Reset Password Secara Berkala Tidak Seaman yang Kamu Kira, Ini Buktinya!

Liputan6.com, Jakarta - Keamanan siber bukan lagi sekadar adu canggih perangkat lunak, melainkan pertempuran melawan manipulasi psikologis. Riset terbaru dari Forrester mengungkapkan bahwa setiap permintaan reset password (pengaturan ulang kata sandi) menelan biaya sekitar USD 70 (sekitar Rp 1,2 juta).

Angka ini bukan hanya beban finansial bagi perusahaan, tetapi juga menjadi pintu masuk favorit bagi para hacker (peretas).

Meskipun banyak organisasi telah menerapkan alat Self-Service Password Reset (SSPR) untuk mengurangi beban kerja tim IT, nyatanya intervensi manual dari departemen helpdesk masih sangat tinggi.

Di sinilah titik lemahnya, di mana penyerang tahu jika mereka berhasil meyakinkan petugas administrasi untuk menyetel ulang kata sandi, mereka bisa melewati otentikasi multifaktor (multifactor authentication/MFA) dan menguasai akun target dengan mudah.

Serangan siber yang menimpa raksasa ritel Inggris, Marks & Spencer (M&S) pada April 2025, menjadi pengingat pahit.

Diwartakan BleepingComputer, Rabu (29/4/2026), serangan ini melumpuhkan operasi nasional dan menghentikan penjualan daring selama lima hari, dengan estimasi kerugian mencapai £3,8 juta (sekitar Rp 88 miliar) per hari.

Kelompok peretas Scattered Spider diduga menjadi dalang di balik insiden ini. Modusnya tergolong klasik namun mematikan, di mana mereka menyamar sebagai karyawan M&S dan menghubungi layanan service desk pihak ketiga.

Melalui teknik social engineering (rekayasa sosial), mereka berhasil meminta penyetelan ulang kata sandi. Tanpa perlu mengeksploitasi kerentanan teknis yang rumit, peretas mendapatkan kredensial sah untuk masuk ke sistem.

Begitu berada di dalam, penyerang mengeksploitasi Active Directory untuk mencuri berkas NTDS.dit—basis data yang menyimpan seluruh hash (keamanan) kata sandi pengguna domain.

Dengan melakukan peretasan hash secara luring, mereka mendapatkan akses lebih luas, bergerak secara lateral di dalam jaringan selama berminggu-minggu, hingga akhirnya meluncurkan ransomware yang melumpuhkan sistem pembayaran dan logistik.

Tantangan terbesar dalam serangan rekayasa sosial adalah aktivitas tersebut seringkali terlihat normal. Bagi petugas helpdesk, itu hanyalah permintaan rutin dari rekan kerja yang lupa kata sandi.

Pakar keamanan menekankan bahwa verifikasi identitas tidak boleh lagi bersifat opsional atau berdasarkan intuisi petugas. Solusi seperti Secure Service Desk kini mulai diadopsi untuk memitigasi risiko ini.

Alih-alih mengandalkan pertanyaan keamanan yang mudah ditebak, sistem ini mewajibkan pengiriman kode sekali pakai (OTP) ke perangkat terdaftar atau menggunakan penyedia identitas terpercaya sebelum tindakan apa pun dilakukan.

Untuk meminimalisir risiko, organisasi disarankan mengikuti praktik terbaik berikut:

• Optimalkan Layanan Mandiri (SSPR): Dorong karyawan untuk menggunakan alat reset mandiri guna mengurangi ketergantungan pada intervensi manusia yang rentan dimanipulasi.
• Kredensial Sementara yang Aman: Hindari memberikan kata sandi baru melalui panggilan suara atau email yang tidak terenkripsi. Gunakan saluran terenkripsi dan pastikan kata sandi tersebut hanya berlaku dalam durasi singkat.
• Audit Aktivitas Secara Berkala: Pantau pola penyetelan ulang kata sandi. Frekuensi yang tidak wajar pada akun tertentu bisa menjadi indikasi awal adanya upaya pembobolan.
• Pelatihan Intensif Tim Helpdesk: Petugas harus dibekali panduan ketat dan alat verifikasi yang seragam. Identitas pengguna harus dibuktikan secara teknis, bukan sekadar dipercaya melalui percakapan.

Dalam dunia keamanan siber modern, teknologi secanggih apa pun akan sia-sia jika "benteng" terakhir—yakni manusia yang memegang kendali akses—dapat dikelabui dengan mudah.

Kasus M&S membuktikan bahwa satu panggilan telepon yang lolos verifikasi bisa berujung pada keruntuhan operasional berskala besar.