EP7: Lindungi kebocoran maklumat Credentials dengan Password Manager
Baru-baru ni Pendakwah Teknologi telah membuat pendedahan tentang banyak maklumat peribadi dan sulit termasuk username dan passsword untuk log masuk ke sistem penting seperti eperolehan, sistem bandaraya, cloud providers dan sistem kritikal yang lain telah terdedah secara online di Scribd dalam bentuk dokumen.
Perkara ini bukan sesuatu yang baru dan saya sendiri pernah jumpa beberapa organisasi dan syarikat yang tidak memandang serius tentang pengurusan credentials seperti password atau secrets. Kebanyakannya lebih membincangkan tentang strategi meningkatkan keuntungan syarikat dan penjimatan kos infrastruktur.
Kesannya banyak kakitangan organisasi baik kerajaan mahupun swasta menyimpan password mengikut cara mereka sendiri tanpa mengambil tahu tentang kesan dan akibat besar yang akan berlaku sekiranya maklumat-maklumat tersebut bocor. Dan malangnya ia telah pun bocor.
Ada yang taip username & password dalam fail word, excel atau text file, kemudian simpan dalam PC dan flashdrive. Ada yang simpan dalam Windows sticky notes yang di pin pada screen desktop dan yang paling menyedihkan ada yang tulis password pada kertas sticky note dan tampal pada monitor dan juga tulis dalam buku.
Ramai yang pandang perkara ni sesuatu yang remeh, tapi ia sebenarnya sesuatu yang sangat kritikal kerana ia boleh meruntuhkan sebuah infrastruktur IT syarikat yang menggunakan cloud untuk host sistem atau produk dalam sekelip mata – pengalaman peribadi sebuah syarikat yang menggunakan AWS yang kemudiannya administrator secret & access key leaked disebabkan kecuaian staff.
Jadi saya ingin mencadangkan kepada mana-mana syarikat, organisasi ataupun pihak kerajaan untuk :
1) Meningkatkan lagi kesedaran tentang pentingnya menjaga username, password dan apa jua secrets seperti API key, Auth key dan sebagainya.
2) Menguatkuasakan penggunaan password manager samada versi cloud ataupun self-hosted dengan sistem pemantauan kebocoran maklumat.
.
APA ITU PASSWORD MANAGER?
.
Password Manager adalah satu perisian yang digunakan untuk menyimpan maklumat sensitif seperti username & pasword untuk log masuk ke sesuatu sistem atau laman web. Maklumat tersebut disimpan dalam pangkalan data dan disulitkan (encrypted) oleh algorithm yang sangat sukar dipecahkan seperti AES-256.
Fungsi utama Password Manager adalah membantu meningkatkan keselamatan dengan menghapuskan keperluan pengguna untuk mengingat passsword yang kompleks bagi setiap website dan servis serta memastikan penggunaan password yang sepatutnya berbeza bagi setiap laman web tersebut. Anda cuma perlu cipta dan ingat satu password yang kukuh dan kompleks yang akan digunakan sebagai master password untuk log masuk ke Password Manager anda.
Oleh demikian, Password Manager didatangkan dengan beberapa fungsi yang penting seperti Password Generator, semakan password yang terdedah , fungsi web browser auto fill, OTP, Passkey, fungsi perkongsian password dengan selamat dan juga fungsi synchronize bagi membolehkan maklumat username dan pasword tersebut boleh di akses pada platform yang berbeza.
Terdapat beberapa jenis password manager yang boleh digunakan.
a) Cloud-based
Password manager beroperasi di cloud server dan anda menggunakan password manager sebagai Software-as-a-Service (SaaS). Data disimpan dalam server pembekal perkhidmatan cloud password manager dan disulitkan dengan 256-bit AES encryption.
Antara cloud-based password manager yang terkenal:
– LastPass
– Dashlane
– 1Password
– Bitwarden
– Keeper
– RoboForm
– NordPass
– Enpass
– Synology C2 Password
b) Local-based
Password manager beroperasi di komputer peribadi dan data disimpan dalam komputer anda dan disulitkan dengan 256-bit AES encryption.
Antara local-based password manager yang terkenal:
– KeePass
– KeePassXC
c) Self-hosted
Password manager beroperasi di server on-premise anda dan data disimpan dalam server anda sendiri. Disulitkan dengan 256-bit AES encryption. Sesuai untuk organisasi yang mahukan kawalan dan milikan penuh ke atas data dan pangkalan data.
Antara self-hosted password manager yang terkenal:
– Bitwarden
– Passbolt
– KeeWeb
– LessPass
– Padloc
– Teampass
Mana satu yang bagus? Secara peribadi saya syorkan Bitwarden. Kenapa?
1) Bitwarden berasaskan open-source dimana sumber kod Bitwarden di host dalam Github dan boleh di akses sesiapa sahaja untuk di review, audit dan membantu pembangunan Bitwarden dari semasa ke semasa.
2) Bitwarden menawarkan plan percuma untuk penggunaan peribadi dengan fungsi asas yang mencukupi. Jika anda perlukan fungsi yang lebih seperti file attachments, security reports, family sharing, ataupun anda menggunakannya untuk bisnes, anda boleh melanggan pelan berbayar dengan harga yang berpatutan.
3) Anda boleh pilih samada anda ingin gunakan cloud version jika anda ingin terus menggunakannya ataupun self-hosted version jika anda ingin menyimpan data dalam server dan network anda sendiri. Namun begitu, anda perlu mempunyai pengetahuan dan kemahiran membina server bitwarden sendiri.
4) Berdasarkan pengalaman saya, kadar load Bitwarden lebih laju berbanding password manager lain apabila anda ingin mengakses password vault anda ataupun anda membuat carian password anda.
5) Sangat jarang kedengaran berita berkenaan Bitwarden (cloud) compromised atau leaked seperti Lastpass.
6) Sokongan pelbagai platform sistem pengoperasian, mobile device dan juga web browser.
7) Fungsi password generator, security reports yang pelbagai termasuk semakan pasword anda yang telah dibocorkan, dan juga sokongan passkey + OTP untuk memudahkan authentication ke laman web dan meningkatkan keselamatan.
8 ) Anda boleh menyimpan pelbagai jenis maklumat seperti username & password, maklumat kad bank, maklumat ID, dan juga secure notes.
Saya sendiri adalah pengguna Bitwarden, tetapi dengan variasi yang lebih menarik iaitu Vaultwarden. Ia merupakan ‘fork’ daripada Bitwarden open-source dengan penambahan fungsi premium secara percuma tetapi anda perlu host sendiri di server anda dengan implementasi perimeter keselamatan yang sepatutnya.
Jika anda belum pernah menggunakan Password Manager, saya sangat-sangat menggalakkan anda menggunakan mana-mana Password Manager bagi meningkatkan keselamatan username dan password anda serta mengelakkan kebocoran maklumat tersebut dengan pemantauan automatik.
Elakkan menggunakan password yang lemah pada mana-mana laman web atau sistem dan juga elakkan menyimpan username dan password dalam notepad, word, excel, sticky note, buku dan juga web browser kerana web browser sangat terdedah dengan vurnerabilities daripada laman web yang dilayari, fail yang dimuat turun, extensions yang digunakan dan juga malware yang masuk ke dalam komputer anda.
Terima kasih sudi membaca dan semoga bermanfaat!
Jom sertai group Komuniti Infrastruktur IT :
– Facebook : https://www.facebook.com/groups/komunitiinfrastrukturit/
– Discord : https://discord.gg/cqUmse2qRg