Kebanyakan daring aplikasi hari ini memerlukan kata sandi. Menurut penelitian terbaru, rata-rata orang harus menggunakan 168 kata sandi.
Bagi banyak pengguna daring, mengingat dan mengatur ulang ini adalah gangguan yang berulang.
Jadi, sementara kata sandi sudah menjadi hal yang biasa, namun hal ini bukanlah pilihan yang paling aman dan praktis.
Martin Lee adalah Pimpinan Teknis, Riset Keamanan untuk EMEA di Cisco Talos.
Kenyataannya adalah kata sandi tidak bertahan lama seperti dulu dan menjadi mudah ditumbangkan oleh musuh.
Kelelahan kata sandi berarti banyak pengguna sering menggunakan kembali dan mendaur ulang kata sandi mereka, biasanya membuat perubahan kecil pada kredensial yang sudah lemah.
Hal ini membuat pengguna online rentan terhadap serangan terkait kata sandi, seperti serangan credential stuffing, phishing, atau push-bombing.
Untungnya, ada alternatif yang lebih baik: tanpa kata sandi otentikasi. Tanpa kata sandi memungkinkan Anda membuktikan siapa Anda tanpa mengetikkan kata sandi. Sebaliknya, ia menggunakan metode seperti sidik jari, wajah, atau kunci keamanan pada perangkat.
Hal ini tidak hanya memudahkan proses masuk, tetapi juga mempersulit penyerang untuk melakukan pemalsuan. Terlepas dari manfaatnya, mitos tentang autentikasi tanpa kata sandi masih tetap ada.
Mengganti mitos dengan fakta
Mitos umum pertama tentang pendekatan tanpa kata sandi adalah asumsi bahwa pendekatan ini kurang aman dibandingkan autentikasi multifaktor (MFA).
Banyak yang percaya bahwa menghilangkan kata sandi berarti melewatkan lapisan perlindungan yang penting. Pada kenyataannya, pendekatan tanpa kata sandi adalah MFA, namun dengan cara yang sedikit berbeda.
MFA tradisional bergantung pada sesuatu yang Anda miliki, seperti perangkat seluler, dan sesuatu yang Anda ketahui, seperti kata sandi. Otentikasi tanpa kata sandi menggabungkan elemen ‘sesuatu yang Anda ketahui’ dengan diri Anda, misalnya pengenalan wajah atau biometrik Anda.
Menghilangkan kebutuhan akan kata sandi akan menghasilkan pengalaman login yang lancar, dan secara signifikan mengurangi risiko bagi pengguna, platform, dan aplikasi perusahaan yang mereka akses.
Hal ini membuat hampir mustahil bagi penyerang untuk mencuri atau memalsukan login, karena mereka harus menebak pin yang benar dan juga memiliki akses ke biometrik. data.
Manfaat kedua dari autentikasi tanpa kata sandi juga adalah berkurangnya beban tim TI untuk menyelesaikan insiden terkait kata sandi.
Mengingat organisasi yang berbasis di AS mengalokasikan lebih dari $1 juta untuk biaya dukungan terkait kata sandi, penerapan autentikasi tanpa kata sandi dapat menghemat banyak waktu dan anggaran untuk proyek yang lebih kompleks.
Kata sandi bukanlah pin
Mitos umum lainnya tentang autentikasi tanpa kata sandi adalah bahwa pin dapat memiliki poin yang sama keamanan kegagalan sebagai kata sandi. Itu tidak benar. Pin mungkin terlihat seperti kata sandi, tetapi cara kerjanya tidak sama.
Data kata sandi biasanya dikirim melalui internet dan sering kali disimpan di server perusahaan, sehingga kredensial pengguna dapat dilihat oleh musuh eksternal.
Di sisi lain, pin digunakan untuk membuka kunci perangkat secara lokal yang berarti tidak ada apa pun yang dapat diakses oleh penyerang dari jarak jauh. Penyerang tidak hanya harus memiliki perangkat secara fisik untuk mencoba mengaksesnya, namun bahkan jika perangkat dicuri, pin hanya dapat dimasukkan secara salah berkali-kali sebelum perangkat terkunci.
Hal ini membuat akses pin jauh lebih aman dibandingkan kata sandi, dan dikombinasikan dengan data biometrik, pengguna dapat merasa yakin bahwa perangkat mereka sangat kecil kemungkinannya untuk disusupi.
Kata sandi lebih aman daripada biometrik?
Mitos umum ketiga adalah gagasan bahwa kata sandi pada dasarnya lebih aman daripada biometrik. Mitos ini muncul sejak masa awal biometrik, ketika teknologi ini masih dalam tahap awal dan berita utama melaporkan bahwa perangkat ditipu oleh wajah atau sidik jari palsu.
Syukurlah, masa-masa itu telah berlalu, dan banyak kelemahan yang terkait dengan biometrik telah teratasi. Sistem saat ini menggunakan fitur seperti 3D pemetaan, cahaya inframerah, dan deteksi “kehidupan” membuat spoofing menjadi sangat sulit.
Sama seperti pin, biometrik bekerja secara lokal. Saat pengguna mencoba mengautentikasi melalui biometrik, mereka membuka kunci pribadi yang disimpan di perangkat. Kunci tersebut tidak pernah meninggalkan perangkat tempat kunci tersebut disimpan, dan juga tidak dapat ditransfer ke perangkat atau situs lain.
Hal ini membuat biometrik aman dari akses dan serangan jarak jauh, dan berarti penyerang harus memiliki perangkat dan memaksa pemiliknya membuka kunci perangkat tersebut agar dapat mengakses data apa pun.
Tanpa kata sandi: kunci pengalaman masuk tanpa hambatan
Seperti halnya setiap siklus atau kemajuan teknologi baru, autentikasi tanpa kata sandi tunduk pada mitos dan skeptisisme. Bagi banyak organisasi, tanpa kata sandi merupakan landasan penting menuju strategi keamanan zero-trust.
Hal ini dapat membantu organisasi, baik besar maupun kecil, membangun satu pengguna yang kuat identitas dan kepercayaan, serta dapat mengubah pengalaman masuk bagi pelanggan secara signifikan.
Namun penerapan autentikasi tanpa kata sandi tidak dapat dilakukan dalam semalam, dan meskipun janji akan pengalaman pengguna yang lebih baik, pengurangan waktu dan biaya TI, serta postur keamanan yang lebih kuat tampaknya merupakan trifecta yang ideal, organisasi perlu memikirkan dengan hati-hati tentang cara penerapannya.
Membangun pemahaman yang jelas tentang lanskap aplikasi suatu organisasi merupakan titik awal yang penting—memikirkan aplikasi mana yang perlu dilindungi. Hal ini akan membantu tim TI dan keamanan menentukan prasyarat untuk mencapai strategi zero-trust yang menyeluruh.
Dari sana, tim TI harus mempertimbangkan untuk mengadopsi pendekatan sedikit demi sedikit dengan penerapan percontohan autentikasi tanpa kata sandi yang dapat membantu mengatasi masalah awal, dan mengatasi kekhawatiran pengguna.
Tanpa kata sandi bukan sekadar cara baru dan lebih mudah untuk masuk, namun juga memiliki kemampuan untuk mengubah kredensial keamanan organisasi dan perjalanannya menuju zero-trust. Mengambil risiko tanpa kata sandi adalah langkah pertama menuju masa depan autentikasi.
Kami telah menampilkan browser pribadi terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
