Tidak semua metode otentikasi cocok untuk tantangan di tahun 2025, tetapi ada pilihan terbaik yang sudah ada di depan mata
Selama bertahun-tahun, industri telah terjebak dalam upaya meningkatkan (atau memperbarui) kata sandi, menggunakan berbagai istilah yang membingungkan seperti otentikasi dua faktor (2FA), otentikasi dua langkah, otentikasi multifaktor (MFA), dan kebingungan modern lainnya seperti faktor kedua universal (U2F), Fast IDentity Online 2 (FIDO2), WebAuthn, dan passkey.
Hingga saat ini, kebanyakan dari kita cukup puas jika seseorang mengadopsi salah satu metode di atas. Apa pun yang lebih dari sekadar kata sandi adalah peningkatan, tetapi kini kita telah sampai pada titik di mana kita perlu meningkatkan standar penerimaan. Dalam tulisan ini, saya akan melihat keadaan terkini tentang cara menghindari metode otentikasi “lebih kuat” – dan, saya percaya, menunjukkan jalan terbaik ke depan.
Tidak Cukup Cerdas
Terlalu banyak opsi “2FA” yang paling sederhana tidak benar-benar mencerminkan apa yang seharusnya menjadi otentikasi dua faktor. Idealnya, dua faktor tersebut adalah dua dari tiga tipe berikut: sesuatu yang Anda ketahui (seperti kata sandi atau PIN), sesuatu yang Anda miliki (seperti token USB/Bluetooth, SmartCard, atau pasangan kunci publik/pribadi), atau sesuatu yang Anda miliki (seperti sidik jari atau pemindaian wajah). Sayangnya, sebagian besar solusi awal hanya berupa sesuatu yang Anda ketahui dan… sesuatu lain yang Anda ketahui.
Ambil contoh token RSA, pesan teks SMS, atau TOTP (kata sandi sekali pakai berbasis waktu; misalnya, Google Authenticator atau Authy) sebagai “2FA”, di mana dalam kebanyakan kasus Anda diberikan kode 6 digit yang berputar setiap 30 detik. Meskipun orang-orang mengkritik implementasi SMS karena kemungkinan adanya pertukaran SIM, kenyataannya adalah semuanya lemah dan rentan terhadap penyadapan.
Berikut adalah masalahnya. Bayangkan Anda menerima email phishing yang dirancang dengan baik (mungkin yang dihasilkan oleh AI?). Agar penipu berhasil memengaruhi Anda di tahap ini, Anda harus meyakini bahwa email tersebut sah, apakah Anda menggunakan otentikasi multifaktor atau tidak. Inilah mengapa menantang seseorang untuk dua hal yang mereka ketahui (kata sandi mereka dan kode rahasia yang dihasilkan secara dinamis) berakhir dengan air mata: Jika Anda benar-benar berpikir Anda sedang login ke bank, email, atau akun perusahaan Anda, Anda akan dengan senang hati mengungkapkan tidak hanya kata sandi Anda, tetapi juga kode rahasia tersebut. Jenis otentikasi ini hanya satu arah; penipu memverifikasi identitas Anda, tetapi Anda belum memverifikasi identitas entitas yang meminta bukti tersebut.
Faktanya, ada alat yang tersedia secara bebas untuk mengotomatiskan penipuan ini. Salah satu yang lebih populer disebut evilginx2. Awalnya berbasis pada server web populer nginx, kini menjadi aplikasi Go mandiri yang berfungsi sebagai alat serba ada untuk memancing otentikasi berbasis pengetahuan dan mencuri cookie sesi untuk melewati otentikasi. Ini telah menurunkan batasan bagi tindakan buruk ke tingkat yang baru.
Bagaimana Kita Bisa Sampai di Sini?
Jika kita melihat sejarah pelanggaran kredensial, semuanya dimulai dengan sniffing Wi-Fi yang tidak terenkripsi atau melakukan serangan berbasis jaringan lainnya sebelum semuanya dienkripsi. Pada tahun 2010, ada alat terkenal bernama FireSheep yang dirancang untuk memungkinkan penyerang mengunjungi kafe dan secara pasif mencuri login orang karena kurangnya enkripsi di web.
Sebagai tanggapan atas serangan ini, dan setelah kebocoran Edward Snowden pada tahun 2013, kami mulai mengenkripsi hampir semua hal secara online. Perubahan ini mengamankan kita dari serangan yang disebut serangan mesin di tengah (MitM). Sekarang kami hampir menggunakan HTTPS secara universal di seluruh web dan bahkan di aplikasi smartphone kami, yang menghentikan orang acak untuk menangkap apa pun yang Anda lihat atau lakukan secara online.
Para penjahat kemudian beralih ke pencurian kredensial, dan sebagian besar dari kita telah beralih ke beberapa variasi otentikasi multifaktor, tetapi sekali lagi, biasanya hanya variasi yang termurah dan termudah — sesuatu yang kita ketahui, ditambah sesuatu yang lain yang kita ketahui. Ini adalah penghalang yang tidak efektif, dan kita harus bergerak maju sekali lagi.
Konsensus industri telah, setelah banyak pertemuan komite dan pembentukan badan standar, menetapkan standar yang disepakati secara luas yang dikenal sebagai Web Authentication API, atau WebAuthn. Jika Anda ingin menggali lebih dalam tentang kebingungannya, ada thread Reddit untuk itu, tetapi saya tidak akan terlalu masuk ke dalam rumitnya hal tersebut di sini.
Jalan Menuju WebAuthn
WebAuthn/passkey menjadikan otentikasi multifaktor hampir kebal terhadap phishing. Tentu saja, tidak ada yang sempurna, dan penelitian terbaru telah menemukan vektor serangan MitM yang terbatas tetapi menarik yang melibatkan perangkat keras khusus dan CVE yang telah diperbaiki, tetapi mulai sekarang kita akan menyebutnya otentikasi multifaktor yang tahan terhadap phishing.
Mari kita jalani prosesnya. Saya ingin membuat akun di situs media sosial populer. Menggunakan smartphone atau komputer saya dengan dukungan passkey, saya memilih untuk membuat akun baru dengan passkey. Situs meminta saya untuk memilih nama pengguna yang diinginkan (biasanya alamat email saya). Perangkat saya mengirimkan nama pengguna ke situs, dan situs merespons dengan nama pengguna saya, tantangan, dan nama domain situs. Perangkat saya menghasilkan pasangan kunci kriptografis unik, menyimpannya dengan aman bersama nama situs dan nama pengguna, menandatangani tantangan dari situs, dan melampirkan kunci publik terkait agar situs dapat menggunakannya sebagai pengidentifikasi saya.
Saat saya mengunjungi situs ini lagi, saya tidak perlu atau menggunakan kata sandi lagi, yang dengan definisi ini hanyalah rahasia bersama dan bisa dicuri atau diputar ulang. Sebagai gantinya, seperti yang ditunjukkan pada Gambar 1, saya mengirimkan nama pengguna yang sesuai dengan nama domain situs itu. Situs merespons dengan tantangan. Perangkat saya mencari kunci untuk nama domain itu dan menggunakannya untuk menandatangani tantangan, membuktikan identitas saya.
Gambar 1: Alur pengalaman pengguna WebAuthn sangat mulus, dengan sebagian besar aksi terjadi di antara penyedia kredensial pengguna, browser, dan situs.
Untuk informasi lebih lanjut, vertx.io memiliki penjelasan berfokus pada pengembang mengenai mekanisme proses ini.
Apa yang Mungkin Salah?
Dengan kombinasi titik data ini, kunci tidak bisa dengan mudah dicuri atau digunakan kembali, dan saya tidak bisa ditipu untuk mencoba masuk ke situs palsu dengan nama domain yang mirip. (Ada sedikit permukaan serangan di sini juga: Jika Anda menambahkan passkey untuk zuzax.com dan saya bisa membuat subdomain di bawah kendali saya sebagai penyerang, misalnya phish.zuzax.com, saya bisa membuat Anda menandatangani tantangan yang diputar ulang.)
Selain perangkat saya, tempat penyimpanan kunci menentukan keamanannya terhadap pencurian dan penyalahgunaan. Menggunakan token perangkat keras U2F, seperti YubiKey atau SmartCard, memastikan kunci terkunci pada perangkat tersebut dan tidak dapat diekstraksi, dan pencurian fisik adalah satu-satunya opsi praktis. Beberapa token perangkat keras juga memerlukan biometrik, PIN, atau passphrase untuk membuka kunci. Dengan hadirnya passkeys, kunci rahasia dapat disinkronkan melalui cloud vendor OS Anda (iCloud, Google Drive, OneDrive) atau melalui pengelola kata sandi Anda (Bitwarden, 1password, dll.), yang membuatnya lebih rentan terhadap pencurian jika akun Anda dikompromikan.
Dan, tentu saja, ini harus diimplementasikan. Beban implementasi terletak pada situs (di mana kita telah membuat kemajuan yang cukup cepat dalam tahun lalu) dan, seperti biasa, pada perusahaan yang harus mengaktifkan dan menggunakannya di lingkungan spesifik mereka. Ini tidak jauh berbeda dengan nasihat konstan kami kepada praktisi keamanan untuk memperlakukan MFA sebagai kebersihan dasar (bersama dengan patching dan menonaktifkan RDP yang tidak perlu), tetapi itu masih harus dianggarkan dan dilakukan.
Kelemahan terakhir yang tersisa adalah cookie sesi yang diatur setelah login, tetapi itu adalah topik untuk artikel lain.
Ini Berjalan Dua Arah (dan Membawa Kita Maju)
Sebagai pengguna, saya seharusnya dapat membuktikan identitas saya kepada perangkat saya dengan menggunakan PIN, sidik jari, atau pemindaian wajah, dan perangkat melakukan pekerjaan otentikasi kedua belah pihak. Itu adalah bagian terpenting dari transaksi ini — dua arahannya.
Kita semua tahu bahwa pencurian kata sandi adalah masalah, dan kita sebenarnya hanya memperpanjang masa berlaku kata sandi dengan mencoba menambahkannya dengan otentikasi berbasis pengetahuan lainnya. Informasi bisa dan akan dicuri, disadap, dan diputar ulang. Jika kita benar-benar ingin memiliki otentikasi multifaktor, kita harus melampaui pengetahuan dan meminta bukti yang lebih kuat.
Ini adalah kesempatan untuk bergerak melampaui keamanan yang menjadi sumber gesekan bagi pengguna; sebenarnya, ini secara aktif meningkatkan keamanan sambil mengurangi gesekan. Implementasi passkey saat ini bisa merepotkan dan canggung, tetapi saya yakin mereka yang mengadopsinya akan mendapat manfaat terbesar, dan dalam waktu singkat kita akan menyelesaikan tantangan antarmuka pengguna. Kita tidak punya pilihan. Ini adalah solusi terbaik yang tersedia bagi kita dan para penjahat tidak akan menunggu kita berdebat mengenai kelebihannya.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!