Akun Tidak Digunakan Tapi Masih Aktif? Ini Risiko yang Sering Diabaikan

Akun Tidak Digunakan Tapi Masih Aktif? Ini Risiko yang Sering Diabaikan

Dalam lingkungan perusahaan modern, hampir setiap aktivitas kerja melibatkan akun digital. Karyawan menggunakan akun untuk mengakses email, aplikasi internal, cloud storage, VPN, server, dashboard, hingga berbagai layanan berbasis cloud. Semakin banyak teknologi yang digunakan perusahaan, semakin banyak pula akun dan hak akses yang harus dikelola oleh tim IT.

Masalahnya, tidak semua akun yang dibuat akan terus digunakan selamanya. Ada akun untuk proyek sementara, akun pengujian, akun milik pengguna yang berpindah tanggung jawab, hingga akun lama yang terlupakan setelah sebuah aplikasi tidak lagi digunakan secara aktif. Meskipun tidak pernah digunakan untuk login selama berbulan-bulan, akun tersebut bisa saja masih berada dalam kondisi aktif dan memiliki akses ke sistem perusahaan.

Kondisi seperti ini sering dianggap tidak berbahaya karena akun tidak menunjukkan aktivitas apa pun. Padahal, selama akun masih aktif dan memiliki hak akses, akun tersebut tetap dapat digunakan apabila credential berhasil diperoleh oleh pihak yang tidak berwenang. Inilah alasan mengapa akun lama atau akun yang sudah tidak digunakan perlu mendapatkan perhatian dalam strategi cyber security perusahaan.

Akun yang Tidak Digunakan Belum Tentu Tidak Berbahaya

Banyak perusahaan memiliki ratusan bahkan ribuan akun yang tersebar pada berbagai sistem. Sebagian akun digunakan setiap hari, sementara akun lainnya mungkin hanya digunakan beberapa kali dalam satu bulan. Ada juga akun yang sudah tidak pernah digunakan tetapi tetap aktif karena administrator belum melakukan penonaktifan.

Dari sisi operasional, akun tersebut mungkin tidak menimbulkan masalah. Sistem tetap berjalan normal dan tidak ada pengguna yang mengeluhkan gangguan. Namun dari sisi keamanan, akun aktif tetap menjadi bagian dari permukaan serangan karena sistem masih menerima proses autentikasi menggunakan identitas tersebut.

Jika username dan password akun pernah bocor, pelaku dapat mencoba menggunakan credential tersebut untuk login. Masalahnya, karena pemilik akun sudah jarang atau bahkan tidak pernah menggunakan akun tersebut, aktivitas mencurigakan mungkin tidak segera diketahui.

Apa Itu Dormant Account?

Akun yang tidak digunakan dalam periode tertentu tetapi masih berada dalam kondisi aktif sering disebut sebagai dormant account. Perusahaan dapat menentukan definisi dormant account berdasarkan kebijakan masing-masing, misalnya akun yang tidak pernah login selama 30, 60, atau 90 hari.

Dormant account dapat muncul karena berbagai alasan. Sebuah akun mungkin dibuat untuk kebutuhan proyek yang sudah selesai, pengguna berpindah divisi, aplikasi sudah jarang digunakan, atau administrator lupa menonaktifkan akun setelah kebutuhan akses berakhir. Dalam lingkungan IT yang besar, kondisi seperti ini cukup mudah terjadi apabila perusahaan tidak memiliki proses pengelolaan akun yang terstruktur.

Masalah utama dormant account adalah keberadaannya sering tidak mendapatkan perhatian. Karena tidak ada aktivitas normal dari pengguna, akun dapat terlupakan selama berbulan-bulan. Padahal hak akses yang pernah diberikan kepada akun tersebut mungkin masih tetap berlaku.

Orphaned Account Juga Menjadi Risiko

Selain dormant account, terdapat istilah orphaned account. Istilah ini biasanya digunakan untuk menggambarkan akun yang masih aktif tetapi sudah tidak memiliki pengguna atau pemilik yang jelas. Administrator mungkin menemukan akun pada sebuah sistem, tetapi tidak mengetahui siapa yang seharusnya menggunakan akun tersebut.

Kondisi ini dapat terjadi ketika dokumentasi akun tidak dikelola dengan baik. Sebuah tim membuat akun untuk kebutuhan tertentu, kemudian anggota tim berubah dan informasi mengenai akun tersebut tidak diteruskan. Setelah beberapa tahun, akun masih berada pada sistem tetapi tidak ada yang benar-benar mengetahui tujuan penggunaannya.

Orphaned account menjadi tantangan karena administrator mungkin ragu untuk menonaktifkannya. Ada kekhawatiran bahwa akun tersebut masih digunakan oleh aplikasi atau proses tertentu. Akibatnya, akun tetap dibiarkan aktif meskipun tidak ada pemilik yang bertanggung jawab terhadap penggunaannya.

Akun Lama Bisa Memiliki Hak Akses yang Sangat Luas

Salah satu masalah yang sering tidak disadari adalah akun lama dapat memiliki hak akses lebih besar dibanding akun baru. Hal ini terjadi karena hak akses pengguna dapat bertambah seiring dengan perubahan tugas dan tanggung jawab.

Misalnya, seorang pengguna awalnya membutuhkan akses ke satu aplikasi. Beberapa bulan kemudian, pengguna tersebut mendapatkan akses ke cloud storage, dashboard, dan server tertentu untuk mendukung proyek baru. Ketika proyek selesai, akses tambahan tersebut tidak selalu dicabut karena administrator mungkin tidak menerima informasi bahwa kebutuhan pengguna telah berubah.

Setelah beberapa tahun, sebuah akun dapat memiliki akses ke berbagai sistem yang sebenarnya sudah tidak lagi dibutuhkan. Kondisi ini dikenal sebagai privilege creep, yaitu penumpukan hak akses secara bertahap tanpa evaluasi yang memadai.

Jika akun seperti ini menjadi dormant account, risiko dapat meningkat. Akun jarang digunakan tetapi masih memiliki akses ke banyak sistem perusahaan.

Kenapa Pelaku Tertarik dengan Akun yang Jarang Digunakan?

Bagi pelaku serangan, akun yang jarang digunakan dapat memberikan keuntungan tertentu. Pemilik akun aktif biasanya mengetahui pola penggunaan akunnya dan mungkin segera menyadari ketika menerima notifikasi login yang tidak dikenal. Sebaliknya, akun yang tidak pernah digunakan mungkin tidak memiliki pengguna yang aktif memantau aktivitas tersebut.

Jika pelaku berhasil memperoleh credential dormant account, aktivitas login dapat lebih lama tidak diketahui. Terlebih lagi jika perusahaan belum memiliki monitoring yang mampu mendeteksi perubahan pola penggunaan akun.

Bayangkan sebuah akun tidak pernah login selama enam bulan. Tiba-tiba akun tersebut digunakan pada tengah malam untuk mengakses beberapa server dan mengunduh banyak file. Aktivitas seperti ini seharusnya menjadi indikator yang perlu diperiksa karena terdapat perubahan signifikan dari pola penggunaan sebelumnya.

Password Lama Menambah Risiko Keamanan

Dormant account sering kali menggunakan password yang sudah lama tidak diperbarui. Akun tersebut mungkin dibuat beberapa tahun sebelumnya dan tidak pernah mendapatkan perhatian karena sudah jarang digunakan.

Masalahnya, password lama memiliki kemungkinan pernah terpapar melalui berbagai insiden. Pengguna mungkin pernah menggunakan password serupa pada layanan lain atau credential telah tersimpan pada perangkat yang sudah tidak digunakan. Jika informasi tersebut berhasil diperoleh pelaku, akun lama dapat menjadi salah satu target untuk mencoba mendapatkan akses.

Risiko menjadi lebih besar ketika perusahaan belum menerapkan Multi-Factor Authentication. Dalam kondisi tersebut, username dan password yang benar dapat cukup untuk melakukan proses login.

Karena itu, perusahaan perlu mengevaluasi bukan hanya kekuatan password, tetapi juga apakah sebuah akun masih benar-benar dibutuhkan.

Akun VPN yang Terlupakan Bisa Menjadi Jalur Akses

Virtual Private Network atau VPN banyak digunakan untuk memberikan akses jarak jauh terhadap jaringan perusahaan. Administrator, karyawan remote, atau vendor tertentu dapat menggunakan VPN untuk terhubung ke sistem internal dari luar kantor.

Masalah dapat muncul ketika akun VPN dibuat untuk kebutuhan sementara tetapi tidak pernah dinonaktifkan setelah pekerjaan selesai. Sebagai contoh, seorang vendor mendapatkan akses selama proses implementasi sistem. Setelah proyek selesai, akun tersebut tidak lagi digunakan tetapi tetap berada dalam kondisi aktif.

Jika credential akun berhasil diperoleh pihak lain, akun tersebut dapat digunakan untuk mencoba masuk ke jaringan perusahaan. Karena itu, akun remote access perlu mendapatkan perhatian lebih tinggi dibanding akun yang hanya dapat digunakan dari lingkungan internal.

Perusahaan perlu mengetahui siapa yang memiliki akses VPN, kapan akses terakhir digunakan, dan apakah pengguna masih membutuhkan akses tersebut. Audit secara berkala dapat membantu menemukan akun remote yang sudah tidak relevan.

Akun Cloud Juga Perlu Diawasi

Perusahaan modern semakin banyak menggunakan layanan cloud untuk menjalankan berbagai aplikasi dan menyimpan data. Setiap platform dapat memiliki akun pengguna, service account, API key, dan berbagai jenis credential lainnya.

Dalam lingkungan cloud, akun yang terlupakan dapat memberikan risiko cukup besar apabila masih memiliki permission terhadap resource penting. Sebuah akun lama mungkin masih dapat mengakses storage, database, atau virtual machine meskipun pengguna sudah tidak pernah menggunakan layanan tersebut.

Masalah menjadi lebih kompleks ketika perusahaan menggunakan beberapa platform cloud sekaligus. Administrator perlu mengelola identitas pada berbagai sistem dan memastikan hak akses tetap sesuai dengan kebutuhan.

Karena itu, pengelolaan akun cloud membutuhkan inventaris dan proses access review yang terstruktur. Perusahaan perlu mengetahui akun apa saja yang tersedia dan resource apa yang dapat diakses oleh masing-masing identitas.

Service Account Tidak Boleh Dilupakan

Tidak semua akun digunakan oleh manusia. Banyak aplikasi menggunakan service account untuk berkomunikasi dengan sistem atau layanan lain secara otomatis. Akun tersebut dapat digunakan oleh aplikasi untuk mengakses database, mengambil data, menjalankan proses terjadwal, atau terhubung dengan API tertentu.

Karena service account tidak melakukan login seperti pengguna biasa, aktivitasnya sering kurang mendapatkan perhatian. Sebuah service account dapat berjalan selama bertahun-tahun menggunakan credential yang sama tanpa pernah dievaluasi.

Jika aplikasi sudah tidak digunakan tetapi service account tetap aktif, akun tersebut dapat menjadi risiko. Administrator mungkin takut menonaktifkannya karena tidak mengetahui apakah masih terdapat sistem yang bergantung pada akun tersebut.

Dokumentasi menjadi sangat penting dalam pengelolaan service account. Setiap akun sebaiknya memiliki informasi mengenai aplikasi pemilik, tujuan penggunaan, hak akses, dan pihak yang bertanggung jawab.

Shared Account Membuat Pengelolaan Semakin Sulit

Shared account adalah akun yang digunakan oleh beberapa orang secara bersama-sama. Praktik ini masih ditemukan pada berbagai aplikasi, terutama ketika perusahaan hanya memiliki satu akun administrator atau satu credential untuk sebuah tim.

Masalah muncul ketika tidak ada yang mengetahui siapa saja yang masih menyimpan credential tersebut. Password mungkin pernah dibagikan melalui grup chat, email, atau dokumen internal. Setelah anggota tim berubah, credential lama masih dapat diketahui oleh orang yang sudah tidak membutuhkan akses.

Shared account juga membuat proses monitoring menjadi lebih sulit. Ketika sebuah perubahan dilakukan menggunakan akun tersebut, log hanya menunjukkan nama akun yang sama. Administrator tidak dapat langsung mengetahui siapa pengguna sebenarnya yang melakukan aktivitas.

Jika aplikasi mendukung akun individual, perusahaan sebaiknya memberikan identitas berbeda kepada setiap pengguna. Pendekatan ini membantu meningkatkan akuntabilitas dan mempermudah proses pencabutan akses.

Tidak Semua Akun Harus Aktif Selamanya

Salah satu kesalahan dalam pengelolaan identitas adalah menganggap akun harus tetap aktif hingga ada seseorang yang secara manual meminta penonaktifan. Pendekatan seperti ini dapat menyebabkan jumlah dormant account terus bertambah seiring waktu.

Untuk akses sementara, perusahaan dapat menerapkan batas waktu penggunaan akun. Misalnya, akun vendor hanya aktif selama periode proyek atau akun pengujian otomatis dinonaktifkan setelah beberapa minggu apabila tidak digunakan.

Pendekatan ini membantu mengurangi jumlah akun yang terlupakan. Administrator tidak harus mengingat seluruh akun sementara karena sistem dapat menerapkan kebijakan berdasarkan periode akses yang telah ditentukan.

Namun, kebijakan tersebut tetap perlu disesuaikan dengan kebutuhan operasional agar akun penting tidak dinonaktifkan secara otomatis tanpa proses evaluasi.

Access Review Membantu Menemukan Akun yang Terlupakan

Salah satu cara untuk mengurangi risiko akun lama adalah melakukan access review secara berkala. Dalam proses ini, perusahaan mengevaluasi akun yang tersedia dan memastikan setiap pengguna masih membutuhkan akses yang dimiliki.

Administrator dapat mencari akun yang tidak pernah login dalam periode tertentu. Manager juga dapat mengevaluasi apakah anggota tim masih membutuhkan akses ke aplikasi tertentu. Sementara itu, tim keamanan dapat memberikan perhatian khusus terhadap akun dengan privileged access.

Access review membantu perusahaan menemukan dormant account, orphaned account, dan privilege creep sebelum menjadi masalah yang lebih besar. Proses ini juga membantu menjaga jumlah akun tetap sesuai dengan kebutuhan aktual organisasi.

Monitoring Login Dapat Memberikan Indikator Penting

Aktivitas login dapat memberikan banyak informasi mengenai kondisi sebuah akun. Perusahaan dapat melihat kapan pengguna melakukan autentikasi, perangkat yang digunakan, lokasi akses, dan sistem yang menjadi tujuan.

Sebuah akun yang biasanya digunakan setiap hari memiliki pola aktivitas yang berbeda dengan dormant account. Jika akun yang tidak pernah aktif selama beberapa bulan tiba-tiba melakukan login dan mengakses berbagai sistem, perubahan tersebut perlu mendapatkan perhatian.

Monitoring tidak berarti setiap aktivitas berbeda harus langsung dianggap sebagai serangan. Pengguna mungkin kembali menggunakan akun setelah lama tidak dibutuhkan. Namun, sistem dapat memberikan alert agar tim melakukan validasi terhadap aktivitas yang tidak sesuai dengan pola normal.

Semakin cepat perubahan pola diketahui, semakin cepat perusahaan dapat memastikan apakah aktivitas tersebut sah atau membutuhkan tindakan lebih lanjut.

Multi-Factor Authentication Tetap Penting

Menonaktifkan akun yang tidak digunakan merupakan langkah penting, tetapi akun aktif tetap membutuhkan perlindungan yang baik. Salah satu mekanisme yang banyak diterapkan adalah Multi-Factor Authentication atau MFA.

Dengan MFA, pengguna tidak hanya bergantung pada password untuk melakukan login. Sistem meminta faktor autentikasi tambahan seperti aplikasi authenticator, token, atau mekanisme verifikasi lainnya.

Jika password berhasil diketahui oleh pelaku, keberadaan MFA dapat memberikan lapisan perlindungan tambahan. Namun, MFA bukan alasan untuk membiarkan dormant account tetap aktif karena setiap akun yang tidak diperlukan tetap menambah permukaan serangan.

Pendekatan yang lebih baik adalah menghapus atau menonaktifkan akses yang tidak dibutuhkan sekaligus menerapkan perlindungan kuat terhadap akun yang masih digunakan.

Inventaris Akun Sama Pentingnya dengan Inventaris Perangkat

Tim IT biasanya memiliki daftar perangkat seperti laptop, server, router, switch, dan access point. Inventaris membantu perusahaan mengetahui aset yang dimiliki dan siapa yang bertanggung jawab terhadap perangkat tersebut.

Pendekatan yang sama perlu diterapkan terhadap akun dan identitas digital. Perusahaan perlu mengetahui akun apa saja yang tersedia, siapa pemiliknya, sistem yang dapat diakses, dan kapan akun terakhir digunakan.

Tanpa inventaris yang baik, administrator dapat menemukan akun lama tetapi tidak mengetahui tujuan penggunaannya. Kondisi tersebut membuat proses penonaktifan menjadi lebih sulit karena terdapat kekhawatiran mengganggu aplikasi atau operasional tertentu.

Pengelolaan identitas yang baik membutuhkan visibilitas. Perusahaan tidak dapat melindungi akun yang keberadaannya bahkan tidak diketahui oleh tim IT.

Prinsip Least Privilege Membantu Mengurangi Risiko

Selain menonaktifkan akun yang tidak digunakan, perusahaan perlu memastikan akun aktif hanya memiliki hak akses sesuai kebutuhan. Prinsip ini dikenal sebagai Least Privilege.

Seorang pengguna tidak perlu memiliki akses administrator jika pekerjaannya hanya membutuhkan fungsi tertentu. Service account juga tidak seharusnya memiliki permission terhadap seluruh resource apabila aplikasi hanya menggunakan satu database.

Dengan membatasi hak akses, dampak ketika sebuah akun mengalami kompromi dapat dikurangi. Pelaku yang berhasil memperoleh satu akun tidak otomatis mendapatkan akses ke seluruh sistem perusahaan.

Least Privilege perlu dikombinasikan dengan access review karena kebutuhan pengguna dapat berubah seiring waktu. Hak akses yang sesuai hari ini belum tentu masih relevan beberapa bulan kemudian.

Kenapa Topik Ini Penting Dipelajari?

Semakin banyak perusahaan menggunakan aplikasi cloud, layanan berbasis web, dan sistem kerja remote, semakin banyak pula identitas digital yang harus dikelola. Satu pengguna dapat memiliki akses ke berbagai aplikasi dan setiap sistem dapat memiliki mekanisme pengelolaan akun yang berbeda.

System Administrator perlu memahami siklus hidup akun dan proses access revocation. Cloud Engineer perlu mengelola identity dan permission pada layanan cloud, sedangkan Cyber Security Professional perlu memahami risiko dormant account, orphaned account, dan privilege creep.

Keamanan tidak hanya berkaitan dengan mencari celah pada server atau memblokir serangan dari internet. Akun yang sah tetapi sudah tidak digunakan juga dapat menjadi titik lemah apabila masih memiliki akses terhadap sistem perusahaan.

Kesimpulan

Akun yang tidak digunakan tetapi masih aktif dapat menjadi risiko keamanan yang sering diabaikan perusahaan. Dormant account, orphaned account, akun VPN lama, service account, dan shared account dapat tetap memiliki akses terhadap berbagai sistem meskipun tidak lagi digunakan secara aktif.

Masalah menjadi lebih besar ketika akun tersebut menggunakan password lama, tidak memiliki Multi-Factor Authentication, atau menyimpan hak akses yang menumpuk selama bertahun-tahun. Jika credential berhasil diperoleh pihak yang tidak berwenang, akun lama dapat digunakan sebagai jalur untuk mencoba mengakses sistem perusahaan.

Perusahaan perlu melakukan inventaris akun, access review, monitoring aktivitas login, serta menerapkan prinsip Least Privilege. Akun yang sudah tidak dibutuhkan sebaiknya dinonaktifkan, sementara akun yang masih digunakan perlu memiliki kontrol keamanan sesuai dengan tingkat risikonya.

Dalam cyber security, akun yang diam bukan berarti aman. Selama sebuah akun masih aktif dan memiliki akses, identitas tersebut tetap menjadi bagian dari permukaan serangan yang perlu dikelola oleh perusahaan.

Ingin Belajar System Administration dan Cyber Security Lebih Dalam?

Cek pilihan training lengkap di sini:
Training IDN

Info lengkap training dan pendaftaran bisa hubungi admin kami:
WhatsApp IDN

Alamat:
Jl. Pal Merah Utara II No.245, RT.9/RW.16, Palmerah, Kec. Palmerah, Kota Jakarta Barat, DKI Jakarta, Indonesia, Kode Pos 11480