Analisis Risiko Cyber Security
Analisis risiko merujuk pada tinjauan risiko yang terkait dengan tindakan atau peristiwa tertentu. Analisis risiko diterapkan pada teknologi informasi, proyek, masalah keamanan, dan peristiwa lain di mana risiko dapat dianalisis berdasarkan basis kuantitatif dan kualitatif. Risiko adalah bagian dari setiap proyek TI dan organisasi bisnis. Analisis risiko harus dilakukan secara rutin dan diperbarui untuk mengidentifikasi ancaman potensial baru. Analisis risiko strategis membantu meminimalkan probabilitas risiko di masa depan dan kerusakan yang ditimbulkan. Perusahaan dan organisasi menggunakan analisis risiko untuk: Manfaat Analisis Risiko Setiap organisasi perlu memahami risiko yang terkait dengan sistem informasi mereka untuk melindungi aset TI mereka secara efektif dan efisien. Analisis risiko dapat membantu organisasi meningkatkan keamanan mereka dalam banyak cara. Beberapa manfaatnya adalah: Langkah-Langkah dalam Proses Analisis Risiko Langkah-langkah dasar yang diikuti oleh proses analisis risiko adalah: Jenis Analisis Risiko Analisis Risiko Kualitatif Analisis risiko kualitatif adalah teknik manajemen proyek yang memprioritaskan risiko pada proyek dengan menetapkan angka probabilitas dan dampak. Probabilitas adalah kemungkinan suatu peristiwa risiko akan terjadi sementara dampak adalah signifikansi dari konsekuensi suatu peristiwa risiko. Tujuan dari analisis risiko kualitatif adalah untuk menilai dan mengevaluasi karakteristik dari setiap risiko yang diidentifikasi secara individual dan kemudian memprioritaskannya berdasarkan karakteristik yang disepakati. Menilai risiko individu mengevaluasi probabilitas bahwa setiap risiko akan terjadi dan dampaknya terhadap tujuan proyek. Mengkategorikan risiko akan membantu dalam menyaringnya. Analisis kualitatif digunakan untuk menentukan eksposur risiko proyek dengan mengalikan probabilitas dan dampak. Analisis Risiko Kuantitatif Tujuan dari melakukan analisis risiko kuantitatif adalah memberikan estimasi numerik dari dampak keseluruhan risiko terhadap tujuan proyek. Ini digunakan untuk mengevaluasi kemungkinan keberhasilan dalam mencapai tujuan proyek dan untuk memperkirakan cadangan kontingensi, yang biasanya berlaku untuk waktu dan biaya. Analisis kuantitatif tidak wajib, terutama untuk proyek yang lebih kecil. Analisis risiko kuantitatif membantu dalam menghitung estimasi risiko proyek secara keseluruhan yang menjadi fokus utama. Dengan melakukan analisis risiko secara menyeluruh, organisasi dapat mengambil langkah-langkah yang diperlukan untuk melindungi aset TI mereka dan memastikan kelangsungan operasional mereka dalam menghadapi berbagai ancaman yang berkembang. //TC ref : [1][2]
Tantangan Cyber Security
Saat ini, Cyber Security adalah komponen utama dari strategi keamanan nasional dan ekonomi negara. Di India, terdapat banyak tantangan yang terkait dengan keamanan siber. Dengan meningkatnya serangan siber, setiap organisasi memerlukan analis keamanan yang memastikan sistem mereka aman. Analis keamanan ini menghadapi banyak tantangan terkait keamanan siber seperti mengamankan data rahasia organisasi pemerintah, mengamankan server organisasi swasta, dan sebagainya. Berikut adalah beberapa tantangan keamanan siber yang penting saat ini: Tantangan Cyber Security Menangani tantangan-tantangan ini memerlukan strategi keamanan siber yang komprehensif dan berlapis-lapis, melibatkan kombinasi teknologi, proses, dan pelatihan untuk memastikan bahwa organisasi dapat melindungi aset mereka dari ancaman yang berkembang. //TC ref : [1][2]
Cyber Security Tools
Melindungi lingkungan TI kita sangat penting. Setiap organisasi perlu mengambil keamanan siber dengan serius. Ada banyak serangan peretasan yang mempengaruhi bisnis dari berbagai ukuran. Peretas, malware, dan virus adalah beberapa ancaman keamanan nyata di dunia maya. Sangat penting bahwa setiap perusahaan menyadari serangan keamanan yang berbahaya dan perlu menjaga diri mereka tetap aman. Ada banyak aspek pertahanan siber yang perlu dipertimbangkan. Berikut adalah enam alat dan layanan penting yang perlu dipertimbangkan setiap organisasi untuk memastikan keamanan siber mereka sekuat mungkin. Mereka dijelaskan di bawah ini: Cyber Security Tools //TC ref : [1][2]
Tanda Tangan Digital
Tanda tangan digital adalah teknik matematis yang memvalidasi keaslian dan integritas pesan, perangkat lunak, atau dokumen digital. Teknik ini memungkinkan kita untuk memverifikasi nama penulis, tanggal dan waktu tanda tangan, serta mengautentikasi isi pesan. Tanda tangan digital menawarkan keamanan yang lebih tinggi dan dirancang untuk mengatasi masalah pemalsuan dan penyamaran dalam komunikasi digital. Otentikasi informasi bisnis berbasis komputer menghubungkan antara teknologi dan hukum. Hal ini juga membutuhkan kerja sama antara orang-orang dengan latar belakang profesional dan bidang keahlian yang berbeda. Tanda tangan digital berbeda dari tanda tangan elektronik lainnya tidak hanya dalam hal proses dan hasil, tetapi juga membuat tanda tangan digital lebih dapat digunakan untuk tujuan hukum. Beberapa tanda tangan elektronik yang diakui secara hukum sebagai tanda tangan mungkin tidak seaman tanda tangan digital dan dapat menyebabkan ketidakpastian dan perselisihan. Penerapan Tanda Tangan Digital Alasan penting untuk menerapkan tanda tangan digital dalam komunikasi adalah: Otentikasi Otentikasi adalah proses yang memverifikasi identitas pengguna yang ingin mengakses sistem. Dalam tanda tangan digital, otentikasi membantu mengautentikasi sumber pesan. Non-repudiation Non-repudiation berarti jaminan bahwa sesuatu tidak dapat disangkal. Ini memastikan bahwa seseorang dalam sebuah kontrak atau komunikasi tidak dapat kemudian menyangkal keaslian tanda tangan mereka pada dokumen atau file atau pengiriman pesan yang mereka kirimkan. Integritas Integritas memastikan bahwa pesan adalah nyata, akurat, dan terlindungi dari modifikasi pengguna yang tidak sah selama transmisi. Algoritma dalam Tanda Tangan Digital Tanda tangan digital terdiri dari tiga algoritma: Cara Kerja Tanda Tangan Digital Tanda tangan digital dibuat dan diverifikasi dengan menggunakan kriptografi kunci publik, juga dikenal sebagai kriptografi asimetris. Dengan menggunakan algoritma kunci publik, seperti RSA, seseorang dapat menghasilkan dua kunci yang terhubung secara matematis – satu adalah kunci pribadi, dan yang lainnya adalah kunci publik. Pengguna yang membuat tanda tangan digital menggunakan kunci pribadi mereka untuk mengenkripsi dokumen terkait tanda tangan. Hanya ada satu cara untuk mendekripsi dokumen tersebut, yaitu dengan menggunakan kunci publik penandatangan. Teknologi ini memerlukan semua pihak untuk mempercayai bahwa individu yang membuat tanda tangan telah berhasil menjaga kerahasiaan kunci pribadi mereka. Jika seseorang memiliki akses ke kunci pribadi penandatangan, ada kemungkinan mereka dapat membuat tanda tangan palsu atas nama pemegang kunci pribadi. Langkah-langkah yang diikuti dalam membuat tanda tangan digital adalah: Jenis Tanda Tangan Digital Platform pemrosesan dokumen yang berbeda mendukung berbagai jenis tanda tangan digital. Mereka dijelaskan di bawah ini: Tanda Tangan Bersertifikat Dokumen tanda tangan digital bersertifikat menampilkan pita biru unik di bagian atas dokumen. Tanda tangan bersertifikat mencakup nama penanda tangan dokumen dan penerbit sertifikat yang menunjukkan kepenulisan dan keaslian dokumen. Tanda Tangan Persetujuan Tanda tangan digital persetujuan pada dokumen dapat digunakan dalam alur kerja bisnis organisasi. Mereka membantu mengoptimalkan prosedur persetujuan organisasi. Prosedur ini melibatkan penangkapan persetujuan yang dibuat oleh kita dan individu lain serta menyematkannya dalam dokumen PDF. Tanda tangan persetujuan mencakup detail seperti gambar tanda tangan fisik kita, lokasi, tanggal, dan stempel resmi. Tanda Tangan Digital Terlihat Tanda tangan digital terlihat memungkinkan pengguna untuk menandatangani dokumen secara digital. Tanda tangan ini muncul pada dokumen dengan cara yang sama seperti tanda tangan pada dokumen fisik. Tanda Tangan Digital Tak Terlihat Tanda tangan digital tak terlihat membawa indikasi visual dari pita biru dalam dokumen di bilah tugas. Kita dapat menggunakan tanda tangan digital tak terlihat ketika kita tidak memiliki atau tidak ingin menampilkan tanda tangan kita tetapi perlu memberikan keaslian dokumen, integritasnya, dan asalnya. //TC ref : [1][2]
Standar Keamanan
Untuk membuat langkah-langkah keamanan siber menjadi eksplisit, diperlukan norma tertulis yang dikenal sebagai standar keamanan siber: serangkaian ketentuan umum untuk pelaksanaan ideal dari langkah-langkah tertentu. Standar ini dapat mencakup metode, panduan, kerangka acuan, dll. Standar ini memastikan efisiensi keamanan, memfasilitasi integrasi dan interoperabilitas, memungkinkan perbandingan langkah-langkah yang bermakna, mengurangi kompleksitas, dan menyediakan struktur untuk perkembangan baru. Sebuah standar keamanan adalah “spesifikasi yang diterbitkan yang menetapkan bahasa umum, dan mengandung spesifikasi teknis atau kriteria lain yang tepat serta dirancang untuk digunakan secara konsisten, sebagai aturan, panduan, atau definisi.” Tujuan dari standar keamanan adalah untuk meningkatkan keamanan sistem teknologi informasi (TI), jaringan, dan infrastruktur kritis. Standar keamanan yang ditulis dengan baik memungkinkan konsistensi di antara pengembang produk dan berfungsi sebagai standar yang dapat diandalkan untuk pembelian produk keamanan. Standar keamanan umumnya disediakan untuk semua organisasi terlepas dari ukuran atau industri dan sektor tempat mereka beroperasi. Bagian ini mencakup informasi tentang setiap standar yang biasanya diakui sebagai komponen penting dari strategi keamanan siber. 1. ISO ISO adalah singkatan dari International Organization for Standardization. Standar Internasional membuat segala sesuatu dapat bekerja. Standar ini menyediakan spesifikasi kelas dunia untuk produk, layanan, dan komputer, untuk memastikan kualitas, keamanan, dan efisiensi. Mereka sangat penting dalam memfasilitasi perdagangan internasional. Standar ISO resmi didirikan pada 23 Februari 1947. Ini adalah organisasi internasional independen, non-pemerintah. Saat ini, ISO memiliki keanggotaan dari 162 badan standar nasional dan 784 komite teknis dan subkomite yang mengurus pengembangan standar. ISO telah menerbitkan lebih dari 22.336 Standar Internasional dan dokumen terkait yang mencakup hampir semua industri, mulai dari teknologi informasi, keamanan pangan, hingga pertanian dan perawatan kesehatan. Seri ISO 27000 Ini adalah keluarga standar keamanan informasi yang dikembangkan oleh International Organization for Standardization dan International Electrotechnical Commission untuk menyediakan kerangka kerja yang diakui secara global untuk manajemen keamanan informasi terbaik. Ini membantu organisasi untuk menjaga aset informasi mereka tetap aman seperti detail karyawan, informasi keuangan, dan kekayaan intelektual. Kebutuhan akan seri ISO 27000 muncul karena risiko serangan siber yang dihadapi organisasi. Serangan siber semakin hari semakin meningkat menjadikan peretas sebagai ancaman konstan bagi industri mana pun yang menggunakan teknologi. Seri ISO 27000 dapat dikategorikan menjadi beberapa jenis. Mereka adalah: 2. UU IT Undang-Undang Teknologi Informasi juga dikenal sebagai ITA-2000, atau UU IT yang bertujuan utama untuk menyediakan infrastruktur hukum di India yang menangani kejahatan siber dan e-commerce. UU IT didasarkan pada Model Hukum PBB tentang E-Commerce 1996 yang direkomendasikan oleh Majelis Umum PBB. Undang-undang ini juga digunakan untuk memeriksa penyalahgunaan jaringan siber dan komputer di India. Undang-undang ini secara resmi disahkan pada tahun 2000 dan diubah pada tahun 2008. Undang-undang ini dirancang untuk memberikan dorongan kepada perdagangan elektronik, transaksi elektronik, dan kegiatan terkait lainnya yang berhubungan dengan perdagangan dan perdagangan. Ini juga memfasilitasi pemerintahan elektronik melalui catatan elektronik yang dapat diandalkan. UU IT 2000 memiliki 13 bab, 94 pasal, dan 4 jadwal. 14 pasal pertama berkaitan dengan tanda tangan digital dan pasal lainnya berkaitan dengan otoritas yang bersertifikat yang berlisensi untuk mengeluarkan sertifikat tanda tangan digital, pasal 43 hingga 47 memberikan hukuman dan kompensasi, pasal 48 hingga 64 berkaitan dengan banding ke pengadilan tinggi, pasal 65 hingga 79 berkaitan dengan pelanggaran, dan pasal 80 hingga 94 yang tersisa berkaitan dengan hal-hal lain dari undang-undang tersebut. 3. UU Hak Cipta Undang-Undang Hak Cipta 1957 yang diubah oleh Undang-Undang Amandemen Hak Cipta 2012 mengatur subjek hukum hak cipta di India. Undang-undang ini berlaku sejak 21 Januari 1958. Hak cipta adalah istilah hukum yang menggambarkan kepemilikan kontrol atas hak-hak kepada penulis “karya cipta asli” yang diabadikan dalam bentuk ekspresi berwujud. Karya cipta asli adalah distribusi karya ekspresi kreatif tertentu termasuk buku, video, film, musik, dan program komputer. Hukum hak cipta telah disahkan untuk menyeimbangkan penggunaan dan penggunaan ulang karya kreatif dengan keinginan para pencipta seni, sastra, musik untuk memonetisasi karya mereka dengan mengendalikan siapa yang dapat membuat dan menjual salinan karya tersebut. Undang-undang hak cipta mencakup hal-hal berikut: Undang-undang hak cipta tidak mencakup hal-hal berikut: 4. Hukum Paten Hukum paten adalah hukum yang mengatur penemuan baru. Hukum paten tradisional melindungi penemuan ilmiah berwujud, seperti papan sirkuit, elemen pemanas, mesin mobil, atau ritsleting. Seiring waktu, hukum paten telah digunakan untuk melindungi berbagai penemuan yang lebih luas seperti praktik bisnis, algoritma pengkodean, atau organisme yang dimodifikasi secara genetik. Ini adalah hak untuk mengecualikan orang lain dari membuat, menggunakan, menjual, mengimpor, mendorong orang lain untuk melanggar, dan menawarkan produk yang secara khusus disesuaikan untuk praktik paten. Secara umum, paten adalah hak yang dapat diberikan jika suatu penemuan: 5. Hak Kekayaan Intelektual (HKI) Hak kekayaan intelektual adalah hak yang memungkinkan pencipta, atau pemilik paten, merek dagang, atau karya berhak cipta untuk mendapatkan manfaat dari rencana, ide, atau aset tidak berwujud mereka sendiri atau investasi dalam sebuah kreasi. Hak-hak HKI ini diuraikan dalam Pasal 27 Deklarasi Universal Hak Asasi Manusia. Ini memberikan hak untuk mendapatkan manfaat dari perlindungan kepentingan moral dan material yang dihasilkan dari kepenulisan karya ilmiah, sastra, atau seni. Hak-hak kekayaan ini memungkinkan pemegangnya untuk menjalankan monopoli atas penggunaan barang tersebut untuk jangka waktu tertentu. //TC ref : [1][2]
Kebijakan Kemanan Cyber
Kebijakan keamanan adalah seperangkat aturan formal yang dikeluarkan oleh organisasi untuk memastikan bahwa pengguna yang berwenang mengakses aset teknologi dan informasi perusahaan mematuhi aturan dan pedoman terkait keamanan informasi. Ini adalah dokumen tertulis dalam organisasi yang bertanggung jawab untuk melindungi organisasi dari ancaman dan bagaimana menanganinya ketika terjadi. Kebijakan keamanan juga dianggap sebagai “dokumen hidup,” yang berarti dokumen ini tidak pernah selesai, tetapi terus diperbarui seiring perubahan kebutuhan teknologi dan karyawan. Kebutuhan Kebijakan Keamanan Kita menggunakan kebijakan keamanan untuk mengelola keamanan jaringan kita. Sebagian besar jenis kebijakan keamanan dibuat secara otomatis selama instalasi. Kita juga dapat menyesuaikan kebijakan untuk sesuai dengan lingkungan spesifik kita. Berikut adalah beberapa rekomendasi kebijakan keamanan siber yang penting: //TC Ref : [1][2]
Ancaman terhadap E-Commerce
E-Commerce merujuk pada aktivitas membeli dan menjual barang secara online. Secara sederhana, ini merujuk pada transaksi komersial yang dilakukan secara online. E-commerce dapat mengandalkan banyak teknologi seperti perdagangan seluler, pemasaran internet, pemrosesan transaksi online, transfer dana elektronik, manajemen rantai pasokan, pertukaran data elektronik (EDI), sistem manajemen inventaris, dan sistem pengumpulan data otomatis. Ancaman terhadap e-commerce terjadi dengan menggunakan internet untuk tujuan yang tidak adil dengan niat mencuri, penipuan, dan pelanggaran keamanan. Ada berbagai jenis ancaman e-commerce. Beberapa adalah kecelakaan, beberapa sengaja, dan beberapa dari mereka disebabkan oleh kesalahan manusia. Ancaman keamanan yang paling umum adalah sistem pembayaran elektronik, uang elektronik, penyalahgunaan data, penipuan kartu kredit/debit, dll. Sistem pembayaran elektronik: Dengan perkembangan pesat teknologi komputer, seluler, dan jaringan, e-commerce telah menjadi bagian rutin dari kehidupan manusia. Dalam e-commerce, pelanggan dapat memesan produk dari rumah dan menghemat waktu untuk melakukan hal lain. Tidak perlu mengunjungi toko atau tempat belanja. Pelanggan dapat memilih berbagai toko di Internet dalam waktu yang sangat singkat dan membandingkan produk dengan berbagai karakteristik seperti harga, warna, dan kualitas. Sistem pembayaran elektronik memainkan peran yang sangat penting dalam e-commerce. Organisasi e-commerce menggunakan sistem pembayaran elektronik yang merujuk pada transaksi moneter tanpa kertas. Ini merevolusi proses bisnis dengan mengurangi kertas kerja, biaya transaksi, dan biaya tenaga kerja. Pengolahan e-commerce ramah pengguna dan membutuhkan waktu lebih sedikit daripada pengolahan manual. E-commerce membantu organisasi bisnis memperluas jangkauan pasar mereka. Namun, ada risiko tertentu dengan sistem pembayaran elektronik. Beberapa di antaranya adalah: Risiko Penipuan Sistem pembayaran elektronik memiliki risiko penipuan yang besar. Perangkat komputasi menggunakan identitas seseorang untuk mengotorisasi pembayaran seperti kata sandi dan pertanyaan keamanan. Otentikasi ini tidak sepenuhnya memastikan identitas seseorang. Jika kata sandi dan jawaban pertanyaan keamanan cocok, sistem tidak peduli siapa yang ada di sisi lain. Jika seseorang memiliki akses ke kata sandi atau jawaban pertanyaan keamanan kita, dia akan mendapatkan akses ke uang kita dan bisa mencurinya dari kita. Risiko Penghindaran Pajak Hukum Internal Revenue Service mensyaratkan setiap bisnis untuk menyatakan transaksi keuangannya dan menyediakan catatan kertas sehingga kepatuhan pajak dapat diverifikasi. Masalah dengan sistem elektronik adalah bahwa mereka tidak masuk dengan baik ke dalam paradigma ini. Hal ini membuat proses pengumpulan pajak sangat menjengkelkan bagi Internal Revenue Service. Adalah pada pilihan bisnis untuk mengungkapkan pembayaran yang diterima atau dibuat melalui sistem pembayaran elektronik. IRS tidak memiliki cara untuk mengetahui apakah itu mengatakan kebenaran atau tidak yang membuatnya mudah untuk menghindari pajak. Risiko Konflik Pembayaran Dalam sistem pembayaran elektronik, pembayaran ditangani oleh sistem elektronik otomatis, bukan oleh manusia. Sistem ini rentan terhadap kesalahan ketika menangani jumlah pembayaran besar secara berkala dengan lebih dari satu penerima yang terlibat. Penting untuk terus memeriksa slip gaji kita setelah setiap periode pembayaran berakhir untuk memastikan semuanya masuk akal. Jika tidak, ini dapat mengakibatkan konflik pembayaran yang disebabkan oleh gangguan teknis dan anomali. E-cash E-cash adalah sistem uang tanpa kertas yang memfasilitasi transfer dana secara anonim. E-cash gratis untuk pengguna sementara penjual membayar biaya untuk ini. Dana e-cash dapat disimpan baik di kartu itu sendiri atau dalam akun yang terkait dengan kartu itu. Contoh-contoh umum dari sistem e-cash adalah kartu transit, PayPal, GooglePay, Paytm, dll. E-cash memiliki empat komponen utama- Dalam e-cash, kami menyimpan informasi keuangan di komputer, perangkat elektronik, atau di internet yang rentan terhadap hacker. Beberapa ancaman utama terkait dengan sistem e-cash adalah- Backdoors Attacks Ini adalah jenis serangan yang memberikan penyerang akses tidak sah ke sistem dengan melewati mekanisme otentikasi normal. Ini bekerja di latar belakang dan menyembunyikan dirinya dari pengguna yang membuatnya sulit dideteksi dan dihapus. Denial of service attacks Denial of service attack (DoS attack) adalah serangan keamanan di mana penyerang mengambil tindakan yang mencegah pengguna yang sah (benar) dari mengakses perangkat elektronik. Ini membuat sumber daya jaringan tidak tersedia untuk pengguna yang dituju dengan sementara mengganggu layanan host yang terhubung ke Internet. Direct Access Attacks Direct Access Attacks adalah serangan di mana seorang peretas mendapatkan akses fisik ke komputer untuk melakukan aktivitas tidak sah dan menginstal berbagai jenis perangkat lunak untuk mengompromikan keamanan. Perangkat lunak ini dimuat dengan cacing dan mengunduh sejumlah besar data sensitif dari korban target. Eavesdropping Ini adalah cara tidak sah untuk mendengarkan komunikasi pribadi melalui jaringan. Ini tidak mengganggu operasi normal sistem yang ditargetkan sehingga pengirim dan penerima pesan tidak menyadari bahwa percakapan mereka dilacak. Penipuan Kartu Kredit/Debit Kartu kredit memungkinkan kita meminjam uang dari bank penerima untuk melakukan pembelian. Penerbit kartu kredit memiliki syarat bahwa pemegang kartu akan mengembalikan uang yang dipinjam dengan biaya yang disepakati. Kartu debit adalah kartu plastik yang dikeluarkan oleh organisasi keuangan kepada pemegang rekening tabungan yang dapat digunakan sebagai pengganti uang tunai untuk melakukan pembelian. Kartu debit dapat digunakan hanya ketika dana tersedia di rekening. Beberapa ancaman penting yang terkait dengan kartu debit/kredit adalah- ATM (Automated Teller Machine)- Ini adalah tempat favorit para penipu di mana mereka dapat mencuri detail kartu kita. Beberapa teknik penting yang digunakan penjahat untuk mendapatkan informasi kartu kita adalah: Skimming- Ini adalah proses menempelkan perangkat pengambil data pada pembaca kartu ATM. Ketika pelanggan menggesekkan kartu mereka di pembaca kartu ATM, informasi disalin dari strip magnetis ke perangkat. Dengan cara ini, para penjahat mengetahui rincian Nomor Kartu, nama, nomor CVV, tanggal kadaluarsa kartu, dan rincian lainnya. Kehadiran yang Tidak Diinginkan- Ini adalah aturan bahwa tidak lebih dari satu pengguna harus menggunakan ATM pada satu waktu. Jika kita menemukan lebih dari satu orang mengintip bersama-sama, niat di balik ini adalah untuk melihat rincian kartu kita saat kami melakukan transaksi kami. Vishing/Phishing Phishing adalah aktivitas di mana seorang peretas mendapatkan informasi sensitif seorang pengguna seperti kata sandi, nama pengguna, dan rincian kartu kredit, seringkali untuk tujuan jahat, dll. Vishing adalah aktivitas di mana seorang peretas mendapatkan informasi sensitif seorang pengguna melalui mengirimkan SMS di ponsel. SMS dan Panggilan ini tampak berasal dari sumber yang dapat dipercaya, tetapi sebenarnya palsu. Tujuan utama vishing dan phishing adalah mendapatkan PIN pelanggan, rincian rekening, dan kata sandi. Transaksi Online Transaksi online dapat dilakukan oleh pelanggan untuk berbelanja dan membayar tagihan mereka melalui internet. Ini mudah bagi pelanggan, tetapi juga mudah bagi peretas untuk masuk ke sistem kita dan
Teknologi Cyber Security
Dengan pertumbuhan pesat di Internet, keamanan cyber telah menjadi perhatian utama bagi organisasi di seluruh dunia. Fakta bahwa informasi dan alat & teknologi yang diperlukan untuk menembus keamanan jaringan organisasi korporat tersedia luas telah meningkatkan kekhawatiran keamanan tersebut. Hari ini, masalah mendasar adalah bahwa sebagian besar teknologi keamanan bertujuan untuk mencegah penyerang masuk, dan ketika itu gagal, pertahanan telah gagal. Setiap organisasi yang menggunakan internet memerlukan teknologi keamanan untuk mencakup tiga jenis kontrol utama – preventif, detektif, dan korektif serta memberikan audit dan pelaporan. Sebagian besar keamanan didasarkan pada salah satu dari jenis ini: sesuatu yang kita miliki (seperti kunci atau kartu ID), sesuatu yang kita ketahui (seperti PIN atau kata sandi), atau sesuatu yang kita adalah (seperti sidik jari). Beberapa teknologi keamanan penting yang digunakan dalam keamanan cyber dijelaskan di bawah ini- Firewall Firewall adalah sistem keamanan jaringan komputer yang dirancang untuk mencegah akses yang tidak sah ke atau dari jaringan pribadi. Ini dapat diimplementasikan sebagai perangkat keras, perangkat lunak, atau kombinasi keduanya. Firewall digunakan untuk mencegah pengguna Internet yang tidak sah mengakses jaringan pribadi yang terhubung ke Internet. Semua pesan yang masuk atau keluar dari intranet melewati firewall. Firewall memeriksa setiap pesan dan memblokir yang tidak memenuhi kriteria keamanan yang ditentukan. Kategori Firewall Firewall dapat dikategorikan menjadi jenis-jenis berikut- 1. Mode pemrosesan: Lima mode pemrosesan yang dapat dikategorikan firewall adalah- Packet Filtering Firewall filtering paket memeriksa informasi header dari paket data yang masuk ke dalam jaringan. Firewall ini diinstal pada jaringan TCP/IP dan menentukan apakah akan meneruskannya ke koneksi jaringan berikutnya atau menjatuhkan paket berdasarkan aturan yang diprogram dalam firewall. Ini memindai paket data jaringan mencari pelanggaran aturan database firewall. Sebagian besar firewall sering didasarkan pada kombinasi: Firewall filtering paket dapat dikategorikan menjadi tiga jenis- Gerbang aplikasi Ini adalah firewall proxy yang sering diinstal pada komputer yang didedikasikan untuk menyediakan keamanan jaringan. Firewall proxy ini bertindak sebagai perantara antara peminta dan perangkat yang dilindungi. Firewall proxy ini menyaring lalu lintas node masuk ke spesifikasi tertentu yang berarti hanya data aplikasi jaringan yang ditransmisikan yang disaring. Aplikasi jaringan tersebut meliputi FTP, Telnet, Real Time Streaming Protocol (RTSP), BitTorrent, dll. Gerbang sirkuit Gerbang level sirkuit adalah firewall yang beroperasi di lapisan transportasi. Ini menyediakan keamanan koneksi UDP dan TCP yang berarti dapat merakit, memeriksa, atau memblokir semua paket dalam koneksi TCP atau UDP. Ini bekerja antara lapisan transportasi dan lapisan aplikasi seperti lapisan sesi. Berbeda dengan gerbang aplikasi, ini memantau penanganan paket data TCP dan pemenuhan sesi aturan dan kebijakan firewall. Ini juga dapat berfungsi sebagai Jaringan Pribadi Virtual (VPN) melalui Internet dengan melakukan enkripsi dari firewall ke firewall. Firewall lapisan MAC Firewall ini dirancang untuk beroperasi di lapisan kontrol akses media model OSI. Ini dapat mempertimbangkan identitas komputer host tertentu dalam keputusan penyaringannya. Alamat MAC komputer host tertentu terhubung ke entri daftar kontrol akses (ACL). Entri ini mengidentifikasi jenis paket tertentu yang dapat dikirim ke setiap host dan semua lalu lintas lainnya diblokir. Ini juga akan memeriksa alamat MAC peminta untuk menentukan apakah perangkat yang digunakan dapat membuat koneksi diotorisasi untuk mengakses data atau tidak. Hybrid firewalls Ini adalah jenis firewall yang menggabungkan fitur dari empat jenis firewall lainnya. Ini adalah elemen dari penyaringan paket dan layanan proxy, atau penyaringan paket dan gerbang sirkuit. 2. Era Pengembangan: Firewall dapat dikategorikan berdasarkan jenis generasi. Ini adalah- Generasi Pertama: Generasi firewall pertama dilengkapi dengan firewall penyaringan paket statis. Filter paket statis adalah bentuk perlindungan firewall yang paling sederhana dan murah. Pada generasi ini, setiap paket yang masuk dan keluar dari jaringan diperiksa dan akan dilewati atau ditolak tergantung pada aturan yang ditentukan pengguna. Keamanan ini bisa dibandingkan dengan penjaga klub yang hanya mengizinkan orang di atas usia 21 tahun masuk dan yang di bawah 21 tahun akan ditolak. Generasi Kedua: Generasi firewall kedua dilengkapi dengan server level aplikasi atau proxy. Generasi firewall ini meningkatkan tingkat keamanan antara jaringan yang dipercayai dan tidak dipercayai. Firewall level aplikasi menggunakan perangkat lunak untuk menangkap koneksi untuk setiap IP dan melakukan pemeriksaan keamanan. Ini melibatkan layanan proxy yang bertindak sebagai antarmuka antara pengguna di jaringan internal yang dipercayai dan Internet. Setiap komputer berkomunikasi satu sama lain dengan melewati lalu lintas jaringan melalui program proxy. Program ini mengevaluasi data yang dikirim dari klien dan memutuskan mana yang akan dilanjutkan dan mana yang akan ditolak. Generasi Ketiga: Generasi firewall ketiga dilengkapi dengan firewall inspeksi berdasarkan status. Generasi firewall ini telah berkembang untuk memenuhi persyaratan utama yang diminta oleh jaringan korporat untuk meningkatkan keamanan sambil meminimalkan dampak pada kinerja jaringan. Kebutuhan firewall generasi ketiga akan lebih menuntut karena dukungan yang semakin berkembang untuk VPN, komunikasi nirkabel, dan perlindungan virus yang ditingkatkan. Hal paling menantang dari evolusi ini adalah menjaga kesederhanaan firewall (dan karenanya keberlanjutan dan keamanannya) tanpa mengorbankan fleksibilitas. Generasi Keempat: Generasi firewall keempat dilengkapi dengan firewall penyaringan paket dinamis. Firewall ini memonitor status koneksi aktif, dan berdasarkan informasi ini, menentukan paket jaringan mana yang diizinkan melewati firewall. Dengan mencatat informasi sesi seperti alamat IP dan nomor port, filter paket dinamis dapat menerapkan posisi keamanan yang jauh lebih ketat daripada filter paket statis. Generasi Kelima: Generasi firewall kelima dilengkapi dengan firewall kernel proxy. Firewall ini bekerja di bawah kernel Windows NT Executive. Proxy firewall ini beroperasi di lapisan aplikasi. Di sini, ketika sebuah paket tiba, sebuah tabel tumpukan virtual baru dibuat yang hanya berisi proxy protokol yang diperlukan untuk memeriksa paket tertentu. Paket-paket ini diselidiki di setiap lapisan tumpukan, yang melibatkan evaluasi header data link bersama dengan header jaringan, header transport, informasi lapisan sesi, dan data lapisan aplikasi. Firewall ini bekerja lebih cepat dari semua firewall level aplikasi karena semua evaluasi dilakukan di lapisan kernel dan bukan di lapisan lebih tinggi dari sistem operasi. 3. Struktur Penyusunan yang Dimaksud: Firewall juga dapat dikategorikan berdasarkan struktur. Ini adalah- Alat Komersial Ini berjalan pada sistem operasi kustom. Sistem firewall ini terdiri dari perangkat lunak aplikasi firewall yang berjalan pada komputer umum. Ini dirancang untuk memberikan perlindungan bagi jaringan bisnis skala menengah hingga besar. Sebagian besar firewall komersial cukup kompleks dan sering memerlukan pelatihan khusus dan sertifikasi untuk memanfaatkan fitur-fiturnya
Pertimbangan Keamanan Data
Keamanan data adalah perlindungan program dan data dalam komputer dan sistem komunikasi terhadap akses, modifikasi, penghancuran, pengungkapan, atau transfer yang tidak sah, baik itu disengaja maupun tidak, dengan membangun pengaturan fisik dan pemeriksaan perangkat lunak. Ini mengacu pada hak individu atau organisasi untuk menolak atau membatasi pengumpulan dan penggunaan informasi tentang akses yang tidak sah. Keamanan data memerlukan manajer sistem untuk mengurangi akses yang tidak sah ke sistem dengan membangun pengaturan fisik dan pemeriksaan perangkat lunak. Keamanan data menggunakan berbagai metode untuk memastikan bahwa data benar, asli, disimpan secara rahasia, dan aman. Ini termasuk: Pertimbangan keamanan data melibatkan perlindungan data terhadap akses, modifikasi, penghancuran, kerugian, pengungkapan, atau transfer yang tidak sah, baik itu disengaja maupun tidak. Beberapa pertimbangan keamanan data penting dijelaskan di bawah ini: Cadangan Data Cadangan data merujuk pada menyimpan salinan tambahan data kita di lokasi fisik atau cloud yang terpisah dari file data yang disimpan. Penting bagi kita untuk menyimpan, menyimpan, dan mencadangkan data kita secara teratur. Mengamankan data akan membantu kita mencegah dari: Menjaga cadangan yang andal dan teratur dari data kita melindungi terhadap risiko kerusakan atau kehilangan akibat kegagalan listrik, kegagalan perangkat keras, kesalahan perangkat lunak atau media, virus atau peretasan, atau bahkan kesalahan manusia. Menggunakan Aturan Cadangan 3-2-1 sangat populer. Aturan ini mencakup: Beberapa opsi cadangan penting adalah sebagai berikut: Beberapa pertimbangan teratas untuk mengimplementasikan cadangan dan pemulihan yang aman adalah: Penyimpanan Arsip Arsip data adalah proses mempertahankan atau menyimpan data di tempat yang aman untuk penyimpanan jangka panjang. Data mungkin disimpan di lokasi yang aman sehingga dapat digunakan kapan pun diperlukan. Data arsip masih penting bagi organisasi dan mungkin diperlukan untuk referensi di masa depan. Selain itu, arsip data diindeks dan memiliki kemampuan pencarian sehingga file dan bagian dari file dapat dengan mudah ditemukan dan dipulihkan. Penyimpanan arsip data berfungsi sebagai cara untuk mengurangi konsumsi penyimpanan utama data dan biaya yang terkait. Penyimpanan data arsip berbeda dari cadangan data dalam artian bahwa cadangan data membuat salinan data dan digunakan sebagai mekanisme pemulihan data untuk memulihkan data dalam kejadian ketika data tersebut rusak atau hancur. Di sisi lain, arsip data melindungi informasi lama yang tidak diperlukan dalam operasi sehari-hari tetapi mungkin perlu diakses sesekali. Arsip data dapat memiliki banyak bentuk yang berbeda. Ini dapat disimpan sebagai Penyimpanan Online, offline, atau cloud- Daftar pertimbangan berikut akan membantu kita meningkatkan kegunaan jangka panjang arsip kita: Media penyimpanan Hal pertama adalah media penyimpanan apa yang kita gunakan untuk arsip. Data arsip akan disimpan untuk jangka waktu yang lama, jadi kita harus memilih jenis media yang akan hilang sejauh kebijakan retensi kita menentukan. Perangkat penyimpanan Pertimbangan ini memperhitungkan tentang perangkat penyimpanan yang kita gunakan untuk arsip kita yang akan dapat diakses dalam beberapa tahun. Tidak ada cara untuk memprediksi jenis perangkat penyimpanan mana yang akan paling baik bertahan. Jadi, penting untuk mencoba memilih perangkat yang memiliki peluang terbaik untuk didukung dalam jangka panjang. Mengunjungi kembali arsip lama Karena kita tahu kebijakan arsip kita dan mekanisme penyimpanan yang kita gunakan untuk mengarsipkan data akan berubah dari waktu ke waktu. Jadi kita harus meninjau data arsip kita setidaknya sekali setahun untuk melihat apakah ada yang perlu dimigrasikan ke media penyimpanan yang berbeda. Misalnya, sekitar sepuluh tahun yang lalu, kami menggunakan drive Zip untuk arsip kemudian kami telah mentransfer semua arsip kami ke CD. Tetapi pada saat ini, kami menyimpan sebagian besar arsip kami di DVD. Karena DVD modern juga dapat membaca CD, jadi kami tidak perlu memindahkan arsip lama kami dari CD ke DVD. Ketergunaan data Dalam pertimbangan ini, kami melihat satu masalah utama di dunia nyata adalah data arsip yang dalam format yang sudah ketinggalan zaman. Misalnya, beberapa tahun yang lalu, file dokumen yang telah diarsipkan pada awal tahun 1990-an dibuat oleh aplikasi yang dikenal sebagai PFS Write. Format file PFS Write didukung pada akhir 80-an dan awal 90-an, tetapi saat ini, tidak ada aplikasi yang dapat membaca file itu. Untuk menghindari situasi ini, mungkin berguna untuk mengarsipkan tidak hanya data tetapi juga salinan media instalasi untuk aplikasi yang membuat data. Arsip selektif Dalam pertimbangan ini, kita harus yakin tentang apa yang harus diarsipkan. Itu berarti kita akan mengarsipkan hanya bagian data tertentu karena tidak semua data sama pentingnya. Pertimbangan ruang Jika arsip kita menjadi besar, kita harus merencanakan retensi jangka panjang dari semua data kita. Jika kita mengarsipkan data kita ke media yang dapat dilepas, perencanaan kapasitas mungkin sederhana yang memastikan bahwa ada ruang kosong di brankas untuk menahan semua pita itu, dan itu memastikan bahwa ada ruang di anggaran IT kita untuk terus membeli pita. Penyimpanan online vs offline Dalam pertimbangan ini, kita harus memutuskan apakah akan menyimpan arsip kita secara online (pada server arsip yang didedikasikan) atau offline (pada media yang dapat dilepas). Kedua metode arsip mengandung kelebihan dan kekurangan. Menyimpan data online menjaga data tetap mudah diakses. Tetapi menyimpan data online mungkin rentan terhadap pencurian, perusakan, korupsi, dll. Penyimpanan offline memungkinkan kita untuk menyimpan jumlah data yang tidak terbatas, tetapi tidak mudah diakses. Pembuangan Data Penghancuran data atau pembuangan data adalah metode menghancurkan data yang disimpan di pita, hard disk, dan media elektronik lainnya sehingga data tersebut tidak dapat dibaca, tidak dapat digunakan, dan tidak dapat diakses untuk tujuan yang tidak sah. Ini juga memastikan bahwa organisasi menyimpan catatan data selama yang diperlukan. Ketika data tidak lagi diperlukan, sebaiknya dihancurkan atau dibuang dengan cara lain, misalnya, dengan mentransfernya ke layanan arsip. Proses yang dikelola dari pembuangan data memiliki beberapa manfaat penting- Pembuangan data biasanya dilakukan sebagai bagian dari proses manajemen catatan normal. Ada dua keadaan penting di mana penghancuran data perlu ditangani sebagai tambahan dari proses ini- Daftar pertimbangan berikut akan membantu kita untuk pembuangan data yang aman: Hapus akses Dalam pertimbangan ini, kita harus memastikan bahwa akun yang menghapus akses tidak memiliki hak untuk mengakses data yang dibuang lagi. Menghancurkan Data Dalam pertimbangan ini, tidak perlu menghapus data dari media penyimpanan akan aman. Bahkan di era sekarang ini, mereformat atau repartisi drive untuk “menghapus” data yang disimpan tidaklah cukup. Banyak alat yang tersedia hari ini yang dapat membantu kita menghapus file dengan lebih
Prinsip Cyber Security
Industri internet UK dan Pemerintah mengakui perlunya mengembangkan Serangkaian Prinsip Panduan untuk meningkatkan keamanan online pelanggan ISP dan membatasi peningkatan serangan siber. Keamanan siber untuk tujuan ini mencakup perlindungan informasi penting, proses, dan sistem, yang terhubung atau disimpan secara online, dengan pandangan yang luas meliputi domain orang, teknis, dan fisik. Prinsip-prinsip ini mengakui bahwa ISP (dan penyedia layanan lainnya), pengguna internet, dan Pemerintah UK semua memiliki peran dalam meminimalkan dan mengurangi ancaman siber yang melekat dalam menggunakan internet. Prinsip Panduan ini telah dikembangkan untuk menanggapi tantangan ini dengan menyediakan pendekatan yang konsisten untuk membantu, memberi informasi, mengedukasi, dan melindungi pelanggan ISP (Penyedia Layanan Internet) dari kejahatan online. Prinsip-prinsip Panduan ini bersifat aspirasional, dikembangkan dan disampaikan sebagai kemitraan antara Pemerintah dan ISP. Mereka mengakui bahwa ISP memiliki kumpulan pelanggan yang berbeda, menawarkan tingkat dukungan dan layanan yang berbeda untuk melindungi pelanggan tersebut dari ancaman siber. Beberapa prinsip cyber security penting dijelaskan di bawah ini- Economy of mechanism Prinsip ini menyatakan bahwa mekanisme keamanan harus se sederhana dan sekecil mungkin. Prinsip Ekonomi mekanisme menyederhanakan desain dan implementasi mekanisme keamanan. Jika desain dan implementasi sederhana dan kecil, maka kemungkinan kesalahan lebih sedikit. Proses pemeriksaan dan pengujian menjadi kurang rumit sehingga lebih sedikit komponen yang perlu diuji. Antarmuka antara modul keamanan merupakan area yang dicurigai yang seharusnya se sederhana mungkin. Karena modul antarmuka sering membuat asumsi tersirat tentang parameter masukan atau keluaran atau keadaan sistem saat ini. Jika salah satu dari asumsi tersebut salah, tindakan modul dapat menghasilkan hasil yang tidak terduga. Kerangka keamanan sederhana memudahkan pemahaman oleh pengembang dan pengguna serta memungkinkan pengembangan dan verifikasi metode penegakan yang efisien. Fail-safe defaults Default Fail-Safe menyatakan bahwa konfigurasi default suatu sistem harus memiliki skema perlindungan yang konservatif. Prinsip ini juga membatasi bagaimana hak istimewa diinisialisasi saat suatu subjek atau objek dibuat. Setiap kali akses, hak istimewa/hak, atau atribut keamanan tertentu tidak diberikan secara eksplisit, akses ke objek tersebut tidak boleh diberikan. Contoh: Jika kita menambahkan pengguna baru ke sistem operasi, grup default pengguna harus memiliki hak akses yang lebih sedikit ke file dan layanan. Least Privilege Prinsip ini menyatakan bahwa seorang pengguna hanya boleh memiliki hak istimewa yang diperlukan untuk menyelesaikan tugasnya. Fungsinya utama adalah mengontrol penugasan hak yang diberikan kepada pengguna, bukan identitas pengguna. Ini berarti bahwa jika bos menuntut akses root ke sistem UNIX yang Anda kelola, ia tidak boleh diberikan hak tersebut kecuali ia memiliki tugas yang membutuhkan tingkat akses tersebut. Jika memungkinkan, hak istimewa yang ditingkatkan dari identitas pengguna harus dihapus segera setelah hak tersebut tidak lagi diperlukan. Open Design Prinsip ini menyatakan bahwa keamanan suatu mekanisme tidak boleh bergantung pada kerahasiaan desain atau implementasinya. Ini menyarankan bahwa kompleksitas tidak menambah keamanan. Prinsip ini bertentangan dengan pendekatan yang dikenal sebagai “keamanan melalui ketidaktahuan.” Prinsip ini tidak hanya berlaku untuk informasi seperti kata sandi atau sistem kriptografi, tetapi juga untuk operasi keamanan komputer lainnya. Contoh: Proteksi pemutar DVD & Sistem Pembingkaian Konten (CSS). CSS adalah algoritma kriptografi yang melindungi piringan film DVD dari penyalinan yang tidak sah. Complete mediation Prinsip mediasi lengkap membatasi penyimpanan informasi, yang sering mengarah pada implementasi mekanisme yang lebih sederhana. Ide dari prinsip ini adalah bahwa akses ke setiap objek harus diperiksa untuk memastikan bahwa mereka diizinkan sesuai dengan skema perlindungan. Sebagai konsekuensinya, perlu waspada terhadap teknik peningkatan kinerja yang menyimpan detail dari pemeriksaan otorisasi sebelumnya, karena izin dapat berubah dari waktu ke waktu. Setiap kali seseorang mencoba mengakses objek, sistem harus mengautentikasi hak akses yang terkait dengan subjek tersebut. Hak akses subjek diverifikasi sekali saat akses awal, dan untuk akses berikutnya, sistem menganggap bahwa hak akses yang sama harus diterima untuk subjek dan objek tersebut. Sistem operasi harus memediasi setiap dan semua akses ke objek. Contoh: Situs web perbankan online harus meminta pengguna untuk masuk kembali setelah jangka waktu tertentu seperti misalnya, dua puluh menit telah berlalu. Separation of Privilege Prinsip ini menyatakan bahwa sebuah sistem harus memberikan izin akses berdasarkan lebih dari satu kondisi yang terpenuhi. Prinsip ini juga dapat membatasi karena membatasi akses ke entitas sistem. Oleh karena itu, sebelum hak istimewa diberikan, lebih dari dua verifikasi harus dilakukan. Contoh: Untuk su (perubahan) menjadi root, dua kondisi harus terpenuhi- Contoh: Jika ada kebutuhan untuk mengakses file atau aplikasi oleh lebih dari satu pengguna, maka pengguna ini harus menggunakan saluran terpisah untuk mengakses sumber daya ini, yang membantu mencegah dari konsekuensi tak terduga yang dapat menyebabkan masalah keamanan. Penerimaan Psikologis Prinsip ini menyatakan bahwa mekanisme keamanan tidak boleh membuat sumber daya lebih rumit untuk diakses jika mekanisme keamanan tidak ada. Prinsip penerimaan psikologis mengakui elemen manusia dalam keamanan komputer. Jika perangkat lunak atau sistem komputer terkait keamanan terlalu rumit untuk dikonfigurasi, dipelihara, atau dioperasikan, pengguna tidak akan menggunakan mekanisme keamanan yang diperlukan. Misalnya, jika kata sandi tidak cocok selama proses penggantian kata sandi, program penggantian kata sandi harus menyatakan mengapa ditolak daripada memberikan pesan kesalahan yang samar. Pada saat yang sama, aplikasi tidak boleh memberikan informasi yang tidak perlu yang dapat menyebabkan kompromi keamanan. Contoh: Saat kita memasukkan kata sandi yang salah, sistem harus hanya memberi tahu kita bahwa nama pengguna atau kata sandi salah. Tidak boleh memberitahu kita bahwa hanya kata sandi yang salah karena ini memberikan informasi kepada penyerang. Work Factor Prinsip ini menyatakan bahwa biaya mengelakkan mekanisme keamanan harus dibandingkan dengan sumber daya dari penyerang potensial saat merancang skema keamanan. Dalam beberapa kasus, biaya mengelakkan (“dikenal sebagai faktor kerja”) dapat dengan mudah dihitung. Dengan kata lain, faktor kerja adalah ukuran kriptografi umum yang digunakan untuk menentukan kekuatan suatu sandi tertentu. Ini tidak langsung terhubung dengan keamanan siber, tetapi konsep secara keseluruhan berlaku. Contoh: Misalkan jumlah percobaan yang diperlukan untuk mencoba semua sandi empat karakter adalah 244 = 331776. Jika penyerang potensial harus mencoba setiap kata sandi percobaan di terminal, maka mungkin sebuah kata sandi empat karakter akan memadai. Di sisi lain, jika penyerang potensial dapat menggunakan komputer astronomi yang mampu mencoba satu juta kata sandi per detik, maka kata sandi empat huruf akan menjadi hambatan kecil bagi seorang intruder potensial. Compromise Recording Prinsip Perekaman Kompromi menyatakan bahwa terkadang lebih diinginkan untuk mencatat
