalam laporan tahunan 2025-nya berjudul "The Access-Trust Gap," 1Password meneliti berbagai cara kata sandi masih menjadi masalah meski terjadi pergerakan menuju autentikasi tanpa kata sandi. Temuan laporan ini didasarkan pada hasil survei online terhadap 5.200 pekerja di AS, Kanada, Inggris, Jerman, Prancis, dan Singapura. Responden survei mencakup pekerja kantoran serta profesional TI dan keamanan.
Ketika ditanya tentang hal yang paling mempengaruhi kemampuan tim keamanan mereka dalam memberikan perlindungan yang memadai bagi perusahaan, 44% responden menunjuk pada karyawan yang menggunakan kredensial lemah atau yang telah bocor. Survei menunjukkan bahwa praktik kata sandi karyawan justru memburuk alih-alih membaik, dengan peningkatan persentase ini dari laporan tahun lalu.
Sekitar dua pertiga karyawan mengaku menggunakan ulang kata sandi untuk akun kerja dan pribadi, mengandalkan kredensial bawaan, atau membagikan kata sandi melalui email atau aplikasi pesan. Ironisnya, profesional TI dan keamanan justru lebih berisiko dalam penggunaan kata sandi mereka dibandingkan rekan non-TI.
Sebagai contoh, 15% pekerja non-TI yang disurvei mengatakan mereka menggunakan kata sandi yang sama untuk akun kerja dan pribadi, sementara 24% profesional TI mengaku melakukan hal yang sama.
Praktik kata sandi yang buruk tampak jelas di antara responden. Hanya 30% pekerja dan 23% profesional TI yang mengatakan mereka selalu menggunakan kata sandi yang kompleks dan unik. Meskipun pengelola kata sandi memberikan perlindungan terhadap kebocoran kredensial, hanya 38% profesional TI dan 26% pekerja lain yang mengungkapkan bahwa perusahaan mereka menyediakan alat semacam itu.
Di antara CISO yang perusahaannya mengalami pelanggaran data dalam tiga tahun terakhir, 50% menyebut kredensial yang bocor sebagai penyebab utamanya, kedua setelah kerentanan keamanan yang dieksploitasi. Faktor lain yang menyebabkan pembobolan adalah karyawan menggunakan aplikasi dan perangkat yang tidak dikelola atau tidak disetujui, serta data yang disadap.
Masa depan tanpa kata sandi tentu sangat diinginkan oleh individu maupun bisnis. Namun, jalan menuju ke sana tidak mulus. Pengelola kata sandi bisa sulit untuk dipelihara dan dikelola, bahkan di lingkungan perusahaan. Passkey juga masih menghadapi beberapa kendala sebelum menjadi cukup mudah, nyaman, dan tersebar luas untuk diadopsi lebih banyak orang.
Namun demikian, passkey telah mendapatkan daya tarik di dunia korporat. Sekitar 41% karyawan yang disurvei mengatakan mereka telah mengadopsi passkey di tempat yang menyediakannya. Sebanyak 89% profesional keamanan dan TI mengatakan perusahaan mereka mendorong atau berencana mendorong karyawan untuk beralih ke passkey. Sekitar 25% responden mengatakan mereka akan dengan senang hati beralih dari kata sandi ke passkey ketika tersedia.
Tantangannya adalah bahwa loncatan dari kata sandi ke passkey tidak sesederhana membalik saklar. Sebaliknya, transisi ini diperkirakan akan menjadi proyek multi-tahun bagi kebanyakan perusahaan, yang harus menyeimbangkan teknologi, alur kerja, dan persyaratan regulasi mereka. Selama peralihan ini, kata sandi dan passkey harus hidup berdampingan, yang berarti keduanya perlu aman dan nyaman.
"Lingkungan yang benar-benar tanpa kata sandi telah lama menjadi impian para pemimpin keamanan," kata satu responden. "Namun, menghilangkan kata sandi sepenuhnya adalah pekerjaan yang memakan waktu bertahun-tahun, dan autentikasi harus seaman mungkin di setiap langkahnya."
Untuk mencapai itu, 1Password telah merencanakan strategi 5 langkah yang dapat digunakan organisasi untuk melaksanakan transisi ini:
- Rencanakan peta jalan dan proses Anda. Di sini, Anda perlu menentukan bagaimana tujuan Anda mengganti kata sandi lemah dengan yang kuat, menambahkan autentikasi multi-faktor, dan beralih ke autentikasi tanpa kata sandi, termasuk passkey.
- Berikan panduan dan dukungan yang jelas kepada karyawan untuk beralih ke kata sandi kuat, MFA, dan solusi tanpa kata sandi.
- Berikan tugas kepada petugas kepatuhan Anda untuk memverifikasi bahwa sistem tanpa kata sandi Anda akan mematuhi pedoman regulasi, seperti ISO, SOC 2, dan GDPR.
- Karena kata sandi masih dibutuhkan selama transisi, pastikan Anda menggunakan pengelola kata sandi perusahaan untuk mengontrol penggunaan kata sandi dan mempermudah proses bagi karyawan.
- Jika memungkinkan, hilangkan metode autentikasi berisiko seperti kode SMS.
Dapatkan cerita terbesar dalam teknologi setiap Jumat dengan newsletter Week in Review dari ZDNET.