Reset Password Berkala Ternyata Tidak Aman, Ini Penjelasan Ahli
Melakukan pengaturan ulang kata sandi secara berkala tidak sepenuhnya menjamin keamanan dari serangan hacker.
Keamanan siber kini tidak hanya melibatkan teknologi canggih, tetapi juga melawan manipulasi psikologis. Menurut penelitian terbaru yang dilakukan oleh Forrester, setiap permintaan untuk mengatur ulang kata sandi mengakibatkan biaya sekitar USD 70 (setara dengan Rp 1,2 juta).
Biaya ini bukan hanya menjadi beban bagi perusahaan, tetapi juga membuka peluang bagi para hacker untuk melakukan aksinya. Meskipun banyak organisasi telah mengadopsi alat Self-Service Password Reset (SSPR) guna meringankan beban kerja tim IT, intervensi manual dari departemen helpdesk tetap tinggi. Ini menjadi titik lemah, di mana penyerang dapat meyakinkan petugas administrasi untuk melakukan reset kata sandi dan dengan mudah melewati otentikasi multifaktor (MFA) untuk menguasai akun target.
Serangan siber yang menimpa Marks & Spencer (M&S) pada April 2025 menjadi pengingat penting akan risiko ini. Seperti yang dilaporkan oleh BleepingComputer pada Rabu (29/4/2026), serangan tersebut mengakibatkan lumpuhnya operasi nasional dan menghentikan penjualan daring selama lima hari, dengan total kerugian diperkirakan mencapai 3,8 juta (sekitar Rp 88 miliar) per hari.
Kelompok peretas Scattered Spider diduga menjadi pelaku di balik insiden ini. Modus operandi mereka tergolong klasik namun efektif, di mana mereka menyamar sebagai karyawan M&S dan menghubungi layanan service desk pihak ketiga. Dengan menggunakan teknik social engineering, mereka berhasil meminta pengaturan ulang kata sandi, sehingga tanpa perlu mengeksploitasi kerentanan teknis yang rumit, peretas memperoleh kredensial sah untuk mengakses sistem.
Setelah berhasil masuk, penyerang memanfaatkan Active Directory untuk mencuri berkas NTDS.dit, yaitu basis data yang menyimpan seluruh hash kata sandi pengguna domain. Melalui peretasan hash secara luring, mereka dapat memperluas akses dan bergerak lateral di dalam jaringan selama berminggu-minggu. Akhirnya, mereka meluncurkan ransomware yang menyebabkan gangguan besar pada sistem pembayaran dan logistik. Insiden ini menunjukkan betapa pentingnya keamanan siber yang tidak hanya bergantung pada teknologi, tetapi juga pada kesadaran dan pelatihan karyawan untuk mengenali dan mengatasi ancaman yang ada.
Tantangan Utama
Tantangan utama dalam serangan rekayasa sosial adalah bahwa aktivitas tersebut sering kali tampak normal. Bagi petugas helpdesk, situasi ini hanya terlihat seperti permintaan rutin dari rekan kerja yang lupa kata sandi mereka. Oleh karena itu, para ahli keamanan menekankan bahwa verifikasi identitas harus menjadi langkah wajib, bukan sekadar opsional atau bergantung pada intuisi petugas.
Untuk mengatasi masalah ini, solusi seperti Secure Service Desk mulai diterapkan guna mengurangi risiko yang ada. Sistem ini tidak lagi mengandalkan pertanyaan keamanan yang mudah ditebak, tetapi mewajibkan pengiriman kode sekali pakai (OTP) ke perangkat terdaftar atau menggunakan penyedia identitas terpercaya sebelum tindakan apa pun dapat dilakukan.
Empat Langkah Pengamanan Strategis
Untuk mengurangi risiko, organisasi sebaiknya menerapkan praktik terbaik berikut:
- Optimalkan Layanan Mandiri (SSPR): Ajak karyawan untuk memanfaatkan alat reset mandiri guna mengurangi ketergantungan pada intervensi manusia yang rentan terhadap manipulasi.
- Kredensial Sementara yang Aman: Hindari mengirimkan kata sandi baru melalui panggilan suara atau email yang tidak terenkripsi. Gunakan saluran yang aman dan pastikan kata sandi tersebut hanya berlaku dalam waktu singkat.
- Audit Aktivitas Secara Berkala: Awasi pola penyetelan ulang kata sandi. Frekuensi yang tidak biasa pada akun tertentu bisa menjadi tanda awal adanya upaya pembobolan.
- Pelatihan Intensif Tim Helpdesk: Petugas harus dilengkapi dengan panduan yang ketat dan alat verifikasi yang konsisten. Identitas pengguna harus dibuktikan secara teknis, bukan hanya diandalkan pada percakapan.
Dalam konteks keamanan siber saat ini, teknologi yang canggih pun tidak ada artinya jika "benteng" terakhir—yaitu manusia yang mengendalikan akses—dapat dengan mudah dikelabui. Kasus M&S menunjukkan bahwa satu panggilan telepon yang berhasil melewati verifikasi dapat mengakibatkan keruntuhan operasional yang besar.