askarasoft, Author at Askarasoft - Page 2 of 9

All posts by askarasoft

07 Sep 2022

Solusi Keamanan Website dalam Merespon Serangan Cyber

Seberapa baik Anda mengelola keamanan website Anda akan selalu ada kemungkinan untuk menjadi korban serangan cyber. Untuk itu Anda harus menyiapkan solusi saat menghadapi serangan cyber, artikel ini akan membahas mengenai solusi keamanan website dalam merespon serangan cyber. Incident response (IR) adalah keadaan dimana kita memberikan respone terhadap serangan cyber Saat membuat rencana incident response atau IR , ada beberapa elemen penting yang saling berkaitan yang sebaiknya menjadi pertimbangan nantinya. Jika salah satu elemen tidak digunakan, maka kemungkinan akan berdampak pada keamanan informasi dan hasil nya menjadi tidak efesien. Berikut beberapa hal yang harus Anda siapkan.

Incident response team

Untuk mengoptimalkan sistem keamanan web, umumnya perusahaan membuat tim khusus dalam menghadapi serangan cyber. Tim ini bertugas untuk menghadapi dan memberikan respon cepat saat menghadapi serangan cyber. Lalu peran apa saja yang di perlukan :
  • Decision-makers : Sumber utama yang mampu membuat keputusan dengan cepat adalah dengan melibatkan eksekutif perusahaan. CIO atau CTO dapat memberikan solusi yang cepat dan tepat saat mengalami serangan cyber.
  • Technical resources : Tim teknis di perlukan untuk mengidentifikasi akar masalah dari penyerangan cyber. Cyber incident response bertanggung jawab atas teknis, memulihkan dan memperbaiki sistem yang telah terpengaruh atau mencegah aset lainnya mengalami kerusakan lebih lanjut. Personel ini akan menangani secara langsung masalah yang di hadapi.
  • Legal and compliance resources: Biasanya insiden cyber melibatkan data yang sensitive dimana akan berpengaruh pada hukum yang berlaku seperti kepatuhan pada GDPR, PCI DSS, HIPAA dan lainnya. Oleh karena itu perwakilan dari departemen legal bisa menjadi peritambangan dalam memproritaskan kelangsungan bisnis.
  • Communication : Hampir setiap insiden cyber dalam beberapa hal akan mempengaruhi pihak eksternal. Misalnya, pelanggan Anda, mitra Anda, atau masyarakat umum. Oleh karena itu Anda harus menyertakan sumber daya dari departemen layanan pelanggan, hubungan masyarakat, manajemen akun, dan lainnya.
  • External resources: Anda dapat mempertimbangkan untuk melibatkan sumber daya eksternal seperti ahli forensik, analis manajemen risiko, dan banyak lagi. Jika demikian, Anda harus memilih dan membangun hubungan dengan pihak-pihak tersebut sebelum terjadi insiden, sehingga mereka siap membantu saat dibutuhkan.

Technical assets

Karena insiden cyber selalu melibatkan beberapa aset teknis, visibilitasnya yang jelas adalah kunci untuk respons yang efektif. Jika aset tidak didefinisikan dengan baik, disebutkan, dan hubungannya tidak jelas,  mungkin saja untuk tidak menahan dan menyelesaikan insiden tersebut sepenuhnya.
  • Asset identification: Anda harus memiliki pandangan yang jelas tentang semua aset teknis Anda, baik di dalam perusahaan itu sendiri maupun yang eksternal. Ini adalah praktik sehari-hari yang baik tetapi kepentingannya bahkan lebih besar jika aset terpengaruh oleh suatu insiden.
  • Asset relationships: Banyak aset teknis saling berhubungan oleh karena itu, seorang hacker mungkin melanggar salah satu aset dan meningkatkan ke aset lainnya. Bergantung pada struktur teknis bisnis Anda, kemungkinan setiap aset dapat terpengaruh oleh insiden ini dan harus menjadi bagian dari penyelidikan dan perbaikan.
  • Asset ownership: Beberapa aset teknis yang saling berhubungan mungkin berada di luar kepemilikan bisnis Anda. Misalnya, Anda mungkin bekerja dengan penyedia atau mitra layanan cloud. Organisasi Anda mungkin juga dibagi menjadi entitas terpisah dengan manajemen yang berbeda. Di sinilah aset teknis terjalin dengan sumber daya manusia dan di mana Anda mungkin harus mempertimbangkan aspek teknis dalam komposisi CSIRT Anda. Dalam kasus insiden, Anda tidak dapat tiba-tiba menemukan bahwa Anda tidak dapat menahan atau memperbaiki karena Anda tidak memiliki kendali atas aset tersebut. Setiap aset harus memiliki perwakilan bertanggung jawab yang terdefinisi dengan baik yang memiliki kendali penuh atas aset tersebut.

Tools

Rencana respons insiden keamanan mungkin melibatkan tools yang harus diidentifikasi serta berpotensi diterapkan sebelum insiden terjadi dan sebelum Anda memulai aktivitas untuk merespons serangan cyber.
  • Identification tools: Ada banyak alat keamanan web yang mungkin berguna untuk mengidentifikasi suatu insiden. Misalnya, sistem deteksi intrusi (IDS) untuk mendeteksi kemungkinan penyusupan, pemindai kerentanan untuk mengidentifikasi kerentanan (tetapi Anda harus menggunakannya secara teratur sebagai bagian dari otomatisasi reguler), alat manual untuk pengujian penetrasi untuk mengonfirmasi kerentanan, serta sebagai alat pendeteksi ancaman, keamanan web, keamanan jaringan, dan informasi keamanan dan manajemen peristiwa (SIEM) lainnya.
  • Planning and modeling tools: Anda dapat menggunakan tools tambahan untuk memodelkan struktur aset Anda, mengatur aktivitas selama respons insiden, memberikan intelijen ancaman, mengikuti metodologi yang dipilih, dan banyak lagi. Alat tersebut mungkin perangkat lunak perencanaan proyek dan berbagai jenis perangkat lunak pemodelan.
  • Communication tools: Selama prosedur respons insiden, beberapa tools komunikasi bisnis biasa mungkin dianggap tidak aman. Misalnya, jika suatu insiden melibatkan pelanggaran server email internal, Anda tidak dapat menggunakan email internal untuk berkomunikasi selama respons insiden karena ada risiko penyerang mengetahui aktivitas Anda dan dapat melawannya. Oleh karena itu, Anda harus memiliki rencana komunikasi cadangan.

Fase respons insiden

Proses respon insiden dibagi menjadi beberapa fase yang harus dimasukkan dalam rencana. Berikut Fase-fasenya :

Preparation: Ini adalah fase paling penting dari respons insiden dan melibatkan pendefinisian semua elemen di atas: CSIRT, aset, dan ruang lingkup dari apa yang dianggap sebagai insiden. Ini juga melibatkan pelatihan sumber daya dan bahkan melakukan uji coba, dan serangan tiruan untuk melihat apakah semuanya berfungsi sebagaimana mestinya. Kunci keberhasilan tahap persiapan adalah menghindari kekacauan dalam organisasi jika suatu insiden diumumkan.

Identification: Fase ini melibatkan dua kegiatan utama. Salah satunya adalah investigasi awal yang mengarah pada deklarasi sebuah insiden. Fase ini hanya melibatkan sebagian dari tim: pengambil keputusan dan sumber daya teknis yang menyediakan intelijen. Perhatikan bahwa laporan potensi insiden mungkin juga berasal dari sumber eksternal, misalnya, dari pelanggan, mitra, atau bahkan penegak hukum Anda, sehingga personel komunikasi mungkin juga terlibat.

Insiden diumumkan selama fase ini dan jika demikian, penyelidikan terperinci diperlukan untuk mengetahui, aset mana yang berpotensi terpengaruh oleh insiden tersebut dan harus dilibatkan dalam fase berikutnya. Misalnya, jika penyerang melanggar aplikasi web Anda, Anda harus mengidentifikasi apakah ini memengaruhi server yang terhubung atau bahkan seluruh jaringan. Perhatikan bahwa setelah identifikasi selesai, sumber daya komunikasi dan hukum/kepatuhan Anda seharusnya sudah mulai mengerjakan tugas mereka.

Containment: Setelah karakter dan ruang lingkup insiden diidentifikasi dengan jelas, Anda harus memutuskan aset mana yang harus ditampung. Penahanan mutlak diperlukan untuk mitigasi jangka pendek dan fase ini tidak dapat dilewati, bahkan jika Anda tergoda untuk membasmi ancaman sesegera mungkin. Jika tidak ditampung, penyerang mungkin masih bekerja secara paralel dengan tim Anda dalam eskalasi dan terus menyebar ke sistem lain yang saat ini tidak terpengaruh.

Containment berarti mengisolasi aset yang terpengaruh dari aset yang tidak terpengaruh. Namun, mereka sering tidak offline (bahkan untuk sementara) karena ini dapat membuat pemberantasan lebih sulit. Fase penahanan berakhir dengan keputusan bahwa aset yang terpengaruh diisolasi dengan aman dan penyerang dihentikan.

Elimination: Setelah aset yang terkena dampak terkandung, sumber daya teknis Anda mulai menghilangkan konsekuensi dari insiden tersebut. Misalnya, menghapus malware, memperbaiki kerentanan, memulihkan sistem dari cadangan yang aman, patching, dll. Fase eliminasi berakhir dengan keputusan bahwa semua konsekuensi teknis dari insiden tersebut diberantas dan sistem diamankan.

Recovery: Sistem yang diamankan sekarang harus kembali online dan dihubungkan kembali ke aset lain, dan semua proses teknis dan bisnis harus kembali ke operasi normal. Fase pemulihan berakhir dengan keputusan bahwa seluruh infrastruktur teknis berfungsi sebaik sebelum insiden. Perhatikan bahwa fase pemulihan juga melibatkan penyelesaian pekerjaan dengan sumber daya komunikasi dan hukum/kepatuhan Anda. Hasil akhir dari fase ini adalah pengambil keputusan Anda untuk menyatakan insiden tersebut sebagai ditutup dan anggota tim Anda untuk kembali ke kegiatan rutin mereka.

Meskipun bisnis utama Anda terkait dengan web dan Anda paling peduli dengan ancaman terkait web, Anda tidak dapat membatasi rencana untuk keamanan web. Karena sistem IT di setiap organisasi saling berhubungan, templat rencana respons insiden harus melibatkan semua organisasi dan pihak terkait serta semua aset. Hanya dengan demikian Anda dapat mengharapkan kesuksesan penuh dalam menghilangkan konsekuensi insiden. Acunetix adalah salah tools yang dapat membantu Anda dalam perencanaan kemanan aplikasi web anda.

24 Agu 2022

Kembangkan Bisnis Online Melalui Media Sosial – Connect Bitrix24 dengan Telegram

Telegram adalah salah satu platform perpesanan dengan pertumbuhan tercepat yang mendapatkan popularitas besar di kalangan bisnis di seluruh dunia. Dan itu dapat digunakan baik untuk pemasaran maupun penjualan. Bitrx24 saat ini dapat di integrasikan dengan Telegram untuk menjangkau lebih luas segmen pemasaran Anda. Kembangkan bisnis online Anda melalui media sosial  denga menghubungkan Bitrix 24 dengan Telegram. Tingkatkan penjualan Anda melalui Telegram dan menjadi lebih dekat dengan pelanggan melalui komunikasi tanpa batas waktu, contact center Bitrix memungkinkan anda untuk memberikan dukungan pelanggan 24/7.

Pemasaran dan penjualan secara online menjadi kebiasan baru bagi pelanggan Anda, Bitrix24 hadir untuk menghubungkan toko online anda dengan berbagai channel, artikel ini akan membahas mengenai bagaimana Bitrix dapat terhubung dengan Telegram toko online Anda dan bisa menerima pesanan dan pembayaran dengan bantuan bot. Klien Anda tidak hanya dapat berkomunikasi dengan operator melalui saluran terbuka Telegram, tetapi juga untuk memilih dan memesan produk tanpa meninggalkan messenger.

Cara menghubungkan toko online ke Telegram

Pertama, Anda perlu menghubungkan atau mengonfigurasi saluran Telegram yang ada. Buka bagian CRM > Customers > Contact Center.

Di pengaturan koneksi, centang opsi Hubungkan toko online ke bot Telegram saya.

Kemudian pilih toko online yang ingin Anda hubungkan ke bot.

Anda juga dapat menghubungkan toko online eksternal. Pilih opsi Toko online eksternal dalam daftar dan tentukan alamatnya di bidang di bawah ini. Dalam hal ini, toko online akan muncul di bot Anda, tetapi Anda tidak akan dapat menerima pesanan dan pembayaran di sisi Bitrix24.

Kemudian klik tombol Hubungkan.

Jika Anda telah melakukan semuanya dengan benar, Anda akan melihat pesan tentang koneksi bot yang berhasil.

Bagaimana cara menggunakan Telegram Online Store

Saat pelanggan membuka bot Anda, mereka dapat menggunakan tombol Toko online untuk memilih dan memesan produk.

Setelah pesanan dilakukan, manajer menerima pesan di CRM dapat melakukan panggilan ke pelanggan atau mengirim tautan pembayaran dari formulir CRM.  

Integrasi Telegram + Bitrix24.Store sedang dalam tahap beta saat ini, karena itu akan terus dikembangkan. Pada perangkat Android, dapat terjadi kesalahan yang memengaruhi kinerja. contohnya, saat menavigasi ke halaman kedua toko, browser eksternal akan dibuka dan sesi saat ini akan hilang. Oleh karena itu, notifikasi terkait pesanan tidak akan masuk ke bot Telegram.

09 Agu 2022

3 Alasan DAST adalah Cara Terbaik untuk Keamanan Aplikasi Web

Ketika mengamankan aplikasi web anda, umumnya anda akan meyiapkan beberapa solusi seperti perangkat lunak yang memadai, tim IT yang handal atau berlangganan dengan vendor. Namun, tidak semua pelaku usaha mampu melakukan ketiga solusi tersebut atau membelinya sekaligus. Lalu bagaimana seharusnya pelaku usaha dapat mengamankan aplikasi web mereka ?

DAST adalah solusi yang tepat untuk  keamanan aplikasi web bagi semua pelau usaha, artikel ini akan membahas mengeneai 3 alasan DAST adalah cara terbaik untuk kemanan aplikasi Web.

Opsi keamanan aplikasi web

Penyedia software keamanan aplikai web biasanya mengiklankan produk mereka sebagai satu satunya hal yang di perlukan untuk mengamankan situs web dan apalikasi web. Namun ini bukan hal yang tepat, berikut adalah beberapa alasan kenapa hal tersebut tidak tepat :

  • Web application firewalls (WAF) diiklankan sebagai cara untuk mencegah serangan web; namun, mereka dapat dielakkan oleh penyerang, dan mereka tidak menyelesaikan masalah (aplikasi tetap rentan). Anda mungkin berakhir dengan aplikasi penuh lubang di belakang dinding kertas.
  • Software composition analyzers (SCA) adalah cara terbaik untuk menghindari perangkat lunak open source yang rentan, tetapi jika Anda terlalu banyak menyesuaikan aplikasi sumber terbuka atau jika Anda menulis kode sendiri, mereka tidak akan membantu Anda sama sekali. Anda mungkin akhirnya memiliki WordPress yang aman dan aplikasi Anda sendiri yang penuh dengan lubang.
  • Runtime protection tools (RASP) digunakan hanya untuk melindungi aplikasi Anda saat sedang berjalan dalam produksi; sampai saat itu, Anda tidak tahu apakah itu memiliki kerentanan. Anda mungkin akhirnya menyadari bahwa Anda memiliki masalah saat Anda benar-benar diretas.
  • White-box scanners (SAST tools) sebagai tools yang dapat menemukan sebagian besar kerentanan dalam aplikasi Anda; namun, mereka mengharuskan Anda untuk membuat aplikasi dari awal atau memiliki source code, tools ini hanya berfungsi untuk beberapa bahasa pemrograman.
  • Grey-box scanners (IAST tools) – seperti alat SAST, tools ini juga dimaksudkan untuk kode Anda sendiri, hanya tersedia untuk beberapa bahasa pemrograman, dan, dalam banyak kasus, sangat bergantung pada rangkaian pengujian.
  • Black-box scanners (DAST tools) – yang terakhir namun tidak kalah pentingnya, tools DAST tidak akan mengarahkan Anda ke sumber kesalahan seefektif alat SAST/IAST, tetapi sejauh ini merupakan solusi yang paling universal dan hemat biaya.

Pilihan yang biasanya di gunakan adalah menyewa tim professional untuk melakukan analisis manual dengan menggunakan tools gratis di bandingkan dengan membeli software yang berbayar.  Namun dalam kasus tersebut, efesiensi dalam menemukan kerentanan akan berkurang.  Sementara pengujian penetrasi manual akan menemukan lebih banyak tools otomatis dan membutuhkan banyak waktu dan mengakibatkan jauh lebih mahal di bandingkan menggunakan software yang telah di pilih dengan baik.

Inilah mengapa kami percaya bahwa pilihan terbaik Anda adalah pertama-tama menggunakan alat DAST profesional dan baru kemudian memperluas kumpulan tools yang akan Anda gunakan.

Tools DAST bersifat universal

Dari mana pun aplikasi Anda berasal, bahasa apa pun yang digunakan, dan pada tahap pengembangan mana pun saat ini (selama dapat dijalankan), alat DAST akan memungkinkan Anda memeriksa kerentanannya. Ini menjadikannya alat paling universal di pasar. Yang diperlukan hanyalah aplikasi web Anda dapat diakses melalui browser.

Oleh karena itu, jika Anda mencari tools yang dapat Anda gunakan dalam konteks apa pun, tidak peduli bagaimana perusahaan Anda berkembang, DAST adalah cara yang tepat. Jika Anda memulai dengan aplikasi pihak ketiga dan kemudian beralih ke pengembangan internal, DAST akan tetap ada. Jika Anda mulai dengan pemindaian dan kemudian ingin mengimplementasikan DevSecOps, DAST akan tetap digunakan.

DAST adalah yang paling teliti

Untuk mengamankan situs web dan aplikasi web Anda, Anda perlu memastikan bahwa semuanya aman dan setiap bagiannya aman. Kemudian, Anda perlu menghilangkan kerentanan yang ditemukan.

DAST tidak hanya akan membantu Anda menentukan kerentanan dalam aplikasi itu sendiri tetapi juga dalam konfigurasi server web. Ia bahkan akan memberi tahu Anda jika Anda menggunakan kata sandi yang lemah. Sekali lagi, tidak ada tools lain yang dapat melakukan semua itu pada saat yang bersamaan.

Anda mungkin pernah mendengar mitos bahwa tools DAST memiliki masalah dengan aplikasi yang diautentikasi, tetapi itu tidak benar sama sekali kecuali Anda menggunakan solusi amatir. Ketika kita berbicara tentang tools DAST, kita berbicara tentang tools seperti Acunetix, yang dikembangkan dari awal oleh perusahaan yang didedikasikan untuk keamanan web.

Namun, ada satu keuntungan utama saat menggunakan tools SAST dan IAST. Mereka membuat perbaikan lebih mudah karena mereka dapat mengarahkan Anda ke kesalahan dalam kode sumber. Untungnya, Acunetix hadir dengan AcuSensor, yang merupakan ekstensi IAST aktif opsional. Seperti yang kami sebutkan sebelumnya, itu hanya akan berfungsi dengan beberapa bahasa pemrograman, tetapi untuk bahasa ini, Anda cukup mendapatkan bonus di samping semua keunggulan DAST.

DAST menghemat biaya

Investasi dengan tools DAST profesional mungkin tampak besar untuk bisnis kecil, tetapi terbayar dengan cepat karena Anda dapat mempertahankan tingkat keamanan aplikasi web yang cukup tinggi hanya dengan satu solusi ini. Di sisi lain, jika Anda berinvestasi dalam jenis tools yang berbeda, Anda mendapatkan nilai uang yang jauh lebih sedikit, dan Anda dipaksa untuk menginvestasikan kembali setiap kali bisnis Anda mengalami perubahan.

Keuntungan lain yang berhubungan dengan uang dari solusi DAST adalah tidak adanya biaya tersembunyi. Dalam kasus banyak solusi lain, Anda akhirnya menghadapi biaya tambahan karena perlunya mempekerjakan ahli atau melatih tim Anda. Acunetix dapat dijalankan oleh staf TI umum, tidak harus oleh tim keamanan khusus. Kerentanan yang ditunjukkan oleh Acunetix datang dengan deskripsi yang cukup bagi pengembang untuk dapat memperbaiki masalah tanpa pelatihan khusus.

Kesimpulan: Mulailah dengan Acunetix

Jika Anda sudah yakin bahwa DAST adalah cara terbaik untuk keamanan aplikasi web, Anda mungkin masih merasa bingung tentang produk mana yang merupakan pilihan terbaik.

Untungnya, kurang dari sepuluh tools DAST profesional yang di pasaran, jadi tidak ada banyak pilihan. Hanya beberapa dari produk ini yang dikembangkan oleh pakar keamanan aplikasi web – yang lain hanyalah add-on untuk pemindai jaringan. Hanya sedikit dari produk ini yang secara aktif dikembangkan dan ditingkatkan dengan teknologi terbaru. Hanya beberapa dari produk ini yang berfokus pada kemudahan penggunaan dan efektivitas biaya pemindaian.  

26 Jul 2022

Meningkatkan Pendapatan dengan Manajemen Bisnis untuk Pemula

Pengusaha yang baru merintis sangat menguntungkan bagi perekonomian, karena mereka membuka peluang bagi para pencari kerja untuk berinovasi, berkembang dan membuat ide-ide baru bagi pasar. Jika Anda baru memulai usaha, hal ini tidak lah mudah karena Anda bertanggung jawab atas banyak hal nantinya.

Salah satu bidang yang paling kritis dan sering diabaikan dalam bisnis yang harus Anda perhatikan adalah manajemen bisnis. Keterampilan manajemen bisnis yang baik akan membuat bisnis Anda tumbuh dan berkembang untuk tahun-tahun yang akan datang.

Manajemen bisnis yang baik dapat menjadi rumit bagi perusahaan pemula karena berbagai alasan. Karena pemilik bisnis memulai bisnis hanya berfokus pada bagaimana produk yang mereka tawarkan dapat diterima pasar. Kemungkinan Anda tidak mengambil kelas bisnis atau cukup untuk mengelola bisnis secara efektif. Berikut beberapa cara bagi pembisnis pemula untuk membuat bisnis menjadi berkembang :

Ciptakan visi dan tujuan bisnis Anda

Ketika memulai bisnis baru, bisnis paling efektif dan efisien ketika Anda sudah memiliki rencana dan visi yang mengarah pada tujuan yang akan dikerjakan. Rencanakan berapa banyak pendapatan yang ingin Anda hasilkan sepanjang tahun. Rencanakan juga pengeluaran bisnis dan margin keuntungan yang Anda harapkan.

Kelola keuangan bisnis Anda

Manajemen bisnis yang efektif mencakup pengendalian keuangan untuk menghemat biaya. Sebagai pemilik usaha Anda tidak perlu secara langsung terlibat dalam aktivitas keuangan, Anda hanya memerlukan pemahaman tinggi mengenai keuangan bisnis untuk membuat keputusan yang menguntungkan bagi bisnis Anda.

Artikel terkait : Strategi Pemasaran untuk Meningkatkan Bisnis Anda

Dengarkan pelanggan Anda

Pelanggan adalah penggerak bisnis anda, jadi perhatikan bagaimana pelanggan anda memberi respon terhadap produk anda. Tanggapi kebutuhan mereka yang berubah dan lakukan perbaikan yang mereka sarankan untuk memberikan pengalaman pelanggan yang sangat baik. Pelanggan yang senang akan secara sukarela merekomendasikan produk anda kepada yang teman – temannya.

Ketahanan sangat penting dalam bisnis, karena permintaan pasar berubah dengan cepat dan apa yang berhasil hari ini mungkin tidak lagi berfungsi besok. Akan lebih baik untuk mengikuti perubahan dan mengubah rencana Anda sesuai untuk bertahan hidup.

Salah satu cara untuk meningkatkan pendapatan adalah dengan manajemen bisnis yang tepat, solusi manajemen bisnis bagi pemula adalah dengan menggunakan aplikasi pendukung seperti Bitrix24. Dengan tools tambahan Anda dapat menghitung keuntungan, mengontrol aktifitas pelanggan, dan membangun tim yang solid.

 

       
11 Jul 2022

Pemodelan Ancaman untuk Keamanan Aplikasi Web

Membuat pemodelan ancaman keamanan aplikasi web adalah aktivitas yang dapat membantu Anda mengidentifikasi dan mengurangi ancaman. Hal ini membantu anda melihat risiko keamanan secara menyeluruh, sehingga dapat mengambil keputusan dan memprioritaskan keputusan keamanan siber dan mempertimbangkan bagaimana Anda dan tim dapat menggunakan sumber daya dengan sebaik mungkin. Ada banyak pendekatan untuk pemodelan ancaman keamanan aplikasi web, tetapi semuanya memiliki tujuan yang sama. Denga menggunakan tools dapat membantu Anda mengetahui apa yang berpotensi membahayakan keamanan Anda dan apa yang dapat Anda lakukan untuk mengatasinya. Artikel ini akan membahas mengenai pemodelan ancaman untuk keamanan aplikasi web.

Bagaimana pemodelan ancaman keamanan web dapat dilakukan?

Secara umum, pemodelan ancaman keamana web membantu Anda berpikir seperti calon penyerang. Seperti Apa yang Anda miliki yang bisa untuk diserang? Bagaimana bisa diserang? Dari mana penyerang akan memulai? Ini juga menggunakan alat bantu visual yang memungkinkan Anda melihat ancaman dengan lebih jelas dan mengetahui vektor serangan dengan mudah.

Pemodelan ancaman keamanan aplikasi web hanyalah bagian dari pemodelan ancaman secara keseluruhan, dan tidak boleh dianggap sebagai latihan terpisah. Aplikasi web selalu saling berhubungan dengan elemen sistem lainnya: server web, server aplikasi, penyimpanan data, sistem operasi, dan ini pada gilirannya dengan aset lainnya. Oleh karena itu, jika Anda fokus pada pemodelan hanya untuk web, Anda akan kehilangan banyak ancaman, dan pemodelan ancaman tidak akan berguna.

Siapa yang harus melakukan pemodelan ancaman?

Pemodelan ancaman paling efektif jika melibatkan sebanyak mungkin pemangku kepentingan, bukan hanya pakar keamanan. Orang-orang di posisi yang berbeda dalam bisnis membawa perspektif yang unik dan dapat membantu Anda memperhatikan detail yang seharusnya Anda lewatkan. Dalam beberapa kasus, pemodelan ancaman bahkan meminta bantuan subkontraktor, mitra bisnis, atau pelanggan.

Apa yang menurut mereka layak dicuri atau dikompromikan? Bagaimana mereka melakukannya? Tim pengembang dapat mengingatkan Anda bahwa kode sumber aplikasi Anda berharga karena tidak hanya berisi sumber terbuka tetapi juga algoritme unik yang dipatenkan. Manajer pemasaran dapat mengingatkan Anda bahwa jika seseorang merusak halaman web Anda, itu dapat menurunkan nilai merek Anda. Administrator kantor dapat membantu Anda menyadari bahwa sangat mudah bagi orang asing untuk memasuki kantor Anda dan kunci ruang server mudah dicuri. Administrator sistem IT mungkin mengingatkan Anda untuk tidak hanya mencakup desktop dan server tetapi juga perangkat IoT.

Kapan dan di mana melakukan pemodelan ancaman?

Proses pemodelan ancaman harus dimulai saat Anda mulai mendesain aplikasi, dan proses tersebut tidak boleh berakhir, menjadi bagian integral dari manajemen risiko keamanan informasi. Tim keamanan harus memikirkan eksploitabilitas dan memodelkan potensi ancaman segera setelah Anda mulai memikirkan aplikasi Anda. Semakin dini Anda menangkap potensi ancaman, semakin mudah Anda mengetahui cara melindungi diri sendiri menggunakan berbagai tindakan pencegahan, misalnya dengan mendesain ulang bagian-bagian sistem. Oleh karena itu, Anda harus menyertakan pemodelan ancaman dalam siklus hidup pengembangan perangkat lunak (SDLC) dari tahap awal papan gambar di seluruh DevOps.

Sistem Anda terus berkembang, sehingga pemodelan ancaman tidak akan pernah berhenti. Setiap perubahan pada lingkungan Anda harus dikaitkan dengan evaluasi ulang potensi ancaman. Bahkan modifikasi yang sangat kecil dapat menimbulkan ancaman baru yang sangat serius yang harus Anda mitigasi. Pada saat yang sama, pemodelan ancaman tidak hanya terbatas pada aset Anda sendiri. Misalnya, Anda mungkin perlu mempertimbangkan untuk mengaudit pengguna, mitra bisnis, dan lainnya. Jika sistem Anda adalah bagian dari keseluruhan yang lebih besar, ancaman terhadap sistem Anda mungkin tidak langsung.

Apa saja tahapan pemodelan ancaman?

Menurut teori pemodelan ancaman keamanan web, biasanya didasarkan pada empat tahap utama:
  • Apa yang sedang kita kerjakan? (Diagram)
  • Apa yang bisa salah? (Pencacahan Ancaman)
  • Apa yang akan kita lakukan? (Mitigasi)
  • Apakah kita melakukan pekerjaan dengan baik? (Verifikasi)
Pemodelan ancaman dimulai dengan pembuatan diagram karena ini adalah cara termudah untuk berkomunikasi dengan orang lain tentang bagaimana sistem Anda dibangun. Diagram juga mudah dipahami oleh kebanyakan orang. Diagram yang paling populer digunakan untuk pemodelan ancaman adalah diagram aliran data (DFD). Mereka fokus pada data yang merupakan salah satu elemen kunci dari pemodelan ancaman, dan mereka memungkinkan Anda dengan mudah mengetahui batas kepercayaan.

Setelah diagram awal siap, semua pihak yang terlibat dapat melihatnya dari sudut pandang penyerang dan mulai bertukar pikiran untuk menemukan masalah keamanan. Enumerasi/mitigasi ancaman mendetail melibatkan beberapa alat dan teknik yang membantu Anda mencakup semua kategori ancaman dan memenuhi persyaratan keamanan perangkat lunak Anda, misalnya, membangun simulasi serangan dan merancang kontrol keamanan. Verifikasi memungkinkan Anda memastikan bahwa mitigasi efektif.

Misalnya saat anda melakukan identifikasi keamanan aplikasi web, tercatat bahwa aplikasi web berpotensi terbuka untuk 10 serangan teratas seperti SQL, skrip lintas situs, dan lainnya, tetapi juga bahwa pengguna dapat menggunakan kata sandi yang lemah, yang membuat sistem terkena serangan.

Anda kemudian dapat menggunakan pemindai kerentanan aplikasi web untuk berpikir seperti penyerang dan mencoba menemukan kerentanan. Dalam tahap mitigasi dan verifikasi, solusi keamanan web lengkap seperti Acunetix juga dapat membantu Anda dengan memprioritaskan dan mengelola masalah secara otomatis untuk memeriksa apakah masalah telah diselesaikan. Meskipun alat yang berfokus pada otomatisasi tersebut tidak akan mencakup semua ancaman dan direkomendasikan untuk menindaklanjuti dengan pengujian penetrasi, ini adalah salah satu elemen penting dari enumerasi dan mitigasi ancaman dunia maya untuk aplikasi web.    

28 Jun 2022

Cara Menghubungkan WA Bisnis dengan CRM Bitrix

Menghubungkan WhatsApp bisnis pada website Anda menjadi kemudahan untuk membalas pelanggan Anda secara cepat . Informasi dan Riwayat komunikasi klien akan disimpan secara otomatis di CRM Anda.Lalu bagaimana caranya ? Ketika pengunjung datang ke widget situs web Anda dan memilih WhatsApp maka akan di arahkan ke WhatsApp pribadi (seluler atau desktop). Segera setelah pelanggan mengirim pesan, tim sales Anda menerima notifikasi dan dapat membuka obrolan secara otomatis di Bitrix24 dan melanjutkan komunikasi.Tidak perlu melakukan pendaftaran Facebook atau WhatApp untuk mengatur integrasi ini untuk Bitrix24 Anda. Saluran sudah terhubung secara otomatis ke widget atau saluran terbuka Anda. Artikel ini akan membahas mengenai cara menghubungkan WA Bisnis dengan CRM Bitrix.

Bagaimana cara menghubungkan WhatsApp Bisnis dengan CRM Bitrix ?

Untuk menghubungkannya, pertama klik menu pada bagian Contact Center lalu klik WhatsApp Instan.

Pilih Open Channel, Users dalam antrian dan klik Connect.

Setelah tersambung Anda sudah dapat menggunaknya dan tidak ada lagi pengaturan yang diperlukan.

Bagaimana cara kerjanya?

Pelanggan datang ke situs Anda, tempat widget Bitrix24 terhubung, dan memilih metode komunikasi melalui WhatsApp.

Terdapat dua cara yang akan ditawarkan untuk berkomunikasi:

  • I have a WhatsApp application on my computer
  • Open WhatsApp on my phone

Jika pelanggan membuka situs di ponsel, aplikasi seluler akan dibuka secara otomatis. Kemudian pelanggan perlu mengirim pesan khusus ke operator saluran terbuka.

Setelah mengirim pesan ini, operator akan terhubung. Anda dapat memulai dialog dalam obrolan.

Dialog akan disimpan dalam form CRM dan informasi kontak akan disimpan di bagian Kontak.

Fitur koneksi WhatsApp instan

  • Hanya satu saluran WhatsApp Instan yang dapat dihubungkan ke Bitrix24. Jika Anda menghubungkan WhatsApp Instan ke saluran terbuka kedua, saluran itu akan terputus dari saluran pertama.
  • Operator harus membalas pesan pelanggan dalam waktu 24 jam setelah pesan pelanggan terakhir. Setelah 24 jam, pesan operator kepada pelanggan tidak akan terkirim.
  • Nomor telepon Anda, yang akan digunakan untuk mengirim undangan khusus ke obrolan, tidak dapat dihubungkan.
14 Jun 2022

Empat Cara Mudah bagi Tim IT untuk Analisis Aplikasi Keamanan Web

Pelaporan data keamanan website secara analitik yang jelas dapat membantu tim IT untuk menetapkan standar dan kebijakan dalam menjaga keamanan aplikasi web yang akan digunakan. Berikut empat cara mudah bagi tim IT dalam pelaporan untuk analisis aplikasi keamanan web.

Tingkatkan akurasi Keamanan aplikasi web untuk menyempurnakan proses

Dalam industri apa pun, pelaporan analitik sistem dapat membantu meningkatkan akurasi dan menyederhanakan proses keamanan web. Dengan menggunakan Aplikasi keamanan web dapat mengurangi pekerjaan manual, pengerjaan berulang dan proses yang lebih ramping.

Tools keamanan aplikasi web menawarkan akurasi yang lebih besar untuk meningkatkan kepercayaan dalam pemindaian data, positif palsu dalam pelaporan dapat membuat pekerjaan menjadi berat. Memilih solusi keamanan yang dibangun di atas akurasi seperti Acunetix akan membantu memastikan bahwa Anda hanya mendapatkan informasi berkualitas dalam pelaporan Anda untuk mengurangi perkiraan dan mengurangi stres.

Pahami risiko dan prioritaskan dengan lebih efektif

Setiap orang membutuhkan visibilitas mengenai hal yang berhasil dan apa yang tidak, terutama dalam hal risiko keamanan. Pelaporan dan analitik yang jelas dapat melakukan hal tersebut, pekerja di lapangan dapat mengelola risiko dan memprioritaskan dengan lebih efektif. Selain itu dapat menghilangkan perkiraan keamanan dan memberikan dasar yang lebih stabil untuk evaluasi dan prioritas risiko.

Artikel terkait : Seberapa Sering Anda harus Menguji Keamanan Aplikasi Web?

Optimalkan program Anda dan kelola ekspektasi

Pelaporan dan analitik membantu Anda bekerja lebih ringan dan mengungkap kemacetan dan masalah proses yang berkontribusi pada tim yang terlalu banyak pekerja atau keamanan di bawah standar. Dengan analitik yang akurat, Anda memiliki pemahaman yang lebih baik tentang apa yang mungkin berdampak negatif pada produktivitas sehingga Anda dapat meningkatkan sistem keamanan Anda sekaligus meningkatkan kecepatan pengembangan.

Mungkin salah satu manfaat terbesar dari pengoptimalan program melalui analitik adalah tim IT anda memiliki penanganan yang lebih baik terhadap kerentanan yang muncul berulang kali. Dalam Indikator Invicti AppSec edisi terbaru kami, kami melihat beberapa tren tahun-ke-tahun yang mengkhawatirkan dalam data kami yang menunjukkan prevalensi cacat berdampak langsung dan dapat membantu menjelaskan mengapa kelemahan yang sama masih sering muncul di kode.

Misalnya, meskipun secara teknis mudah dicegah, kerentanan injeksi SQL (SQLi) belum menjadi langka sejak 2019 dan berdampak pada sektor pemerintah dan pendidikan lebih dari sebelumnya. Ini kemungkinan karena kode lama yang perlu diperbarui dan kesenjangan keterampilan yang menghambat perbaikan dan pencegahan. Tetapi dengan alat modern yang menawarkan pelaporan yang akurat, organisasi dapat mengetahui seberapa sering kelemahan seperti SQLi terus menyelinap ke dalam kode mereka dan lebih siap untuk memutuskan apa yang harus dilakukan.

Kemudahan pelaporan untuk analisis data penting

Selain mengirimkan informasi tentang risiko pada rantai pusat, pelaporan memberi Anda jalan yang lebih jelas. Idealnya, analitik Anda harus menunjukkan riwayat sasaran dan peningkatan yang dapat dipetakan kembali oleh tim profesional DevSecOps Anda ke upaya AppSec mereka.

Analisis dan laporan seringkali penting untuk menunjukkan kepatuhan – terutama untuk organisasi dan lembaga pemerintah yang berurusan dengan data sensitif setiap hari. Seiring dengan kebijakan pemerintah dalam merilis panduan untuk postur keamanan yang lebih baik, mengawasi kepatuhan dan peraturan seputar keamanan aplikasi web akan membantu Anda tetap selangkah lebih maju dari ancaman yang datang.

Kesimpulan

Memenuhi kebutuhan keamanan modern memerlukan strategi yang matang, proses yang disempurnakan, dan alat keamanan aplikasi web yang mumpuni yang meningkatkan akurasi. Baik Anda sedang mencari solusi baru atau sedang berpikir untuk memperluas perangkat Anda saat ini, cari vendor yang memahami kekuatan analitik dan pelaporan yang dapat membantu Anda, hubungi kami untuk informasi lebih lanjut.
31 Mei 2022

2 Hal Penting saat Menggunakan Alur Kerja Otomatis.

Beberapa tahun yang lalu, banyak pengusaha yang telah mengadopsi alur kerja menjadi otomastis, dan bagi sebagian orang sistem baru ini menjadi tantangan. Automation rules atau alur kerja otomatisasi  dipandang sebagai sesuatu yang cukup menakutkan, karena timbul pertanyaan apakah nanti akan ada pengurangan pekerja dan menyebabkan pengangguran secara massal dengan alur kerja otomatis ?

Namun saat ini, masyarakat memiliki pandangan yang berbeda mengenai sistem otomatis, dimana tidak takut lagi dengan tidak adanya pekerjaan yang menyebabkan pengangguran massal.Ini memberikan otomatisasi dimensi yang sama sekali baru sebagai teknologi yang membantu bisnis modern tetap bertahan dalam ekonomi bakat yang sulit.

Selain itu, kami tampaknya menyadari bahwa otomatisasi tidak hadir untuk menggantikan manusia. Namun membuat kita lebih baik dalam pekerjaan dan membantu kita menyingkirkan pekerjaan manual yang membosankan dan biasa. Jadi, kita mendapatkan lebih banyak waktu untuk berkreasi dan strategis atau bahkan pulang lebih awal untuk menghabiskan lebih banyak waktu bersama keluarga. Artikel ini akan membahas mengenai 2 hal penting saat menggunakan Alur kerja otomatis.

Mulailah dengan tugas frekuensi tinggi atau kompleksitas rendah

Tidak setiap bagian dari alur kerja dapat atau harus diotomatisasi. Anda harus fokus pada tugas yang sering Anda lakukan. Hal-hal seperti entri data, ekstraksi data, memindahkan file antar sistem, menghasilkan barang dari template, dll. Pekerjaan kreatif dan interaksi sosial masih terlalu rumit untuk mesin, jadi fokuskan pada tugas – tugas sederhana terlebih dahulu.

Mari kita ambil contoh proses penjualan. Setengah dari proses penjualan adalah menciptakan hubungan baik dengan klien dan membangun kepercayaan. Setengah lainnya memperbarui CRM, menghasilkan proposal dan kontrak, dan memberi tahu stakeholders — tugas manual sederhana seperti itu. Fokus pada yang terakhir. Anda fokus pada aspek sosial, kreatif, dan strategis pekerjaan, dan biarkan mesin menangani semua kesibukan lainnya.

Artikel terkait : Marketing Automation, Solusi Meningkatkan Penjualan dengan Mudah

Urutkan data Anda

Salah satu aspek otomatisasi yang sering diabaikan adalah data. Sebagian besar alat otomatisasi berbasis logika deterministik menggunakan data. Apa yang mencegah sebagian besar perusahaan membuat alur kerja otomatis yang mulus adalah bahwa mereka belum menyusun dan memanfaatkan data mereka.

Sebelum alur kerja otomatis anda berjalan lancar fokuskan terlebih dahulu apa yang penting, Anda perlu memilah-milah data Anda. Gunakan format terstruktur dan kaya data, pilih aplikasi yang terintegrasi dengan baik, dan fokus pada penyederhanaan aliran data Anda, sehingga semuanya berbicara bersama di seluruh organisasi.

Alur kerja otomatis adalah kunci untuk mengatasi tantangan kekurangan tenaga kerja saat ini, ini adalah keuntungan yang akan mmebuat bisnis anda unggul dengan membuat pekerjaan lebih efisien. Teknologi seperti Bitrix24 dapat membantu Anda untuk membuat alur kerja otomatis atau automation rules. Askarasoft merupakan partner Bitrix di Indonesia untuk pelatihan, implementasi, dan kustomisasi Bitrix.

18 Mei 2022

Cara Menggunakan Acunetix dalam Menganalisa Keamanan Web

Analisis komposisi perangkat lunak atau Software Composition Analysis (SCA) adalah bagian penting dari pengujian keamanan aplikasi. Aplikasi web saat ini memberikan banyak fungsi dalam penggunaannya dengan menggunakan beberapa kompenen dari open – source (sumber terbuka). Seperti semua perangkat lunak, komponen yang bersifat open – source rentan terhadap keamanan aplikasi web dan umumnya setiap komponen akan memiliki jalur pengembangan yang biasanya dilcak dengan nomor versi. SCA adalah proses menganalisis kode sumber aplikasi untuk mengidentifikasi komponen sumber terbuka dan nomor versinya, dan membandingkan daftar dengan database master yang berisi komponen yang dapat diketahui dengan nomor versi dan paparan kerentanan.

Memindai Target dengan Fungsi SCA

Acunetix menyediakan server SCA dengan database master komponen sumber terbuka sebagai bagian dari Layanan Online Acunetix. Anda harus memastikan bahwa Acunetix Online Services diaktifkan,  untuk instalasi Acunetix Anda sebelum analisis SCA dapat dilakukan,  buka halaman profil Anda untuk memeriksa ini:

Anda juga harus menginstal agen AcuSensor di server Anda. Saat aplikasi dipindai dengan Acunetix, agen AcuSensor yang disebarkan ke aplikasi akan menganalisis aplikasi, membuat inventaris komponen yang digunakan, dan mengirimkan inventaris ke server SCA untuk perbandingan. Server SCA kemudian akan merespons Acunetix jika menemukan komponen dengan kerentanan yang diketahui.

Saat meninjau hasil pemindaian, Anda dapat melihat bahwa fungsionalitas SCA telah menemukan paket rentan yang digunakan :

Anda juga dapat memperluas kerentanan yang ditemukan untuk mendapatkan deskripsi mendetail tentang paket rentan :

Jika beberapa paket rentan dengan tingkat keparahan yang sama ditemukan, deskripsi terperinci akan ditampilkan untuk setiap paket rentan :

Petunjuk Perbaikan

Deskripsi secara rinci dapat memberi kita petunjuk berharga untuk perbaikan nantinya. Seperti contoh yang dikutip di atas, dengan Version: 5.2.26.0 dan deskripsinya berisi :

Description: PHPMailer before 5.2.27 and 6.x before 6.0.6 is vulnerable to an object injection attack.

Ini dengan jelas menunjukkan nomor versi komponen open – source yang dimaksud yang memiliki kerentanan, serta nomor versi spesifik yang ditemukan di aplikasi web Anda. Oleh karena itu, Anda dapat menggunakan versi komponen yang telah mengatasi kerentanan. Dalam hal ini, kemungkinan besar Anda akan lebih baik dilayani dengan memutakhirkan komponen PHPMailer, setidaknya dengan versi 6.0.6 (atau versi 5.2.27 jika Anda memerlukan beberapa fungsi perilaku warisan yang tidak ada di versi 6.0.6).

Menjaga agar Tetap Aman

Ingatlah bahwa melakukan pemindaian satu kali pada target Anda tidak cukup, bahkan jika aplikasi web Anda dalam pembekuan kode. Seiring berjalannya waktu, kerentanan baru ditemukan, sehingga perlu tetap waspada. Pemindaian kerentanan harus menjadi bagian integral dari SDLC Anda (siklus hidup pengembangan perangkat lunak).

Silahkan kunjungi artikel ini ===> Seberapa Sering Anda harus Menguji Keamanan Aplikasi Web?

Salah satu cara sederhana untuk membantu Anda menjaga keamanan aplikasi web Anda adalah dengan menyiapkan pemindaian berulang. Setiap kerentanan yang ditemukan selama pemindaian terjadwal akan dilaporkan melalui email agar Anda dapat mengambil tindakan dan memulihkannya.

 

Tools seperti acunetix dapat membantu menganalisa keamanan aplikasi web anda dan merekomendasikan langkah yang harus anda lakukan untuk memperbaiki sistem. Askarasoft dapat membantu anda dalam proses implementasi dan pelatihan aplikasi Acunetix.

 
19 Apr 2022

Cara Membuat Kata Sandi yang Aman Dari Peretas

Kata sandi yang lemah dan penggunaan kembali kata sandi masih menjadi masalah paling serius bagi keamanan siber. Ada beberapa cara untuk meningkatkan keamanan kata sandi tetapi sering kali tidak diadopsi oleh pengguna dan administrator. Berikut beberapa cara untuk memastikan bahwa data sensitif di aplikasi web Anda tidak diretas oleh peretas jahat karena kata sandi pengguna yang tidak aman. Artikel ini akan membahas mengenai Cara membuat kata sandi yang aman dari peretas.

Panjang atau Rumit?

Kebijakan kata sandi yang paling umum diterapkan oleh administrator, baik dalam hal aplikasi web maupun sistem lain, adalah panjang dan rumit. Misalnya, kata sandi yang rumit mungkin harus berisi setidaknya 8 karakter, huruf besar dan kecil, angka, dan karakter khusus. Namun, kebijakan ini sebenarnya cukup lemah dan tidak direkomendasikan. Sebaiknya atur panjang minimum setidaknya 16 karakter, beri spasi, dan perkenalkan tanpa batas panjang.

Ada beberapa situs web, di mana Anda dapat memeriksa berapa lama waktu yang dibutuhkan untuk memecahkan kata sandi Anda menggunakan serangan brute force. Jika Anda memasukkan kata sandi 8 karakter dengan angka, huruf besar/kecil, dan jika anda mencoba di How Secure Is My Password, hasilanya adalah komputer dapat merusak kata sandi Anda dalam 9 jam. Di sisi lain, jika Anda memasukkan kata sandi 16 karakter yang hanya menggunakan huruf kecil, hasilnya adalah 224 juta tahun.

Apakah karakter panjang cukup aman ?

Jika peretasan kata sandi hanya didasarkan pada metode brute-force (mencoba setiap kombinasi yang mungkin), panjang kata sandi akan menjadi cara terbaik untuk secara praktis membuat serangan menjadi tidak mungkin. Namun, ada juga teknik serangan cyber yang disebut serangan kamus, yang pada dasarnya berarti menebak kata sandi berdasarkan kata-kata yang umum digunakan. Misalnya, kata sandi rubah coklat cepat melompati anjing malas akan dipecahkan oleh serangan kamus hampir seketika. Di sisi lain, frasa sandi dengan huruf yang sama persis: vromjon tobki huhet qecar dzowyf xup selg, hampir mustahil untuk dipecahkan.

Untungnya, serangan kamus juga sangat mudah dihindari jika Anda menggunakan kata-kata palsu yang mudah dihafal karena cara pengucapannya. Misalnya, Anda dapat menggunakan frasa sandi seperti bargle zaws gubble meh brudda dulgly. Mereka yang mengetahui bahasa yang tidak jelas menjadi lebih mudah karena sebagian besar serangan kamus didasarkan pada kosakata bahasa Inggris dan beberapa bahasa dunia populer lainnya. Misalnya, kapaċi niekol ieġ għax ma tweġġanix dapat dianggap sebagai sandi yang sangat kuat.

Rasa aman yang salah

Mekanisme lain yang sangat umum digunakan oleh aplikasi web dan sistem lain untuk meningkatkan keamanan kata sandi adalah memaksa pengguna untuk mengubah kata sandi mereka secara teratur. Mekanisme seperti itu biasanya menyimpan hash untuk kata sandi lama, oleh karena itu pengguna tidak disarankan untuk menggunakan kembali kata sandi mereka sebelumnya.

Teknik ini tidak meningkatkan entropi kata sandi dan sama sekali tidak mencegah dari serangan peretas. Oleh karena itu, semakin banyak pemain besar termasuk Microsoft menjauh dari merekomendasikan perubahan kata sandi biasa. Bahkan institusi besar seperti FTC sekarang merekomendasikan hal ini, jadi jangan terapkan mekanisme ini di aplikasi web Anda.

Bahaya penggunaan kata sandi berulang

Ketika Anda menemukan kata sandi yang aman, akan menjadi tidak aman jika Anda gunakan di setiap situs web dan aplikasi. Dengan jumlah pelanggaran data secara global ada kemungkinan besar kata sandi Anda untuk beberapa situs telah disusupi.

Untungnya, sebagian besar situs sebenarnya tidak menyimpan kata sandi yang tidak terenkripsi (walaupun pemain terbesar di pasar telah bersalah karenanya). Artinya, dalam kasus pelanggaran data, hanya hash kata sandi yang dikompromikan. Namun, dalam banyak kasus, hash tidak aman. Banyak aplikasi web menggunakan algoritma hash lama dan mudah dikompromikan seperti MD5. Dalam kasus seperti itu, penyerang membutuhkan lebih sedikit waktu untuk menemukan kata sandi berdasarkan hash. Tentu saja, semakin sederhana kata sandi Anda, semakin cepat itu akan disusupi.

Sayangnya, tidak ada cara untuk memeriksa penggunaan kembali kata sandi di aplikasi web Anda. Oleh karena itu, Anda perlu menghimbau pengguna Anda dan percaya bahwa mereka mengikuti saran Anda.

Semua kata sandi penting

Sebagai pengembang aplikasi web, anda mungkin berfikir bagaimana cara membuat kata sandi yang aman dan tidak membahayakan aplikasi web anda. Sayangnya, hal ini tidak selalu terjadi. Misalnya, jika penjahat dunia maya menggunakan injeksi SQL untuk mendapatkan daftar hash kata sandi dan kemudian memecahkan bahkan satu kata sandi pengguna, mereka dapat menggunakan akun pengguna ini untuk mengakses sistem dan menggunakan eskalasi hak istimewa untuk mendapatkan akses ke akun istimewa. Sayangnya, penyerang mungkin juga mendapatkan kata sandi pengguna melalui rekayasa sosial, phishing, atau malware dan ini adalah sesuatu yang Anda, sebagai pengembang aplikasi web, tidak dapat hindari.

Oleh karena itu, Anda harus memastikan bahwa pengguna Anda selalu menggunakan kata sandi yang aman. Ini bermuara pada dua aktivitas: menggunakan mekanisme keamanan kata sandi di aplikasi web Anda dan menguji kata sandi yang lemah. Dalam kasus pertama, Anda dapat mengembangkan mekanisme Anda sendiri atau menggunakan solusi sumber terbuka (seperti nowsecure atau zxcvbn) dan dalam kasus kedua: gunakan pemindai kerentanan web yang dapat menguji kata sandi default dan kata sandi yang lemah.