STANDAR PENGGUNAAN PASSWORD

PADA
SISTEM PEMERINTAHAN BERBASIS ELEKTRONIK (SPBE)

Nomor Dokumen : ………..

Revisi : ………..
Tanggal Terbit : ………..

BADAN SIBER DAN SANDI NEGARA

2019
 -1-

DAFTAR ISI

DAFTAR ISI ............................................................................................................................................. 1

A. TUJUAN .......................................................................................................................................... 2
B. RUANG LINGKUP ........................................................................................................................... 2
C. ISTILAH DAN DEFINISI .................................................................................................................. 2
D. REFERENSI .................................................................................................................................... 2
E. STANDAR ....................................................................................................................................... 2
F. PENUTUP ....................................................................................................................................... 3

Kualifikasi : TERBATAS Badan Siber dan Sandi Negara

 -2-

A. TUJUAN
Standar ini bertujuan untuk mengatur password agar tidak disalah gunakan dan tidak diketahui
oleh pihak yang tidak berhak.

B. RUANG LINGKUP
Standar ini digunakan untuk penggunaan pada seluruh software (Perangkat lunak) yang
digunakan di lingkungan Organisasi.

C. ISTILAH DAN DEFINISI

1. Organisasi : Instansi pusat atau daerah.

D. REFERENSI

1. ISO/IEC 27001:2013 Information technology – Security techniques – Information security

management system – Requirements.
2. ISO 27001:2013 Annex A.9.2.3 – Management of privileged access rights
3. ISO 27001:2013 Annex A.9.3.1 – Use of secret authentication information
4. Kebijakan Keamanan Informasi SPBE.

E. STANDAR
1. Pengamanan Password
a. Penyampaian User Id dan Password dari administrator ke user (pengguna) tidak
dilakukan secara bersama-sama, harus terpisah antara pengiriman User Id dan
password
b. Laporkan kepada unit IT setiap ada kecurigaan yang terjadi jika password tidak
dapat digunakan saat login pada akun.
c. Pembuatan password tidak boleh menggunakan singkatan yang umum sebagai
bagian dari password atau bagian password.
d. Pembuatan password tidak boleh menggunakan nama orang, nama panggilan,
nama anggota keluarga
e. Jangan menggunakan nama tempat atau alamat sebagai password atau bagian
password.
f. Jangan menggunakan nama login (User ID) sebagai password atau bagian
password.
g. Jangan menggunakan nomor yang mudah diingat seperti nomor telepon, tanggal
lahir, nomor rumah atau nomor/angka lainnya sebagai password atau bagian
password.
h. Jangan menggunakan nama binatang kesayangan sebagai password atau bagian
password.
i. Jangan menggunakan karakter sama berurutan.
j. Jangan menggunakan karakter blank pada awal dan akhir password.
k. Jangan membiarkan orang melihat anda mengetik password.

Kualifikasi : TERBATAS Badan Siber dan Sandi Negara

 -3-

2. Persyaratan Password
a. Minimal panjang 8 karakter (direkomendasikan)
b. Minimum kompleksitas password harus menggunakan tiga dari empat jenis karakter
berikut:
1) Huruf Kecil
2) Huruf Besar
3) Bilangan
4) Karakter khusus seperti @#$%^&*()[]{}
c. Penggunaan Password maksimum – 90 hari
d. Penggunaan Password minimal – 30 hari
e. Jika diberikan Password sementara oleh administrator untuk pengguna account baru
harus langsung diubah pada kesempatan pertama saat pengguna log-in ke sistem,
dan diberikan waktu selama 1 bulan untuk proses pengubahan password sementara
menjadi password permanen.
f. Proses penggantian (reset) password pengguna oleh system administrator dilakukan
setelah melalui proses identifikasi dan verifikasi
g. Password termasuk password sementara harus unik untuk setiap pengguna dan
tidak mudah ditebak;
h. Password yang sama dapat digunakan kembali setelah dilakukan perubahan
password berbeda sebanyak 4 kali;
i. Menonaktifkan akun secara otomatis apabila terjadi kesalahan sebanyak 3 kali
berturut-turut dalam mengetikkan password. Penguncian akses akan dibuka kembali
setelah melaporkan kepada pihak administrator dari sistem tersebut melalui email
dan pembukaan akses akan diberikan setelah administrator melakukan verifikasi
atas hak akses
j. Mengaktifkan mekanisme filter password untuk mencegah pengguna memilih
password yang mudah ditebak orang lain
k. Password tidak boleh disimpan di sistem komputer tanpa perlindungan enkripsi
l. Mengganti default vendor password di lingkungan operasional.

F. PENUTUP

1. Hal-hal lain yang belum tertuang dalam ketentuan ini, karena adanya perubahan Standar
eksternal ataupun internal maka akan diadakan penyesuaian lebih lanjut dan merupakan
bagian yang tidak terpisahkan dengan ketentuan ini.
2. Hal-hal lain yang bersifat teknis dituangkan dalam prosedur yang merupakan dokumen
terpisah yang menjadi satu kesatuan dengan standar ini.

Kualifikasi : TERBATAS Badan Siber dan Sandi Negara