Otentikasi multifaktor akan menjadi kunci untuk bisnis yang melindungi aset cloud

Saat membuktikan siapa Anda ke sistem manajemen identitas (IDM), Anda mungkin telah memperhatikan bahwa baru-baru ini semakin banyak dari mereka yang membutuhkan langkah tambahan selain ID pengguna dan kata sandi Anda, seperti konfirmasi yang mengirim kode ke telepon Anda ketika Anda masuk ke Gmail, Twitter, atau rekening bank Anda dari perangkat selain yang biasa Anda gunakan. Pastikan Anda tidak lupa nama hewan peliharaan pertama Anda atau di mana ibu Anda dilahirkan karena Anda mungkin harus memasukkan informasi itu untuk membuktikan identitas Anda. Potongan-potongan data ini, diperlukan dalam kombinasi dengan kata sandi, adalah salah satu bentuk otentikasi multifaktor (MFA).

MFA bukan hal baru. Dimulai sebagai teknologi fisik; kartu pintar dan dongle USB adalah dua contoh perangkat yang kami perlukan untuk masuk ke komputer atau layanan perangkat lunak begitu kata sandi yang benar dimasukkan. Namun, MFA telah dengan cepat mengembangkan proses login ini untuk memasukkan pengidentifikasi lain, seperti pemberitahuan push seluler.

"Lewatlah sudah hari-hari ketika perusahaan harus menyebarkan token perangkat keras, dan pengguna menjadi frustrasi mengetik kode enam digit yang diputar setiap 60 detik, " kata Tim Steinkopf, Presiden Centrify Corp, pembuat Layanan Identitas Centrify. "Itu mahal dan pengalaman pengguna yang buruk. Sekarang MFA semudah menerima pemberitahuan push ke telepon Anda." Namun, bahkan kode yang kami terima melalui Short Message Service (SMS) sekarang disukai, menurut Steinkopf.

"SMS bukan lagi metode transportasi yang aman untuk kode MFA karena dapat disadap, " katanya. "Untuk sumber daya yang sangat sensitif, perusahaan sekarang harus mempertimbangkan token crypto yang lebih aman yang mengikuti standar Aliansi IDDitas Online (FIDO) yang baru." Selain to crypto token, standar FIDO2 menggabungkan spesifikasi Web Wide Web Consortium (W3C) dan Otentikasi Web untuk Klien ke Otentikator Protokol (CTAP). Standar FIDO2 juga mendukung gerakan pengguna menggunakan biometrik tertanam seperti pengenalan wajah, gesekan sidik jari, dan pemindaian iris.

Untuk menggunakan MFA, Anda harus memasukkan campuran kata sandi dan pertanyaan untuk perangkat seperti ponsel cerdas, atau menggunakan sidik jari dan pengenalan wajah, jelas Joe Diamond, Direktur Manajemen Pemasaran Produk Keamanan di Okta, pembuat Okta Identity Management.

"Lebih banyak organisasi sekarang mengakui risiko keamanan yang terkait dengan kata sandi satu kali berbasis SMS sebagai faktor MFA. Sangat sepele bagi aktor yang buruk untuk 'SIM swap' dan mengambil alih nomor ponsel, " kata Diamond. "Setiap pengguna yang berisiko terhadap serangan yang ditargetkan seperti itu harus menerapkan faktor kedua yang lebih kuat seperti faktor biometrik atau token keras yang menciptakan jabat tangan kriptografis antara perangkat dan layanan."

Terkadang MFA tidak sempurna. Pada 27 November, Microsoft Azure mengalami pemadaman terkait MFA karena kesalahan Domain Name System (DNS) yang menyebabkan banyak permintaan gagal ketika pengguna mencoba masuk ke layanan seperti Active Directory.

Kredit: Aliansi FIDO

Notifikasi Dorong Seluler

Para ahli melihat pemberitahuan push seluler sebagai opsi terbaik dari "faktor" keamanan karena memiliki kombinasi keamanan dan kegunaan yang efektif. Aplikasi mengirim pesan ke telepon pengguna yang memberi tahu orang tersebut bahwa layanan tersebut mencoba masuk atau mengirim data.

"Anda masuk ke jaringan, dan alih-alih memasukkan hanya kata sandi Anda, Anda didorong ke perangkat Anda di mana ia mengatakan ya atau tidak, Anda mencoba untuk mengotentikasi perangkat ini, dan jika Anda menjawab ya, itu memberi Anda akses ke jaringan, "jelas Dave Lewis, Kepala Penasihat Keamanan Informasi Global (CISO) untuk bisnis keamanan Cisco Duo, yang menawarkan aplikasi otentikasi seluler Duo Push. Produk lain yang menawarkan MFA termasuk Yubico YubiKey 5 NFC dan Ping Identity PingOne.

Notifikasi push seluler tidak memiliki kata sandi sekali pakai yang dikirim melalui SMS karena kata sandi ini dapat diretas dengan mudah. Enkripsi membuat pemberitahuan efektif, menurut Hed Kovetz, salah satu pendiri dan CEO penyedia solusi MFA Silverfort.

"Hanya satu klik, dan keamanannya sangat kuat karena ini perangkat yang sama sekali berbeda, " katanya. "Anda dapat mengubah aplikasi jika dikompromikan, dan sepenuhnya dienkripsi dan disahkan dengan protokol modern. Ini tidak seperti SMS misalnya, yang mudah dikompromikan karena standar pada dasarnya lemah dan mudah dilanggar dengan serangan Signaling System 7 (SS7) dan semua jenis serangan lainnya pada SMS."

MFA Menggabungkan Zero Trust

MFA adalah bagian penting dari model Zero Trust di mana Anda tidak mempercayai pengguna jaringan apa pun hingga Anda memverifikasi bahwa mereka sah. "Menerapkan MFA adalah langkah penting dalam memverifikasi bahwa pengguna sebenarnya yang mereka katakan, " kata Steinkopf.

"MFA memainkan peran penting dalam model kedewasaan Zero Trust organisasi mana pun, karena kami pertama-tama harus membangun kepercayaan pengguna sebelum kami dapat memberikan akses, " tambah Okta Diamond. "Ini juga perlu digabungkan dengan strategi identitas terpusat di semua sumber daya sehingga kebijakan MFA dapat dipasangkan dengan kebijakan akses untuk memastikan pengguna yang tepat memiliki akses yang tepat ke sumber daya yang tepat, dengan gesekan sesedikit mungkin."

Kredit: Aliansi FIDO

Apakah Kata Sandi Diganti?

Banyak orang mungkin tidak siap untuk meninggalkan kata sandi, tetapi jika pengguna akan terus bergantung pada mereka, mereka harus dilindungi. Faktanya, Laporan Pelanggaran Data 2017 Verizon mengungkapkan bahwa 81 persen dari pelanggaran data berasal dari kata sandi yang dicuri. Statistik seperti itu menjadikan kata sandi masalah bagi organisasi mana pun yang ingin melindungi sistemnya dengan andal.

"Jika kita dapat memecahkan kata sandi dan mendapatkannya dan beralih ke jenis otentikasi yang lebih cerdas, kita akan mencegah sebagian besar pelanggaran data terjadi hari ini, " kata Kovetz dari Silverfort.

Kata sandi tidak akan hilang di mana-mana, tetapi kata sandi tersebut mungkin dihilangkan untuk aplikasi tertentu, kata Kovetz dari Silverfort. Dia mengatakan bahwa menghilangkan kata sandi untuk perangkat keras komputer dan perangkat Internet of Things (IoT) akan menjadi lebih kompleks. Alasan lain dia mengatakan autentikasi tanpa kata sandi lengkap mungkin tidak terjadi begitu cepat adalah karena orang secara psikologis terikat padanya.

Transisi dari kata sandi juga melibatkan perubahan budaya dalam organisasi menurut Cisco's Lewis. "Dorongan dari kata sandi statis ke MFA adalah perubahan budaya secara mendasar, " kata Lewis. "Kau membuat orang melakukan sesuatu yang berbeda dari yang telah mereka lakukan selama bertahun-tahun."

Pemrosesan MFA dan Kecerdasan Buatan

Intelegensi buatan (AI) digunakan untuk membantu administrator IDM dan sistem MFA mengatasi rentetan data login baru. Solusi MFA dari vendor seperti Silverfort menerapkan AI untuk mendapatkan wawasan tentang kapan MFA diperlukan dan ketika tidak.

"Bagian AI, ketika Anda menggabungkannya, memungkinkan Anda untuk membuat keputusan awal apakah suatu otentikasi spesifik harus membutuhkan MFA atau tidak, " kata Kovetz dari Silverfort. Dia mengatakan komponen machine learning (ML) aplikasi dapat memberikan skor risiko tinggi jika mendeteksi pola aktivitas yang tidak normal, seperti jika akun karyawan tiba-tiba diakses oleh seseorang di Cina dan karyawan itu secara teratur bekerja di Amerika Serikat.

"Jika pengguna masuk ke aplikasi dari kantor menggunakan PC yang dikeluarkan perusahaan mereka sendiri, maka MFA tidak akan diminta karena itu 'normal, '" Steinkopf Centrify menjelaskan. "Tetapi jika pengguna yang sama bepergian ke luar negeri atau menggunakan perangkat orang lain, maka mereka akan diminta untuk MFA karena risikonya lebih tinggi." Steinkopf menambahkan bahwa MFA seringkali merupakan langkah pertama ketika menggunakan teknik verifikasi tambahan.

CIO juga mengawasi biometrik perilaku, yang telah menjadi tren yang berkembang dalam penyebaran MFA baru. Behavorial biometrics menggunakan perangkat lunak untuk melacak bagaimana pengguna mengetik atau menggesek. Walaupun ini kedengarannya mudah, sebenarnya membutuhkan pemrosesan sejumlah besar data yang berubah dengan cepat, itulah sebabnya vendor menggunakan ML untuk membantu.

"Nilai dalam ML untuk otentikasi adalah untuk mengevaluasi beberapa sinyal kompleks, mempelajari 'identitas' awal pengguna berdasarkan sinyal-sinyal tersebut, dan mengingatkan tentang anomali terhadap data dasar itu, " kata Okta Diamond. "Biometrik perilaku adalah contoh di mana ini dapat ikut berperan. Memahami nuansa bagaimana pengguna mengetik, berjalan, atau berinteraksi dengan perangkat mereka memerlukan sistem intelijen canggih untuk membuat profil pengguna itu."

Penghilang Perimeter

Dengan evolusi infrastruktur cloud, layanan cloud, dan terutama volume data tinggi perangkat IoT di tempat, kini ada lebih dari sekadar perimeter fisik di lokasi pusat data organisasi. Ada juga perimeter virtual yang perlu untuk melindungi aset perusahaan di cloud. Dalam kedua skenario, identitas memainkan peran kunci menurut Kovetz.

"Batas-batas dulu didefinisikan secara fisik, seperti oleh kantor, tetapi hari ini batas-batas ditentukan oleh identitas, " kata Kovetz. Saat perimeter menghilang, begitu juga perlindungan yang digunakan firewall kuat untuk komputer desktop kabel. MFA bisa menjadi salah satu cara untuk menggantikan apa yang secara tradisional dilakukan oleh firewall, Kovetz menyarankan.

• Otentikasi Dua Faktor: Siapa yang Memiliki dan Cara Mengaturnya Otentikasi Dua Faktor: Siapa yang Memiliki dan Cara Mengaturnya
• Melampaui Perimeter: Cara Mengatasi Keamanan Layered Melampaui Perimeter: Cara Mengatasi Keamanan Layered
• Zero Trust Model Mendapatkan Tenaga Dengan Ahli Keamanan Zero Trust Model Mendapatkan Tenaga dengan Tenaga Ahli

", di mana Anda meletakkan produk keamanan jaringan?" Kovetz bertanya. "Keamanan jaringan tidak benar-benar berfungsi lagi. MFA menjadi cara baru untuk benar-benar melindungi jaringan tanpa batas Anda."

Salah satu cara utama yang dikembangkan MFA di luar batas adalah melalui kerumunan yang berkembang dari sistem identitas yang dijual berdasarkan Perangkat Lunak sebagai Layanan (SaaS), termasuk sebagian besar layanan IDM yang telah ditinjau oleh PCMag Labs pada tahun lalu. "Sejumlah besar produk SaaS yang memungkinkan UKM untuk dengan mudah bangkit dan berjalan sudah beroperasi di luar batas, " kata Nathan Rowe, pendiri dan Chief Product Officer (CPO) di penyedia keamanan data Evident. Model SaaS secara drastis mengurangi kompleksitas biaya dan penyebaran, jadi ini merupakan bantuan besar bagi bisnis skala kecil hingga menengah karena mengurangi pengeluaran dan overhead TI, menurut Rowe.

Solusi SaaS tentu saja merupakan masa depan IDM, yang menjadikannya masa depan MFA juga. Itu kabar baik karena bisnis kecil bahkan mau tidak mau pindah ke arsitektur IT layanan multi-cloud dan cloud, di mana memiliki akses mudah ke MFA dan langkah-langkah keamanan lanjutan lainnya akan segera menjadi wajib.