Ratusan juta orang menggunakan kata sandi setiap hari — kata sandi membuka kunci perangkat, email, jejaring sosial, dan bahkan rekening bank kita. Namun, kata sandi adalah sebuah semakin lemah cara untuk melindungi diri kita sendiri: Hampir seminggu berlalu tanpa ada berita mengenai kesalahan keamanan yang besar. Minggu ini, itu Cisco — pembuat sebagian besar perangkat keras yang pada dasarnya menggerakkan Internet.
Saat ini, hampir semua orang ingin beralih dari sekadar kata sandi ke kata sandi otentikasi multifaktor: membutuhkan “sesuatu yang Anda miliki” atau “sesuatu tentang diri Anda” selain sesuatu yang Anda ketahui. Teknologi biometrik yang mengukur mata, sidik jari, wajah, dan/atau suara menjadi lebih praktis, namun sering kali gagal bagi sebagian orang, dan sulit untuk menjangkau ratusan juta pengguna.
Video yang Direkomendasikan
Bukankah kita mengabaikan hal yang sudah jelas? Bukankah solusi keamanan multifaktor sudah ada di kantong kita?
Terkait
- 15 smartphone terpenting yang mengubah dunia selamanya
- SMS 2FA tidak aman dan buruk — gunakan 5 aplikasi autentikator hebat ini sebagai gantinya
- Kelelahan berlangganan aplikasi dengan cepat merusak ponsel cerdas saya
Perbankan online
Percaya atau tidak, orang Amerika telah menggunakan autentikasi multi-faktor selama bertahun-tahun setiap kali mereka melakukan perbankan online — atau, setidaknya, versi yang lebih sederhana. Pada tahun 2001, Dewan Pemeriksaan Lembaga Keuangan Federal (FFIEC) mewajibkan layanan perbankan online AS untuk meluncurkan otentikasi multifaktor yang sebenarnya pada tahun 2006.
Ini tahun 2013 dan kami masih masuk ke perbankan online dengan kata sandi. Apa yang telah terjadi?
“Pada dasarnya, bank melakukan lobi,” kata Rich Mogull, CEO dan analis di Keamanan. “Biometrik dan token keamanan dapat bekerja dengan baik jika dilakukan secara terpisah, namun sangat sulit untuk menskalakannya bahkan pada skala perbankan saja. Konsumen tidak mau berurusan dengan banyak hal seperti itu. Kebanyakan orang bahkan tidak memasang kode sandi di ponselnya.”
Jadi, bank mundur. Pada tahun 2005, FFIEC mengeluarkan pedoman yang diperbarui yang memungkinkan bank untuk mengautentikasi dengan kata sandi dan “identifikasi perangkat” — pada dasarnya, membuat profil sistem pengguna. Jika pelanggan masuk dari perangkat yang dikenal, mereka hanya memerlukan kata sandi; jika tidak, pelanggan perlu melewati lebih banyak rintangan — biasanya pertanyaan yang menantang. Idenya adalah bahwa pembuatan profil perangkat berarti memverifikasi sesuatu kepada pengguna memiliki (komputer, smartphone, atau tablet) untuk menyertai kata sandinya tahu.
Bank menjadi lebih canggih dalam mengidentifikasi perangkat, dan pedoman federal yang masih lebih baru mengharuskan bank menggunakan lebih dari sekedar cookie browser yang mudah disalin. Namun sistemnya masih lemah. Semuanya terjadi melalui satu saluran, jadi jika pelaku kejahatan dapat memanfaatkan koneksi pengguna (mungkin dengan pencurian, peretasan, atau malware), semuanya akan berakhir. Lebih jauh lagi, siapa pun diperlakukan seperti pelanggan yang menggunakan perangkat baru — dan sebagai Waktu New York kolumnis David Pogue bisa membuktikannya, pertanyaan keamanan yang dijawab dengan jujur terkadang memberikan sedikit perlindungan.
Namun, keamanan multifaktor pada perbankan online memiliki keterbatasan besar keuntungan bagi konsumen. Bagi sebagian besar pengguna, pembuatan profil perangkat sering kali tidak terlihat dan berfungsi seperti kata sandi — yang hampir semua orang memahaminya.
Google Otentikator
Token digital, kartu keamanan, dan perangkat lain telah digunakan dalam otentikasi multifaktor selama beberapa dekade. Namun, seperti halnya biometrik, sejauh ini belum ada yang terbukti dapat diterapkan pada jutaan orang. Juga tidak ada standar yang tersebar luas, sehingga orang mungkin memerlukan selusin fob, token, stik USB, dan kartu yang berbeda untuk mengakses layanan favorit mereka. Tidak ada yang akan melakukan itu.
Lalu bagaimana dengan ponsel di saku kita? Hampir setahun yang lalu peneliti menemukan hampir 90 persen orang dewasa Amerika memiliki ponsel — hampir setengahnya memiliki ponsel pintar. Angkanya harus lebih tinggi sekarang: pastinya digunakan untuk otentikasi multifaktor?
Itulah ide di baliknya Verifikasi dua langkah Google, yang mengirimkan kode PIN satu kali ke ponsel melalui SMS atau suara saat masuk ke layanan Google. Pengguna memasukkan kata sandi dan kode untuk masuk. Tentu saja, ponsel bisa hilang atau dicuri, dan jika baterai habis atau tidak ada layanan seluler yang tersedia, pengguna akan terkunci. Namun layanan ini dapat digunakan bahkan pada ponsel menengah, dan tentu saja lebih aman – meskipun kurang nyaman – dibandingkan dengan kata sandi saja.
Verifikasi dua langkah Google menjadi lebih menarik Google Otentikator, tersedia untuk Android, iOS, dan BlackBerry. Google Authenticator menggunakan Kata Sandi Satu Kali Berbasis Waktu (TOTP), sebuah standar yang didukung oleh Inisiatif untuk Otentikasi Terbuka. Pada dasarnya, aplikasi ini berisi rahasia terenkripsi dan menghasilkan kode enam digit baru setiap 30 detik. Pengguna memasukkan kode tersebut bersama dengan kata sandinya untuk membuktikan bahwa mereka memiliki perangkat yang benar. Selama jam telepon benar, Google Authenticator berfungsi tanpa layanan telepon; terlebih lagi, kode 30 detiknya dapat digunakan lainnya layanan yang mendukung TOTP: saat ini, itu termasuk Dropbox, Lulus Terakhir, Dan Layanan Web Amazon. Demikian pula, aplikasi lain yang mendukung TOTP dapat bekerja dengan Google.
Tapi ada masalah. Pengguna mengirimkan kode verifikasi pada saluran yang sama dengan kata sandi, sehingga mereka rentan terhadap skenario intersepsi yang sama seperti perbankan online. Karena aplikasi TOTP berisi rahasia, siapa pun (di mana pun di dunia) dapat membuat kode yang sah jika aplikasi atau rahasia tersebut dibobol. Dan tidak ada sistem yang sempurna: Bulan lalu Google memperbaiki masalah yang memungkinkannya total pengambilalihan akun melalui kata sandi khusus aplikasi. Seru.
Kemana kita pergi setelah ini?
Masalah terbesar dengan sistem seperti verifikasi dua langkah Google adalah bahwa sistem tersebut menyusahkan. Apakah Anda ingin mengutak-atik ponsel dan kode Anda setiap saat Anda masuk ke suatu layanan? Apakah orang tua, kakek-nenek, teman, atau anak-anak Anda? Kebanyakan orang tidak. Bahkan para pecinta teknologi yang menyukai faktor keren (dan keamanan) mungkin akan merasa canggung dalam prosesnya hanya dalam beberapa minggu.
Angka-angka menunjukkan bahwa rasa sakit itu nyata. Pada bulan Januari, Google menyediakan Kabel Robert MacMillan grafik adopsi dua langkah, termasuk paku menemani “Mat Honan”Peretasan Epik” artikel Agustus lalu. Perhatikan sumbu mana yang tidak memiliki label? Perwakilan Google menolak menyebutkan berapa banyak orang yang menggunakan autentikasi dua faktornya, namun Wakil Presiden Keamanan Google Eric Grosse mengatakan kepada MacMillan bahwa seperempat juta pengguna mendaftar setelah artikel Honan. Berdasarkan metrik tersebut, perkiraan saya adalah sekitar 20 juta orang telah mendaftar hingga saat ini — hampir tidak mengurangi 500+ juta orang Google klaim memiliki akun Google+. Angka tersebut sepertinya masuk akal bagi seorang karyawan Google yang tidak mau disebutkan namanya: Dia memperkirakan kurang dari sepuluh persen pengguna Google+ “aktif” yang telah mendaftar. “Dan tidak semua dari mereka mematuhinya,” katanya.
“Ketika Anda memiliki audiens yang tidak terkendali, Anda tidak dapat melakukan perilaku apa pun di luar perilaku dasar – terutama jika Anda belum memberikan alasan kepada audiens tersebut untuk melakukan hal tersebut. ingin perilaku itu,” kata Christian Hessler, CEO perusahaan otentikasi seluler Pastikan Langsung. “Tidak mungkin Anda melatih satu miliar orang untuk melakukan sesuatu yang tidak ingin mereka lakukan.”
LiveEnsure mengandalkan pengguna yang melakukan verifikasi out-of-band menggunakan perangkat seluler mereka (atau bahkan melalui email). Masukkan nama pengguna saja (atau gunakan layanan masuk tunggal seperti Twitter atau Facebook), dan LiveEnsure memanfaatkan konteks pengguna yang lebih luas untuk mengautentikasi: tidak diperlukan kata sandi. Saat ini, LiveEnsure menggunakan “line-of-sight” — pengguna memindai kode QR di layar menggunakan ponsel mereka untuk mengonfirmasi login mereka — tetapi metode verifikasi lainnya akan segera hadir. LiveEnsure menghindari intersepsi dengan menggunakan koneksi terpisah untuk verifikasi, namun juga tidak bergantung pada rahasia bersama di browser, perangkat, atau bahkan layanannya. Jika sistem di-crack, LiveEnsure mengatakan setiap bagian tidak memiliki nilai bagi penyerang.
“Apa yang ada dalam database kami dapat dikirimkan dalam bentuk CD sebagai hadiah Natal, dan itu akan sia-sia,” kata Hessler. “Tidak ada rahasia yang terungkap, satu-satunya transaksi adalah ya atau tidak.”
Pendekatan LiveEnsure lebih mudah dibandingkan memasukkan PIN, namun tetap mengharuskan pengguna mengutak-atik perangkat seluler dan aplikasi untuk login. Pihak lain bertujuan untuk membuat prosesnya lebih transparan.
terlalu banyak memanfaatkan kesadaran perangkat seluler akan lokasi mereka melalui GPS atau Wi-Fi sebagai cara untuk mengautentikasi pengguna secara transparan — setidaknya, dari lokasi yang telah disetujui sebelumnya.
“Toopher membawa lebih banyak konteks pada keputusan autentikasi agar tidak terlihat,” kata pendiri dan CTO Evan Grimm. “Jika pengguna biasanya berada di rumah melakukan perbankan online, pengguna dapat mengotomatiskannya untuk membuat keputusan tidak terlihat.”
Otomatisasi tidak diperlukan: Pengguna dapat mengonfirmasi di perangkat seluler mereka setiap saat, jika mereka mau. Namun jika pengguna memberi tahu Toopher apa yang normal, mereka hanya perlu membawa ponsel di saku dan otentikasi terjadi secara transparan. Pengguna cukup memasukkan kata sandi dan yang lainnya tidak terlihat. Jika perangkat berada di lokasi yang tidak diketahui, pengguna perlu mengonfirmasi di ponsel mereka — dan jika tidak, tidak konektivitas, Toopher kembali ke PIN berbasis waktu menggunakan teknologi yang sama seperti Google Pengautentik.
“Toopher tidak mencoba mengubah pengalaman pengguna secara mendasar, kata Grimm. “Masalah dengan solusi multifaktor lainnya bukan karena solusi tersebut tidak menambahkan perlindungan, namun solusi tersebut mengubah pengalaman pengguna, sehingga menimbulkan hambatan dalam penerapannya.”
Anda harus ikut serta dalam permainan
Kata sandi tidak akan hilang, namun akan ditambah dengan lokasi, PIN satu kali, solusi garis pandang dan garis suara, biometrik, atau bahkan informasi tentang perangkat Bluetooth dan Wi-Fi terdekat. Ponsel pintar dan perangkat seluler tampaknya merupakan cara yang paling mungkin untuk menambahkan lebih banyak konteks untuk autentikasi.
Tentu saja Anda harus ikut serta dalam permainan tersebut jika ingin bermain. Tidak semua orang memiliki ponsel cerdas, dan teknologi autentikasi baru mungkin mengecualikan pengguna yang tidak memiliki teknologi terkini, sehingga menjadikan seluruh dunia lebih rentan terhadap peretasan dan pencurian identitas. Keamanan digital dapat dengan mudah menjadi sesuatu yang membedakan kelompok kaya dan kelompok miskin.
Dan, sejauh ini, belum diketahui solusi apa yang akan memberikan hasil terbaik. Toopher dan LiveEnsure hanyalah dua dari banyak pemain, dan mereka semua menghadapi masalah ayam-dan-telur: Tanpa adopsi oleh pengguna dan layanan, mereka tidak akan membantu siapa pun. Toopher baru-baru ini mendapatkan $2 juta dalam pendanaan awal; LiveEnsure sedang berbicara dengan beberapa nama besar dan berharap untuk segera keluar dari mode siluman. Namun masih terlalu dini untuk mengatakan di mana orang tersebut akan berakhir.
Sementara itu, jika layanan yang Anda andalkan menawarkan segala bentuk autentikasi multifaktor — baik melalui SMS, aplikasi ponsel cerdas, atau bahkan panggilan telepon — pertimbangkan hal tersebut dengan serius. Ini hampir pasti merupakan perlindungan yang lebih baik daripada kata sandi saja… meskipun itu juga hampir pasti merepotkan.
Gambar melalui stok foto / Adam Radosavljevic
[Diperbarui pada 24-Mar-2013 untuk memperjelas detail tentang FFIEC dan LiveEnsure, dan memperbaiki kesalahan produksi.]
Rekomendasi Editor
- Cara menemukan file yang diunduh di iPhone atau ponsel pintar Android Anda
- Paket Google One Anda baru saja mendapat 2 pembaruan keamanan besar untuk menjaga Anda tetap aman saat online
- Bagaimana ponsel cerdas Anda dapat menggantikan kamera profesional pada tahun 2023
- Google Pixel 6 adalah smartphone yang bagus, tetapi apakah itu cukup untuk meyakinkan pembeli?
- Pimpinan Google mengatakan dia ‘kecewa’ dengan program keamanan iPhone baru Apple
