Selama bertahun-tahun, bahaya melindungi akun online hanya dengan kata sandi dasar (terbuka di tab baru) berbasis, otentikasi telah diketahui. Namun, meskipun demikian, transisi ke bentuk autentikasi yang lebih kuat berjalan lambat. Saat konsumen dan bisnis menjadi lebih bijak terhadap keharusan untuk melindungi akun mereka dengan lebih baik, suara mereka akan menambah seruan untuk otentikasi dua faktor dan multi faktor (2FA (terbuka di tab baru)/MFA).
Tentang Penulis
John Gilbert adalah General Manager untuk UK&I di Yubico (terbuka di tab baru).
Pusat Keamanan Siber Nasional (NCSC) merekomendasikan 2FA untuk ‘bernilai tinggi’ dan email (terbuka di tab baru) akun, karena email menyediakan rute bagi penjahat dunia maya untuk mengatur ulang kata sandi (terbuka di tab baru) di akun lain. Di Inggris, regulasi mengatur autentikasi pelanggan (SCA) yang kuat di sektor keuangan berisiko tinggi. Sementara itu, Twitter telah mengumumkan bahwa penggunanya kini memiliki opsi untuk menggunakan keamanan (terbuka di tab baru) kunci sebagai satu-satunya metode 2FA mereka.
Ini adalah langkah penting menuju masa depan yang benar-benar tanpa kata sandi dan yang memberi tekanan pada organisasi lain untuk menilai protokol autentikasi mereka sendiri dan, jika perlu, meningkatkan perlindungan bagi pelanggan (terbuka di tab baru) dan pengguna.
Mengapa 2FA?
Otentikasi yang kuat diperlukan untuk meningkatkan akses cybersecurity (terbuka di tab baru) untuk akun dan layanan online. Kata sandi saja memberikan perlindungan yang lemah karena dapat ditebak dan di-phishing dan, setelah dicuri, diadili terhadap berbagai akun dengan harapan mendapatkan serangan.
Sayangnya, perilaku kita sendiri membuat banyak hal ini menjadi mungkin. Orang-orang memiliki banyak akun online. Untuk memungkinkan mengingat semua kata sandi mereka, mereka memilih kata sandi sederhana yang, dalam skenario terburuk, dapat dengan mudah ditebak. Terlebih lagi mereka menggunakannya kembali, sedemikian rupa sehingga penelitian kami sendiri mengungkapkan 54 persen karyawan menggunakan kata sandi yang sama di beberapa akun kerja. Untuk melacak kata sandi, lebih dari seperlima (22 persen) mengakui untuk menuliskannya. Penggunaan ulang kata sandi memungkinkan isian kredensial, di mana informasi log-in dimasukkan ke berbagai layanan digital, seringkali oleh sistem atau program otomatis. Jenis serangan massal ini dapat membuahkan hasil ketika orang menggunakan kembali kredensial yang sama, membuat berbagai akun rentan terhadap pelanggaran dan pengambilalihan.
Kata sandi adalah sesuatu yang diketahui seseorang dan karenanya dapat dibagikan. Yang mengherankan, orang kadang-kadang melakukan ini dengan sadar dan rela, terutama dalam pengaturan bisnis ketika kolega perlu mengakses sistem atau aplikasi yang jarang digunakan. Di luar jenis berbagi yang disengaja ini, kata sandi juga dapat ditipu orang melalui phishing (terbuka di tab baru). Serangan phishing menjadi semakin canggih dan karenanya sulit dikenali. Sebuah email mungkin tampak berasal dari penyedia layanan yang sah, seperti bank, namun ketika pelanggan tanpa sadar mengklik tautan, mereka dapat dibawa ke situs palsu. Jika mereka memasukkan informasi mereka pada saat ini, penjahat dunia maya dapat menggunakan kredensial phishing di situs penyedia layanan yang sebenarnya untuk mendapatkan akses ke akun pengguna.
Yang lebih canggih, dan bahaya lain untuk perlindungan hanya kata sandi, adalah serangan man-in-the-middle (MiTM). Ini terjadi ketika penyerang dunia maya berada di tengah-tengah komunikasi antara pengguna dan penyedia layanan, yang keduanya percaya bahwa mereka sedang berkomunikasi satu sama lain. Seperti phishing, pesan yang sangat dipersonalisasi menyediakan kendaraan untuk serangan MitM, seperti halnya jaringan Wi-Fi yang tidak dilindungi dan URL yang dimanipulasi yang terlihat seperti situs yang sah.
Efek bekerja dari rumah
Bagi banyak bisnis, lingkungan kerja jarak jauh/kantor hibrid menambah urgensi untuk memperkuat praktik autentikasi. Kemungkinan banyak orang akan terus bekerja dari rumah, setidaknya untuk beberapa waktu, meskipun sudah kembali ke kantor. Berbagai organisasi telah mengindikasikan rencana untuk terus mendukung pendekatan yang fleksibel. Ini berarti perkebunan TI perusahaan yang diperluas – terdiri dari lebih banyak perangkat yang mengakses jaringan, sistem, dan aplikasi dari lebih banyak tempat – akan menjadi hal biasa.
Waktu ketika keamanan difokuskan pada perimeter perusahaan sekarang tampaknya semakin jauh di belakang kita. Kini, perusahaan harus memitigasi risiko keamanan dan melindungi akses di tingkat perangkat dan aplikasi. Namun, meskipun teknologi 2FA menjadi garis pertahanan terbaik untuk melindungi dari pengambilalihan akun, hanya 22 persen responden penelitian kami tentang keamanan siber di era kerja-dari-mana saja, mengatakan bahwa perusahaan mereka telah memperkenalkannya sejak pandemi dimulai.
2FA yang kuat dan nyaman
2FA memperkuat autentikasi karena menambahkan faktor lain – sesuatu yang dimiliki pengguna (seperti kode akses satu kali atau kunci keamanan) atau sesuatu milik mereka (atribut fisik unik seperti sidik jari) – ke sesuatu yang mereka ketahui (biasanya nama pengguna dan kata sandi).
Otentikasi yang kuat, melalui alat seperti kunci keamanan perangkat keras, meningkatkan keamanan tanpa merepotkan pengguna. Ini adalah pertimbangan utama untuk organisasi bisnis-ke-bisnis (B2B) dan bisnis-ke-konsumen (B2C). OTP, sering dikirim melalui teks, meskipun populer sebagai garis pertahanan kedua, tidak sepenuhnya kebal terhadap pertukaran SIM, phishing modern, atau serangan MitM. Terlebih lagi, mereka dapat membuat gesekan dalam proses masuk dan menghentikannya sama sekali jika baterai di ponsel terdaftar perlu diisi, pengguna berada di lokasi yang dibatasi seluler, atau ada masalah kekuatan sinyal.
Kata sandi sederhana, garis utama pertahanan online kami selama ini, tidak siap untuk menghadapi berbagai ancaman yang sekarang dihadapinya. Selain itu, kegunaannya telah berkurang secara signifikan karena jumlah akun yang kita semua kelola telah berkembang biak sedemikian rupa sehingga manajemen kata sandi menjadi masalah yang sangat nyata. Hanya melalui pemahaman yang lebih luas dan penerapan bentuk otentikasi yang lebih kuat, akun, layanan, dan aplikasi bisnis dan konsumen akan menyadari tingkat perlindungan yang lebih tinggi yang layak mereka dapatkan.
