Daftar Isi:
- Apa yang Mencegah Otentikasi Tanpa Kata Sandi?
- FBI Datang Mengetuk
- Mendapatkan di Halaman yang Sama
- Kapan Kata Sandi Akhirnya Pergi?
Video: LUPA KATA SANDI FACEBOOK ?? Begini cara melihat kata sandi facebook kita yang terlupa (Oktober 2024)
Pada 2012, Wired 's Matt Honan menulis tentang konsekuensi bencana dari mengikat seluruh kehidupan digital Anda ke serangkaian huruf, angka, dan simbol. Honan hanyalah satu dari banyak orang yang akun daringnya dibajak setelah peretas menemukan kata sandi mereka; daftar korban juga berisi eksekutif teknologi terkenal, termasuk Mark Zuckerberg.
Namun, kata sandi tetap menjadi metode utama untuk melindungi akun online.
Tidak ada sejumlah kecil inovasi di ruang otentikasi. Pada tahun 2016, saya menulis tentang teknologi otentikasi yang memberikan alternatif kata sandi yang aman dan mudah digunakan, tetapi sampai saat ini, tidak ada yang mencapai adopsi massal.
Namun sekarang, ada harapan bahwa kita akhirnya dapat membuang kata sandi yang panjang dan kompleks berkat serangkaian peraturan dan standar terbuka yang memudahkan dan mendorong penerapan metode otentikasi tanpa kata sandi dalam aplikasi online.
Apa yang Mencegah Otentikasi Tanpa Kata Sandi?
"Banyaknya kata sandi yang dibutuhkan dalam kehidupan kita sehari-hari telah menjadi beban, itulah sebabnya kita melihat begitu banyak kredensial statis yang digunakan kembali atau lemah, " kata Stina Ehrensvard, CEO dan Pendiri Yubico, yang memproduksi kunci keamanan fisik seperti Yubikey 5 NFC. "Kami perlu memikirkan cara mengatasi masalah ini dengan cara yang menyederhanakan proses login sekaligus menambahkan tingkat keamanan tertinggi. Hingga saat ini, belum ada cara untuk melakukan kedua hal itu dengan sukses."
Kerentanan kata sandi tidak hilang pada organisasi yang terus menggunakannya. Tetapi sebelum mempertimbangkan alternatif, mereka harus mempertimbangkan keamanan, kegunaan, ketersediaan, dan biaya teknologi.
"Alasan kami belum mengganti kata sandi sebelumnya dengan sesuatu yang lebih dapat diandalkan adalah bahwa semua alternatif yang mungkin lebih baik untuk keamanan atau kegunaan belum tersedia di mana-mana untuk semua bentuk dan ukuran perangkat yang terhubung ke internet, tidak juga biayanya -efektif, "kata Brett McDowell, direktur eksekutif FIDO Alliance, sebuah konsorsium yang mengembangkan standar otentikasi.
Selain itu, entri kata sandi adalah teknologi otentikasi yang paling murah dan termudah untuk diterapkan di situs web dan aplikasi seluler baru. Dan sementara alternatif seperti teknologi otentikasi biometrik menjadi lebih banyak tersedia di perangkat seluler, entri kata sandi tetap menjadi fitur di mana-mana yang didukung semua perangkat. Menghapusnya akan mencegah banyak pengguna mengakses layanan tersebut.
Kurangnya standar juga membuat sulit untuk menjauh dari kata sandi. Biaya overhead untuk menambahkan dukungan untuk puluhan teknologi otentikasi yang berbeda dalam aplikasi klien dan server backend adalah sesuatu yang sebagian besar organisasi tidak tahan.
Dan tentu saja, selalu ada faktor manusia. "Beberapa perusahaan dan individu terus percaya bahwa mereka tidak akan terpengaruh oleh serangan cyber dan bahwa mereka tidak menarik bagi penjahat cyber. Kurangnya keinginan dan sumber daya untuk mengubah solusi yang ada menghambat upaya adopsi solusi otentikasi tanpa password baru, " kata Alex Momot, CEO REMME, startup yang mengembangkan sistem otentikasi terdesentralisasi.
FBI Datang Mengetuk
Dalam beberapa tahun terakhir, telah terjadi peningkatan kesadaran seputar keamanan online dan privasi pengguna, terutama di antara lembaga pemerintah dan regulator. Sementara sebelumnya, organisasi bisa saja mengabaikan pelanggaran data dan insiden keamanan dengan sedikit konsekuensi hukum dan keuangan, itu tidak lagi menjadi masalah.
"Regulator sudah bosan dengan berita utama pelanggaran data seperti orang lain, dan mereka mulai mengambil tindakan, menghasilkan lebih banyak bisnis yang menambahkan otentikasi kuat ke praktik perlindungan data mereka, " kata McDowell.
Di antara tindakan pengaturan yang paling relevan adalah Peraturan Perlindungan Data Umum (GDPR), seperangkat aturan yang menentukan bagaimana perusahaan mengumpulkan, menangani, dan mengamankan data pengguna. GDPR juga menetapkan standar untuk otentikasi pengguna yang kuat. Perusahaan yang gagal mematuhi aturan dan melindungi data pelanggan mereka akan didenda berat. GDPR hanya berlaku untuk yurisdiksi UE, tetapi karena banyak perusahaan yang tidak berbasis di UE masih melakukan bisnis di wilayah tersebut, sekarang ini dianggap sebagai standar emas untuk keamanan.
"Pada saat semakin banyak perusahaan mengadopsi otentikasi yang kuat, dan semakin banyak pelanggaran data disebabkan oleh kompromi kata sandi, akan semakin sulit bagi sebuah bisnis untuk menyampaikan kasus kepada regulator GDPR bahwa otentikasi hanya kata sandi adalah keamanan yang sesuai, berpotensi mengekspos perusahaan mereka ke denda yang jauh lebih mahal daripada harga dari kata sandi ke autentikasi kuat yang sebenarnya, "kata McDowell.
Regulasi spesifik industri lainnya lebih eksplisit tentang penggunaan teknologi otentikasi. Contohnya adalah Petunjuk Layanan Pembayaran 2 (PSD2), yang mengatur e-commerce dan layanan keuangan online di Eropa dan membuat otentikasi dua faktor (2FA) wajib. PSD2 juga mendorong penggunaan kartu keamanan, perangkat seluler, dan pemindai biometrik untuk meningkatkan pengalaman pengguna tanpa mengurangi keamanan.
Dan Institut Standar dan Teknologi Nasional (NIST), yang mendefinisikan kriteria untuk berbagai industri, menyatakan dalam pedoman identitas digitalnya bahwa organisasi harus menjauh dari kata sandi dan kode sandi satu kali dan mengadopsi otentikasi kuat modern.
"Lebih khusus lagi, NIST merekomendasikan otentikasi di mana perangkat modern Anda membuat dan menggunakan kunci pribadi kriptografis sebagai kredensial akun baru Anda dan menyimpannya dengan aman ke perangkat pribadi Anda dengan cara yang sama seperti kebanyakan smartphone sekarang menyimpan data sidik jari Anda dengan aman, " kata McDowell.
Ada perdebatan mengenai apakah peraturan pemerintah akan menghambat atau mendorong inovasi. Tetapi pada titik ini, kita mungkin perlu dorongan regulasi untuk mengadopsi mekanisme otentikasi yang lebih aman.
"Pemerintah dapat memainkan peran penting dalam penerapan standar terbuka, " kata Ehrensvard. "Lihatlah sabuk pengaman, misalnya. Itu juga merupakan standar terbuka, dan penggunaannya diatur oleh pemerintah. Karena itu, ada 10 kali lebih banyak mobil di jalan hari ini tetapi jumlah kecelakaan mobil fatal yang lebih rendah."
Mendapatkan di Halaman yang Sama
Penggantian yang luas untuk otentikasi hanya kata sandi membutuhkan lebih dari sekadar peraturan. Tanpa seperangkat protokol standar, organisasi dan perusahaan akan berjuang untuk menemukan teknologi otentikasi yang membuat mereka sejalan dengan peraturan keamanan sambil membuat aplikasi mereka tersedia untuk pengguna mereka.
Itulah masalah yang ditetapkan FIDO untuk dipecahkan. FIDO Authentication didasarkan pada serangkaian standar teknologi gratis dan terbuka, yang dikembangkan dalam kemitraan dengan World Wide Web Consortium (W3C). Tujuannya adalah untuk menciptakan interoperabilitas antara perangkat dan layanan dengan memungkinkan seluruh industri elektronik konsumen untuk mengintegrasikan teknologi ke dalam produk dan platform mereka.
FIDO mengganti kata sandi dengan kriptografi kunci publik. Ini berarti bahwa alih-alih kata sandi, pengguna diidentifikasi dengan sepasang kunci publik dan pribadi. Apa pun yang dienkripsi dengan kunci publik hanya dapat didekripsi dengan kunci privasinya yang sesuai. Ketika pengguna mendaftar dengan layanan online yang mendukung otentikasi FIDO, layanan menghasilkan pasangan kunci dan menyimpan kunci publik di server-nya. Kunci pribadi disimpan pada perangkat pengguna saja. Saat masuk, aplikasi klien disajikan dengan tantangan kriptografi yang dihasilkan dengan kunci publik, yang hanya dapat dipecahkan oleh kunci pribadi. Pengguna harus memverifikasi identitas mereka dengan perangkat mereka (melalui sidik jari, wajah, atau PIN) untuk membuka kunci pribadi mereka dan menyelesaikan tantangan.
Kelebihan dari model ini adalah bahwa ia menyediakan otentikasi multi-faktor tanpa memerlukan penyimpanan dan pertukaran kata sandi. Meskipun peretas berhasil menembus server penyedia layanan, mereka hanya akan mendapatkan akses ke kunci publik, yang tidak berguna tanpa kunci pribadi terkait yang disimpan pada perangkat pengguna. Jika peretas mencuri perangkat pengguna, mereka masih harus melewati verifikasi identitas lokal untuk mendapatkan kunci pribadi. Dari perspektif pengguna, ini meniadakan kebutuhan untuk menghafal kata sandi yang panjang dan kompleks untuk setiap akun sambil memberikan keamanan yang unggul.
Tetapi pencapaian FIDO yang lebih besar mendapatkan dukungan luas dari industri teknologi. Aliansi telah menyatukan nama-nama besar seperti Google, Microsoft, Amazon, dan Intel untuk mengembangkan standar yang mudah diimplementasikan pada berbagai jenis perangkat dan sistem operasi.
"Bisnis yang bersatu untuk membentuk FIDO Alliance memahami bahwa mengganti kata sandi untuk otentikasi online hanya dapat menjadi layak secara komersial dalam skala melalui kombinasi standar teknologi bebas dan terbuka, pengalaman pengguna yang jauh lebih unggul, dan pendekatan yang berbeda secara mendasar pada model keamanan, "Kata McDowell.
FIDO baru-baru ini merilis FIDO2, sebuah ekstensi ke standarnya yang menambahkan dukungan untuk otentikasi kunci publik ke browser dan berbagai kerangka kerja aplikasi. Standar ini didukung oleh Windows 10, Google Play Services di Android, dan browser web Chrome, Firefox, dan Edge. WebKit, teknologi di balik peramban Safari Apple, mungkin juga akan segera menambahkan dukungan untuk FIDO2.
"Standar FIDO2 memungkinkan penggantian otentikasi berbasis kata sandi yang lemah dengan otentikasi berbasis perangkat keras yang menggunakan kriptografi kunci publik, " kata Ehrensvard, yang perusahaannya Yubico adalah di antara anggota kunci FIDO. "Standar ini memungkinkan untuk otentikasi tanpa kata sandi dalam beberapa bentuk, termasuk melalui USB dan NFC tap-and-go, yang memberikan pengalaman pengguna yang optimal, dan secara drastis meningkatkan keamanan dan produktivitas."
Kapan Kata Sandi Akhirnya Pergi?
Meskipun industri telah menempuh jalan panjang menuju pengembangan metode otentikasi alternatif, kata sandi tidak akan hilang dalam semalam. "Kita harus memperhitungkan bahwa kita memiliki banyak perangkat lunak dan sistem informasi 'warisan'. Itulah mengapa tidak selalu mungkin untuk dengan mudah mengubah aturan otentikasi yang ditetapkan termasuk yang berdasarkan kata sandi, " kata Momot, kepala eksekutif dari REMME.
Pakar lain seperti Sandor Palfy, CTO dari LogMeIn, percaya kata sandi akan tetap menjadi aspek utama untuk mengidentifikasi pengguna. Dia juga percaya industri harus fokus pada peningkatan pengalaman kata sandi.
- Pengelola Kata Sandi Terbaik untuk 2019 Manajer Kata Sandi Terbaik untuk 2019
- Apa Kata Sandi? Mainkan Beberapa Musik dan Masuk Melalui Gelombang Otak Apa Kata Sandi? Mainkan Beberapa Musik dan Masuk Melalui Gelombang Otak
- Surel Porno Suram Menggunakan Kata Sandi Lama untuk Scam Anda Keluar Dari Uang tunai Suram
"Sampai cakupan universal dengan otentikasi multi-faktor (atau bahkan otentikasi perilaku atau kontekstual) tersedia, perusahaan perlu berinvestasi dalam memperkuat layanan yang dilindungi kata sandi yang digunakan di seluruh organisasi, " kata Palfy.
"Mengingat kata sandi unik dan kompleks untuk semua pekerjaan dan akun pribadi kami tidak selaras dengan perilaku manusia yang alami. Dengan menggunakan alat seperti pengelola kata sandi, mengingat beberapa kata sandi harus menjadi sesuatu di masa lalu, dengan pengguna hanya perlu mengingat satu kata sandi utama, "kata Palfy, yang perusahaannya adalah pengembang pengelola kata sandi LastPass.
Namun bagi McDowell, yang telah memimpin FIDO sejak 2014, upaya untuk menghilangkan password akhirnya mencapai tahap akhir. "Hari ini masa depan tanpa kata sandi menjadi kenyataan, satu aplikasi pada satu waktu. Dalam beberapa tahun, saya berharap formulir entri kata sandi hampir sama dengan yang ditemukan di halaman web seperti bilik telepon umum di ruang publik saat ini, dan untuk alasan yang sama - kami memiliki alternatif yang hemat biaya dan ada di mana-mana yang menawarkan pengalaman pengguna yang jauh lebih baik, "katanya.
