Tahun ini, Hari Kata Sandi Sedunia berfungsi sebagai pengingat umum bahwa bisnis di mana pun harus memeriksa kekuatan praktik autentikasi mereka. Kata sandi (terbuka di tab baru) saat masuk bukan lagi satu-satunya pilihan untuk melindungi akses ke sistem, aplikasi (terbuka di tab baru) dan perangkat – faktanya, mereka sudah lama tidak ada. Terlepas dari kelemahan yang melekat, kata sandi bertahan lama karena dapat digunakan di mana saja, di perangkat apa saja, kapan saja. Mewujudkan masa depan tanpa kata sandi, dengan janji perlindungan yang lebih baik dan pengalaman pengguna yang lebih baik, akan memerlukan standar autentikasi global baru yang diterapkan dalam skala besar oleh semua vendor OS/browser terkemuka.
Tentang Penulis
Jerrod Chong adalah Chief Solutions Officer di Yubico (terbuka di tab baru).
Meskipun masa depan tanpa kata sandi akan membutuhkan banyak pekerjaan dari berbagai pemain di industri ini, kami mulai melihat tanpa kata sandi menjadi perhatian utama bagi perusahaan. Faktanya, Gartner memperkirakan bahwa 60 persen perusahaan besar dan global tidak akan memiliki kata sandi untuk lebih dari setengah kasus penggunaan pada tahun 2022. Angka tersebut meningkat menjadi 90 persen untuk perusahaan menengah. Meskipun hal ini membuktikan bahwa tanpa kata sandi adalah prioritas utama, apakah organisasi benar-benar siap?
Permukaan serangan yang lebih besar
Alasan nomor satu untuk menggunakan multi-factor authentication (MFA) adalah untuk meningkatkan keamanan (terbuka di tab baru) dan peningkatan lingkungan kerja hybrid tahun lalu telah berkontribusi pada hal ini. Memang, hampir setengah (49 persen) dari mereka yang disurvei dalam studi baru-baru ini menunjukkan bahwa mereka akan cenderung meningkatkan penggunaan 2FA/MFA untuk alasan keamanan.
Lebih banyak perangkat yang mengakses sistem dan aplikasi dari lebih banyak lokasi memperluas lahan TI perusahaan, memperluas permukaan serangan potensial. Perusahaan akan sangat menyadari implikasi risiko dari hal ini, tetapi kata sandi menyebabkan masalah jauh sebelum percepatan kerja jarak jauh (terbuka di tab baru). Permukaan serangan yang meluas ini juga meminta perhatian pada kebutuhan perusahaan untuk melindungi semua pengguna, bukan hanya pengguna yang memiliki hak istimewa. Berkali-kali pelanggaran membuktikan bahwa karyawan tingkat rendah (terbuka di tab baru) dapat membuat organisasi rentan dengan menjadi ‘jalan masuk’ bagi musuh.
Pengelabuan (terbuka di tab baru)isian kredensial, dan ancaman dunia maya lainnya telah menimbulkan risiko tinggi terhadap data perusahaan (terbuka di tab baru) pelanggaran selama bertahun-tahun. Dengan menjadikan kata sandi sebagai satu-satunya kunci kerajaan, perusahaan menghadapi konsekuensi jika kata sandi tersebut disusupi.
Faktor kegunaan
Meskipun demikian, kata sandi bertahan. Petunjuk mengapa dapat ditemukan dalam perilaku pengguna. Ada alasan keamanan yang kuat untuk menggunakan autentikasi dua faktor (2FA) yang kuat, tetapi harus nyaman jika ingin diadopsi dalam jumlah besar. Otentikator berbasis seluler dan MFA berbasis SMS adalah beberapa teknologi MFA yang paling banyak diadopsi, tetapi mereka bergantung pada ponsel orang yang terdaftar yang sedang diisi dayanya, di area penerimaan untuk penggunaan seluler, dan menyalin kode satu kali secara akurat. Ketidaknyamanan ini telah terbukti menjadi penghalang dalam adopsi SMS (terbuka di tab baru) kode atau ‘salin dan tempel’ kode sandi satu kali.
Hal ini menunjukkan potensi masalah kegunaan bagi organisasi yang sedang merencanakan, atau menerapkan, solusi MFA.
Meskipun demikian, pengurangan ketergantungan kami pada kata sandi merupakan langkah maju. Dengan memperkenalkan sesuatu tambahan yang diketahui pengguna (seperti jawaban atas pertanyaan) atau sesuatu yang mereka miliki (seperti kata sandi sekali pakai atau OTP), keamanan diperkuat – tetapi tindakan ini tidak menghilangkan semua risiko. Kata/jawaban yang berkesan dapat di-phishing dengan cara yang sama seperti kata sandi, sementara OTP yang dikirim menggunakan SMS dapat menjadi korban penipuan ‘pertukaran SIM’, atau pengguna dapat ditipu untuk memberikannya kepada seseorang yang mereka yakini memiliki alasan yang sah untuk memilikinya. Bahkan aplikasi push seluler dapat di-phishing.
Faktor tambahan dapat berasal dari siapa seseorang – pengidentifikasi biometrik seperti sidik jari atau anatomi wajah – atau apa yang dimiliki seseorang, seperti kunci keamanan berbasis perangkat keras. Faktor-faktor tambahan ini mempersulit penyerang untuk mengelak dari jarak jauh. Perkembangan beberapa tahun terakhir memudahkan adopsi dan implementasi MFA perusahaan, dan standar keamanan seperti FIDO2 dan WebAuthn sudah didukung oleh platform OS dan browser terkemuka (tumpukan teknologi skala ini diperlukan jika kita ingin mengurangi ketergantungan kita pada kata sandi) .
FIDO2, standar autentikasi terbuka, merupakan perpanjangan dari FIDO U2F, menawarkan tingkat keamanan tinggi yang sama berdasarkan kriptografi kunci publik dan protokol tahan phishing. WebAuthn adalah komponen inti dari FIDO2 dan standar pertama yang diterima secara global untuk autentikasi web. Bersama-sama, mereka memajukan MFA melalui integrasi yang dapat diakses.
Jalan menuju otentikasi yang lebih kuat
Perusahaan yang mempertimbangkan dari mana harus memulai harus mempertimbangkan pendekatan hibrid untuk autentikasi tanpa kata sandi, yang tidak berarti mereka harus merombak semua infrastruktur mereka saat ini. Hal ini sangat penting karena begitu banyak infrastruktur perusahaan yang terdiri dari campuran sistem on-premis lama dan layanan yang dihosting cloud pribadi atau publik.
Kunci keamanan berbasis perangkat keras yang mendukung beberapa protokol autentikasi dapat menjembatani perjalanan tanpa kata sandi ini. Administrator dapat mengizinkan pendaftaran swalayan. Kunci keamanan juga dapat didaftarkan sebelumnya untuk pengguna sebelum mendistribusikannya ke pekerja jarak jauh. Karyawan lebih mungkin untuk bergabung dengan pendekatan keamanan baru yang mudah digunakan dan bekerja di luar kotak tanpa menginstal berbagai perangkat lunak atau aplikasi tambahan. Selain itu, opsi swalayan dan pemulihan mandiri yang mudah diaktifkan membuat permintaan dukungan TI menjadi lebih sedikit.
Ada tanda-tanda yang menggembirakan bahwa perusahaan mengambil langkah menuju masa depan tanpa kata sandi, tetapi masih banyak yang harus dilakukan. Hari Kata Sandi Sedunia mengingatkan kita bahwa penggunaan kata sandi sudah lazim dan masih menyebabkan masalah dalam perang berkelanjutan melawan ancaman dunia maya. Perusahaan yang berinvestasi dalam teknologi tanpa kata sandi harus mempertimbangkan kegunaan, kompatibilitas, dan kemudahan penerapan selain keamanan saat membuat pilihan. Dengan pendekatan yang tepat, MFA yang kuat dapat melindungi jaringan dan sistem perusahaan dengan lebih baik serta memberikan pengalaman autentikasi yang lancar bagi pengguna. Mungkin suatu hari kita akan menyebutnya sebagai Hari Tanpa Kata Sandi Sedunia…
