Embed Size (px)
Citation preview
SECURITY TIPS
VOLUME 1
Brought To You By Open Kod Sdn Bhdwww.openkod.com
SECURITY TIPSBrought To You By Open Kod Sdn Bhd
www.openkod.com
Vol. 1: Password Management
All specification and figures are subject to change without prior notice. Copyright 2015 Open Kod Sdn Bhd. This publication, including all photographs, is protected under international copyright laws, with all rights reserved. All trademarks and logos are copyrights of their respective owners.
VOLUME 1: PASSWORD MANAGEMENT
Vol. 1: Password Management
VOLUME 1: PASSWORD MANAGEMENT
Terima kasih kerana anda telah melanggan untuk menerima tips sekuriti daripada pihak kami, Untuk yang tips yang pertama ini, saya akan jelaskan tentang kesilapan yang sering di lakukan oleh “system administrator” ataupun “network administrator“. Situasi ini sering kali berlaku dalam agensi kerajaan terutamanya ini kerana, setiap polisi sekuriti yang di beri sebagai “baseline” tidak dipatuhi dan diabaikan. Situasi mengambil mudah ini membolehkan sesebuah system itu di ambil alih oleh penggodam tanpa sedar. Penggodam kadang kadang hanya ingin mengambil data dan bukannya untuk merosakkan sesebuah sistem, oleh itu penjaga bagi setiap aplikasi dan sistem rangkaian tidak sedar yang data mereka telah dicuri telah hampir satu tahun. Apabila perkara seperti ini terjadi, maka ianya sudah terlambat.
“Password Management” merupakan satu aspek penting tidak kira bagi sistem rangkaian, aplikasi mahupun komputer peribadi. Bagi sesetengah agensi, mereka ambil serius perkara ini, di dalam polisi sekuriti mereka tercatat bahawa setiap 90 hari kata kunci harus ditukar, tidak boleh menggunakan kata kunci yang pernah digunakan sebelum ini, mempunyai gabungan huruf perkataan dan karakter spesial dalam kata kunci tersebut. Walaupun polisi sekuriti ini perlu di patuhi, tetapi berapa banyakkah agensi yang betul betul menjalankan setiap perkara yang tercatat.
Yang seterusnya, jika kita sedar, setiap kali kita menerima staf yang baru, kita akan mendaftarkan nama beliau di dalam sistem yang membolehkan dia untuk log masuk ke dalam sistem dengan menggunakan “active directory” tetapi berapa ramaikah sistem admin yang membuang kembali akses mereka apabila mereka sudah berhenti dari agensi tersebut? Perkara yang diambil mudah seperti ini membuka peluang kepada seseorang untuk menceroboh masuk kedalam sistem dengan begitu mudah sekali.
Vol. 1: Password Management
www.openkod.com | Page 1
Contoh yang kedua adalah, setiap agensi ada melakukan “network assessment” ataupun “security posture assessment” pada setiap tahun misalnya, tetapi adakah “system/network administrator” tersebut membuang kembali akses yang diberikan? Terdapat kes dimana, setelah setahun konsultan tersebut kembali ke agensi berkenaan, dan masih boleh log masuk dengan username dan password yang diberikan kepadanya setahun yang lepas. Ini menunjukkan “system/network administrator” mengambil mudah hal ini yang boleh mendorong kepada sistem diceroboh dan data dicuri oleh pihak yang tidak sepatutnya.
Yang terakhir sekali adalah pemilihan kata kunci, seperti yang sedia maklum, manusia mempunya satu sifat yang dinamakan pelupa. Terdapat satu kes dimana, “system/network administrator” menggunakan satu kata kunci untuk semua “appliance” dan “server”. Ia diibaratkan “buy 1 and get another 10 for free”. Bagi yang tidak mampu untuk menghafal kata kunci, boleh menggunakan satu kata kunci utama di dalam telefon bimbit dan mencatatkan segala kata kunci di dalam aplikasi tersebut. Untuk meningkatkan lagi tahap sekuriti, mereka boleh menggunakan cap jari untuk melindungi kata kunci yang disimpan di dalam telefon bimbit itu.
Setakat ini sahajalah tips yang saya kongsikan dengan rakan rakan pembaca sekalian. Semoga kita akan bertemu kembali dalam tips yang seterusnya dari saya, Mat Sekuriti.
www.openkod.com | Page 2
Vol. 1: Password Management
