NIST Password Guideline, Panduan Implementasi Kata Sandi untuk Sistem

by Feradhita NKD
Sumber: www.freepik.com

NIST Password Guideline dapat digunakan individu dan organisasi untuk menciptakan dan mengelola kata sandi yang aman. Seiring dengan perkembangan ancaman siber yang semakin canggih, standar untuk menciptakan password yang aman pun terus berevolusi. 

Pembaruan terbaru dalam NIST Password Guideline kini lebih berfokus pada kemudahan penggunaan daripada kompleksitas teknis. Beberapa perubahan utama yang diperkenalkan mencakup:

  • Mengutamakan panjang kata sandi dibanding tingkat kompleksitas
  • Mewajibkan pemeriksaan terhadap kredensial yang sudah pernah bocor
  • Mendorong penggunaan metode passwordless authentication
  • Menghapus keharusan penggantian kata sandi secara berkala, kecuali ada indikasi pelanggaran

Apa Itu NIST Password Guideline?

NIST Password Guideline merupakan standar keamanan autentikasi yang ditetapkan oleh National Institute of Standards and Technology. Awalnya dibuat untuk lembaga-lembaga federal di Amerika Serikat, kini pedoman ini telah diadopsi secara luas oleh berbagai industri, termasuk dalam standar kepatuhan seperti HIPAA, PCI-DSS, dan SOC 2.

Pedoman ini disusun berdasarkan riset dan data nyata, bukan sekadar praktik lama yang sudah usang. NIST secara jelas mengkritisi pendekatan tradisional seperti aturan kompleksitas berlebihan dan penggantian kata sandi secara paksa, yang justru sering menyebabkan penggunaan ulang kata sandi, prediktabilitas tinggi, dan meningkatnya beban pada tim helpdesk.

Kata sandi tetap menjadi elemen utama dalam sistem keamanan digital, terlebih karena 94% pelanggaran data melibatkan kredensial yang berhasil dicuri. Melalui NIST Password Guideline dalam dokumen Special Publication 800-63B, National Institute of Standards and Technology menetapkan standar bagaimana organisasi, baik pemerintah maupun swasta, seharusnya melindungi data mereka.

Baca Juga: 10 Pentest Tools yang Diandalkan Para Ethical Hacker

Aturan Kata Sandi Terbaru dari NIST 2025: Apa yang Perlu Anda Ketahui

Yang kini sudah tidak lagi diwajibkan:

  • ❌ Penggunaan wajib huruf kapital, angka, dan simbol
  • ❌ Penggantian kata sandi secara berkala setiap 90 hari
  • ❌ Penerapan aturan kompleksitas yang tidak konsisten

Yang saat ini direkomendasikan oleh NIST Password Guideline:

  • ✅ Kata sandi minimal 8 karakter (disarankan 15 karakter atau lebih untuk akun dengan hak akses tinggi)
  • ✅ Pemeriksaan kata sandi terhadap database kredensial yang telah bocor
  • ✅ Dukungan terhadap metode autentikasi modern seperti passwordless login dan penggunaan passkey

Baca Juga: Memahami Identification and Authentication Failures – OWASP Top 10

Panjang vs Kompleksitas Kata Sandi: Pendekatan Baru dari NIST

Kenapa Panjang Lebih Penting Dibanding Kompleksitas

Berdasarkan MIT password recommendations, kata sandi 8 karakter dengan kombinasi karakter khusus bisa diretas dalam waktu kurang dari satu jam. Sebaliknya, frasa sederhana sepanjang 12 karakter bisa bertahan lebih dari 200 tahun dari serangan brute force dengan resources yang sama.

Alasan lain kenapa panjang lebih diutamakan adalah karena kebiasaan pengguna. Saat aturan kata sandi tidak terlalu rumit, orang cenderung akan membuat kata sandi yang lebih panjang dan mudah diingat. Ini bisa mengurangi kebiasaan buruk seperti menggunakan kata sandi yang sama di banyak akun.

Rekomendasi Panjang Kata Sandi Menurut NIST

Dalam NIST Password Guideline, terdapat batasan jelas soal panjang kata sandi. Minimal 8 karakter untuk akun biasa dan setidaknya 15 karakter untuk akun dengan akses penting atau sistem sensitif. Untuk keamanan maksimal, NIST merekomendasikan kata sandi hingga 64 karakter.

NIST kini meninggalkan aturan-aturan kompleksitas kata sandi yang selama ini dianggap wajib. Aturan seperti harus pakai huruf besar, angka, dan karakter khusus justru sering memicu pola yang mudah ditebak, contohnya “Password123!” atau “Admin2024$”, yang sebenarnya lemah. Dengan menerapkan pedoman terbaru ini, perusahaan bisa mengurangi jumlah permintaan reset kata sandi dan meningkatkan pengalaman pengguna.

Designed by stories/ Freepik

Standar Pengelolaan Kata Sandi

Penyimpanan dan Enkripsi Kata Sandi

NIST mewajibkan agar kata sandi disimpan dengan aman menggunakan metode enkripsi canggih untuk mencegah kebocoran data. Dalam NIST Password Guideline, direkomendasikan penggunaan teknik salting dan hashing dengan memory-hard functions, di mana bcrypt dan Argon2 menjadi pilihan utama.

Organisasi juga diwajibkan menyimpan kata sandi dalam bentuk yang aman terhadap serangan offline. Berdasarkan Federal Information Security Management Act, setiap proses verifikasi harus menggunakan enkripsi yang disetujui serta jalur komunikasi yang aman dan terautentikasi, untuk mencegah penyadapan maupun serangan man-in-the-middle.

Protokol Reset dan Pemulihan Kata Sandi

Pertanyaan keamanan seperti “nama hewan peliharaan pertama” atau “nama gadis ibu” kini dinilai tidak lagi aman, sebab jawabannya mudah ditemukan di media sosial. Saat ini, protokol pemulihan yang aman harus menggunakan jalur khusus yang terpisah dari metode autentikasi utama. Dengan menerapkan verifikasi melalui beberapa saluran (multi-channel verification), risiko pengambilalihan akun bisa ditekan secara signifikan. Biasanya, metode ini melibatkan verifikasi lewat token fisik atau autentikasi biometrik.

Untuk meningkatkan keamanan lebih jauh, NIST juga merekomendasikan pembatasan jumlah percobaan login dan penerapan waktu tunggu setelah beberapa kali upaya pemulihan gagal. Selain itu, organisasi disarankan untuk mencatat seluruh aktivitas reset kata sandi secara detail, agar dapat memberikan respons cepat bila ada ancaman keamanan. 

Pedoman Kata Sandi untuk Akun Layanan

Akun layanan merupakan salah satu titik rawan dalam sistem perusahaan. Karena itu, pedoman NIST mengharuskan pengelolaan yang ketat terhadap kata sandi akun layanan, termasuk penerapan jadwal rotasi otomatis dan pembatasan akses yang disiplin.

Akun layanan yang tidak diawasi sering kali menjadi penyebab terjadinya pelanggaran keamanan, terutama di lingkungan cloud. Untuk meminimalkan risiko tersebut, NIST mewajibkan penggunaan kata sandi akun layanan dengan panjang minimal 32 karakter dan harus dibuat secara acak menggunakan generator angka acak yang aman secara kriptografi.

Baca Juga: Cyber Security Framework: Mengenal Standar Keamanan Siber

Standar Autentikasi NIST

Persyaratan Multi-Factor Authentication (MFA)

NIST mewajibkan penerapan MFA yang kuat di setiap titik akses dengan hak istimewa. Berdasarkan analisis terbaru dari CISA, setiap organisasi perlu menggunakan setidaknya dua faktor autentikasi dari kategori berbeda — sesuatu yang Anda ketahui (seperti kata sandi), sesuatu yang Anda miliki (seperti token keamanan), atau sesuatu yang melekat pada diri Anda (seperti sidik jari atau biometrik).

MFA yang dirancang tahan terhadap phishing sangat efektif mencegah upaya peretasan akun. Karena alasan itu, NIST secara tegas melarang penggunaan autentikasi berbasis SMS untuk sistem federal, dan merekomendasikan penerapan kata sandi sekali pakai berbasis waktu (TOTP) atau penggunaan kunci keamanan fisik.

Pedoman untuk Autentikasi Biometrik

NIST juga menetapkan parameter ketat untuk autentikasi biometrik. Nilai False Match Rate (FMR) harus di bawah 1 banding 10.000, sementara False Non-Match Rate (FNMR) tidak boleh lebih dari 5%. Standar ini memastikan proses verifikasi berjalan akurat.

Data biometrik wajib dienkripsi selama proses perekaman dan harus langsung dihapus setelah menghasilkan template kriptografi. Pendekatan “kumpulkan lalu hapus” ini dirancang untuk menjaga keamanan data sekaligus mempertahankan efektivitas autentikasi.

Integrasi Password Manager

NIST Password Guideline sangat merekomendasikan penggunaan password manager sebagai alat penting untuk menjaga keamanan autentikasi. Sesuai standar NIST, password manager harus menerapkan enkripsi zero-knowledge dan memungkinkan fungsi copy-paste di kolom kata sandi. Dengan demikian, pengguna bisa membuat dan mengelola kata sandi yang kuat tanpa kesulitan.

Baca Juga: Pengertian Multi-Factor Authentication (MFA) & Cara Kerjanya

Kebijakan Rotasi dan Masa Berlaku Kata Sandi

Kapan Waktu yang Tepat untuk Mengganti Kata Sandi

Berdasarkan rekomendasi dari Cybersecurity & Infrastructure Security Agency, pergantian kata sandi secara berkala justru sering berujung pada pembuatan kata sandi yang lebih lemah. Ini terjadi karena pengguna cenderung hanya melakukan sedikit perubahan dari kata sandi sebelumnya.

Kini, pendekatan yang dianjurkan adalah mengganti kata sandi berdasarkan peristiwa, yakni saat terjadi insiden keamanan atau aktivitas mencurigakan. Perusahaan yang menerapkan kebijakan ini mungkin memiliki risiko pelanggaran kredensial yang lebih rendah dibandingkan perusahaan yang masih menggunakan rotasi kata sandi berdasarkan waktu. Pendekatan ini juga sejalan dengan Digital Identity Guidelines. Diketahui bahwa penggantian kata sandi direkomendasikan hanya ketika ditemukan indikasi kompromi, bukan sekadar karena telah melewati jangka waktu tertentu.

Organisasi wajib segera melakukan reset kata sandi apabila terdeteksi upaya login mencurigakan, aktivitas akun yang tidak biasa, atau potensi pelanggaran data. Untuk akun dengan akses istimewa ke sistem sensitif, penerapan alat pemantauan otomatis sangat disarankan agar dapat mendeteksi ancaman dengan cepat dan meminta pembaruan kredensial yang diperlukan..

Prosedur Reset Kata Sandi Darurat

Kemampuan untuk melakukan reset kata sandi secara cepat di situasi darurat sangat penting demi menjaga operasional bisnis tetap berjalan lancar. Protokol reset darurat yang ideal harus mengutamakan kecepatan tanpa mengabaikan faktor keamanan. Salah satu cara efektifnya adalah menerapkan sistem verifikasi tiga tingkat menggunakan perangkat tepercaya, metode autentikasi cadangan, dan persetujuan manajer untuk akun sensitif.

Untuk akun yang mengakses sistem infrastruktur penting, organisasi juga sebaiknya memiliki prosedur khusus yang mencakup verifikasi alamat IP dan autentikasi dari luar jaringan. Sebagai solusi sementara dalam situasi mendesak, kombinasi kata dari kamus umum dengan huruf kecil bisa digunakan untuk kata sandi sementara yang masih memenuhi standar NIST namun tetap mudah diingat. 

Kesimpulan

Sebagai penutup, penerapan NIST Password Guideline bukan hanya soal mengikuti standar, tetapi juga langkah strategis untuk memperkuat keamanan akses di era digital yang penuh ancaman. Dengan pendekatan yang lebih menekankan panjang kata sandi, autentikasi multi-faktor, hingga pengelolaan akun layanan, organisasi memiliki kerangka kerja yang lebih relevan dan efektif dalam melindungi data serta sistem penting.

Untuk membantu organisasi Anda dalam memperkuat pertahanan digital, LOGIQUE Digital Indonesia menawarkan berbagai jasa keamanan siber yang komprehensif, mulai dari penetration test (pentest), vulnerability assessment (VA), hingga simulasi phishing untuk meningkatkan kesadaran keamanan pengguna. Dengan tim ahli yang berpengalaman dan pendekatan yang sesuai standar industri, LOGIQUE siap menjadi mitra tepercaya dalam melindungi aset digital Anda. Hubungi kami sekarang juga!

Cyber Security
Feradhita NKD
Feradhita NKD

https://www.logique.co.id/blog/author/feradhita/

Hai! Saya adalah content writer berpengalaman dengan minat mendalam di dunia teknologi. Saya senang menjelajahi tren terbaru di dunia IT, pentest, keamanan siber, dan menerjemahkan informasi teknis menjadi tulisan yang menarik. Dengan fokus pada kebutuhan audiens dan penggunaan bahasa sederhana, saya berusaha menyajikan informasi kompleks dengan cara yang mudah dipahami.