IG1 IG2 IG3

Gunakan Kata Sandi yang Unik

Kelompok Kontrol: 5. Manajemen Akun

Jenis Aset: Pengguna

Fungsi Keamanan: Lindungi

Deskripsi

Gunakan kata sandi yang unik untuk semua aset perusahaan. Implementasi praktik terbaik mencakup, minimal, kata sandi 8 karakter untuk akun yang menggunakan MFA dan kata sandi 14 karakter untuk akun yang tidak menggunakan MFA.

Daftar Periksa Implementasi

1

Identifikasi sistem yang memerlukan autentikasi multi-faktor

2

Pilih dan terapkan solusi MFA

3

Daftarkan pengguna dan distribusikan faktor autentikasi

4

Uji MFA di semua sistem yang teridentifikasi

Rekomendasi Alat

CyberArk Privileged Access Manager Gartner MQ Leader, PAM 2024

Platform manajemen akses istimewa untuk mengamankan, mengelola, dan mengaudit kredensial dan sesi istimewa

CyberArk · Langganan per pengguna

BeyondTrust Privilege Management Gartner MQ Leader, PAM 2024

Manajemen akses istimewa dengan manajemen hak istimewa endpoint, akses jarak jauh yang aman, dan penyimpanan kata sandi

BeyondTrust · Langganan per pengguna

Delinea Secret Server Gartner MQ Leader, PAM 2024

Manajemen akses istimewa dengan penyimpanan kata sandi, perekaman sesi, dan peningkatan hak istimewa just-in-time

Delinea · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Serangan Credential Stuffing Menggunakan Password yang Bocor

Confidentiality

Penyerang menggunakan kredensial yang bocor dari pelanggaran pihak ketiga untuk mengakses akun perusahaan di mana karyawan menggunakan ulang password yang sama di sistem pribadi dan kerja.

Password Spraying dengan Password Umum yang Lemah

Confidentiality

Penyerang melakukan serangan password spraying menggunakan password umum seperti 'Spring2026!' yang memenuhi aturan kompleksitas dasar tetapi dapat diprediksi, mengkompromikan beberapa akun secara bersamaan.

Pemecahan Password Offline dari Hash yang Dicuri

Confidentiality

Penyerang yang mendapatkan hash password memecahkan password pendek atau sederhana dengan cepat menggunakan brute force yang dipercepat GPU atau rainbow table, mendapatkan akses ke akun dengan password lemah.

Kerentanan (Saat Pengamanan Tidak Ada)

Password Lemah atau Digunakan Ulang di Seluruh Akun Perusahaan

Tanpa persyaratan password unik dan penegakan panjang minimum, pengguna memilih password yang lemah, dapat diprediksi, atau sebelumnya telah dikompromikan yang mudah ditebak atau dipecahkan.

Tidak Ada Mekanisme Penegakan Kebijakan Password

Tanpa kontrol teknis yang menegakkan persyaratan panjang dan keunikan password, pengguna default ke password yang paling pendek, paling sederhana, dan paling mudah diingat.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Status pendaftaran MFA dan konfigurasi penegakan	Ditinjau setiap bulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Akun dan Kredensial

Control 5, Control 6

Pengamanan Terkait di Kontrol 5

5.1 Tetapkan dan Pelihara Inventaris Akun

5.3 Nonaktifkan Akun yang Tidak Aktif

5.4 Batasi Hak Istimewa Administrator ke Akun Administrator Khusus

5.5 Tetapkan dan Pelihara Inventaris Akun Layanan

5.6 Sentralisasi Manajemen Akun