Password Rotation: Pengertian dan Pentingnya untuk Perusahaan

Password masih menjadi kunci utama untuk masuk ke hampir semua sistem organisasi, mulai dari email kantor, aplikasi kerja, sampai server penting. Meski begitu, masih banyak yang menyimpan dan menggunakan password dengan tidak bijak, misalnya menggunakan password yang gampang ditebak, menyimpan password di tempat yang tidak aman, atau menggunakan password yang sama untuk banyak akun. Hal ini membuat akun dan data organisasi jadi lebih rentan terhadap kebocoran.

Di sinilah password rotation berperan penting. Dengan mengganti password secara berkala, risiko penyalahgunaan password dan akses tidak sah bisa ditekan. Namun, rotasi password saja tidak cukup. Langkah tambahan yang bisa mengoptimalkan proses rotasi password sangat diperlukan.

Apa saja langkah tambahan tersebut? Temukan jawabannya dalam artikel blog ini!

 

Apa itu Password Rotation?

Password rotation atau rotasi password adalah proses mengganti password secara berkala dalam jangka waktu tertentu. Setiap organisasi memiliki kebijakan yang berbeda terkait periode ganti password, namun biasanya password diganti setiap 30, 60, atau 90 hari sekali. Password yang diganti bisa mencakup berbagai sistem penting di organisasi, misalnya server, database, perangkat jaringan, hingga sistem lainnya.

Rotasi password sebenarnya tidak sepenuhnya menjamin sistem benar-benar aman dari serangan siber. Hanya saja, jika password diganti secara berkala, risiko pelanggarannya menjadi berkurang. Dengan rutin mengganti password, kemungkinan password dicuri atau disalahgunakan menjadi lebih kecil.

Hal ini sangat penting karena password adalah salah satu kredensial utama untuk mengakses sistem vital dalam organisasi. Jika password jatuh ke pihak yang tidak berwenang, potensi kebocoran data sensitif akan semakin besar. Pihak tersebut bisa saja mengakses sistem secara tidak sah dan mengambil data sensitif untuk keuntungan pribadi.

Risiko ini pun semakin tinggi jika satu password digunakan di banyak sistem, misalnya untuk server, aplikasi, perangkat jaringan, atau bahkan akun media sosial. Cukup satu password yang bocor, keamanan seluruh sistem bisa terancam.

 

Seperti Apa Best Practice Password Rotation?

Supaya rotasi password berjalan dengan lancar tanpa kesalahan, implementasi rotasi password harus dilakukan dengan penuh perhatian. Berikut ini adalah beberapa best practice dalam password rotation yang bisa Anda terapkan.

1. Tidak mengganti password terlalu sering

Rotasi password harus dilakukan secara berkala, tetapi tidak boleh terlalu sering. Jika password terlalu sering diganti, user justru akan kesulitan mengingat password.  Akibatnya bisa beragam: user menyimpan password di tempat yang mudah diakses tetapi tidak aman seperti Excel atau notepad, user membuat password yang mudah diingat tetapi tidak kuat, dan user jadi sering meminta reset password ke help desk.

Sebaiknya, password tidak diganti dalam kurun waktu kurang dari 30 hari. Jangka waktu ini dinilai ideal bagi user untuk bisa mengingat dan terbiasa dengan password barunya. Sehingga, saat tiba waktunya untuk mengganti password, user sudah siap.

2. Fokus pada kekuatan password

Kualitas lebih baik daripada kuantitas. Hal yang sama juga berlaku pada password rotation. Maksudnya, kualitas password jauh lebih penting dibanding seberapa sering password diganti. Ini karena rotasi password memang bisa mengurangi risiko, tetapi tidak otomatis membuat password benar-benar aman. Oleh karena itu, setiap kali mengganti password, pastikan yang digunakan adalah password yang kuat.

Password yang kuat memiliki beberapa ciri khas, seperti penggunaan kombinasi huruf besar, huruf kecil, angka, dan karakter spesial. Selain itu, password yang kuat juga tidak menggunakan kata-kata umum dalam kamus, pola yang mudah ditebak, dan tanggal lahir.

3. Menggunakan password manager

Banyaknya password yang dimiliki organisasi tentu akan sulit dikelola dan disimpan. Itulah mengapa, admin IT membutuhkan solusi khusus yang bisa menyimpan dan mengelola semua kredensial—termasuk password—dalam satu tempat terpusat yang aman. Solusi ini disebut password manager.

Dengan password manager, admin IT bisa menyimpan semua password dalam password vault. Penyimpanan ini memastikan password tetap aman, tetapi juga mudah diakses. Bukan hanya itu, password vault juga bisa memberikan hak akses ke user lain secara remote tanpa perlu menampilkan password. Sebagai contoh, jika ada user yang membutuhkan akses ke suatu resource, admin bisa memberikan akses tersebut tanpa harus memberi tahu password kepada user.

Bagaimana jika Anda kesulitan membuat password yang kuat? Tidak perlu khawatir, sebab password manager bisa membuat password yang rumit, aman, dan sulit ditebak secara otomatis. Anda bisa menggunakan password ini dan menjadwalkan rotasi password dengan mudah.

4. Mengotomatisasi rotasi password

Melakukan rotasi password secara manual sebenarnya tidak realistis dan tidak scalable, apalagi jika menyangkut privileged identity lain seperti hard-coded credential atau machine identity. Tak hanya itu, jumlah resource yang dilindungi password dalam satu organisasi juga sangat banyak. Jika semuanya dirotasi secara manual, tentu akan merepotkan dan rawan terlewat.

Itulah mengapa, rotasi password sebaiknya diotomatisasi. Cara termudah melakukannya adalah menetapkan jadwal tertentu untuk pergantian password. Selain lebih praktis, cara ini juga membantu organisasi tetap patuh terhadap regulasi dan standar keamanan IT yang berlaku.

 

Langkah-langkah Password Rotation dengan Password Manager Pro

Untuk mengotomatisasi password rotation, Anda perlu menggunakan solusi password manager seperti ManageEngine Password Manager Pro. Password Manager Pro adalah enterprise password manager yang mampu menyimpan dan mengelola informasi sensitif seperti password, dokumen, dan identitas digital.

Di Password Manager Pro, Anda bisa membuat jadwal rotasi password pada tingkatan resource group. Caranya adalah memilih grup yang Anda inginkan kemudian mengklik pilihan Periodic Password Reset pada icon Actions.

Setelah itu, rotasi password bisa dilakukan dalam lima tahapan seperti berikut ini.

1. Mengirim notifikasi sebelum reset password

Pertama, Anda bisa mengirim notifikasi kepada user sebagai pemberitahuan bahwa password akan diatur ulang di jadwal tertentu. Penerima notifikasi dapat ditentukan dengan beberapa cara:

  • User yang yang memiliki akses ke password, baik akses read-only, read and write, ataupun manage.

  • Memilih user dari daftar tertentu.

  • Menggunakan alamat email penerima notifikasi.

Anda juga bisa mengatur kapan notifikasi dikirim, misalnya beberapa hari, jam, atau menit sebelum reset password dilakukan. Setelah selesai, klik Next.

2. Mengalokasikan password baru

Ada tiga cara yang bisa Anda lakukan untuk mengalokasikan password ke grup:

  • Membuat password unik secara acak untuk setiap akun. Password ini akan mengikuti kebijakan password organisasi yang sudah ditetapkan.

  • Menentukan password baru pada kolom teks yang tersedia lalu menggunakan password yang sama untuk semua akun dalam grup. Sama seperti cara sebelumnya, password yang dibuat ini juga akan mengikuti kebijakan password grup.

  • Menggunakan satu password yang sama untuk semua akun, dengan syarat password itu harus diganti setiap kali jadwal reset berjalan.

Pilih salah satu, lalu klik Next.

3. Mengatur jadwal reset password

Di tahap ini, Anda akan membuat jadwal reset password. Anda bisa menentukan frekuensi reset password, baik itu sekali saja, harian, bulanan, atau tidak pernah. Selain itu, Anda juga bisa menentukan tanggal dan jam pasti reset password dilakukan.

Klik Next setelah jadwal rotasi password selesai dibuat.

4. Mengonfigurasi ulang reset password yang gagal

Rotasi password yang sudah dijadwalkan bisa saja gagal. Jika reset password gagal, Anda bisa mengatur untuk mencoba ulang secara otomatis. Caranya:

  1. Centang opsi Retry password reset during a failure.

  2. Masukkan jumlah percobaan ulang reset password pada kolom Number of retries to attempt (maksimal 5 kali).

  3. Cantumkan jarak waktu antarpercobaan reset password ulang pada kolom Retry interval (maksimal 24 jam).

  4. Klik Next.

5. Mengirim notifikasi setelah reset password

Supaya user tahu reset password berhasil, Anda bisa mengirim notifikasi setelah proses selesai. Sama seperti pengiriman notifikasi sebelum reset password, penerima notifikasi bisa dipilih berdasarkan: user yang memiliki akses password, user dari daftar tertentu, dan alamat email user.

Pilih opsi yang dibutuhkan, lalu klik Finish.

 

Jangan hanya sekadar rotasi password berkala

Rotasi password secara berkala saja tidak cukup untuk melindungi sistem Anda dari ancaman siber. Langkah tambahan seperti penggunaan password yang kuat dan pemanfaatan password manager juga perlu diterapkan untuk meningkatkan postur keamanan dan menghindari serangan siber.

ManageEngine Password Manager Pro adalah solusi tepat untuk menerapkan password rotation di organisasi Anda. Dengan tool ini, Anda tak hanya bisa menetapkan jadwal rotasi password, tetapi juga menyimpan password secara aman dalam password vault.

Ingin tahu tentang Password Manager Pro lebih dalam? Jadwalkan demo dengan tim kami!