Credit image: Pixabay
Konsep otentikasi “tanpa kata sandi” tengah mendapatkan perhatian industri dan media yang signifikan. Kehidupan digital kita menuntut semakin banyak akun dan layanan online, dengan praktik terbaik keamanan yang menyatakan bahwa masing-masing memerlukan kata sandi yang kuat dan unik untuk memastikan data tetap aman. Siapa yang tidak menginginkan cara yang lebih mudah?
Itulah premis di balik kata sandi satu kali (OTP), biometrik, kode pin, dan metode otentikasi lainnya yang disajikan sebagai keamanan tanpa kata sandi. Daripada mengingat kata sandi yang rumit, pengguna dapat mengotentikasi diri mereka sendiri menggunakan sesuatu yang mereka miliki, ketahui, atau miliki.
Beberapa contohnya termasuk smartphone, OTP, token perangkat keras, atau penanda biometrik seperti sidik jari. Meskipun ini terdengar menarik di permukaan, masalahnya adalah, ketika Anda menggali lebih dalam, solusi tanpa kata sandi ini masih bergantung pada kata sandi.
Ini terjadi dalam dua cara:
Solusi tanpa kata sandi andalkan kata sandi sebagai pengganti
Jika memiliki perangkat Apple, kemungkinan Anda mengalami masalah dengan Touch ID di beberapa titik. Ada banyak alasan mengapa otentikasi Touch ID mungkin gagal, posisi jari pengguna, atau masalah dengan konfigurasi sistem, dan masih banyak lagi.
Ketika masalah ini dan masalah lainnya muncul, apa yang diminta untuk Anda lakukan? Masukkan kata sandi Anda.
Artinya, meskipun telah mengaktifkan Touch ID untuk setiap aplikasi dan layanan yang memungkinkan, keamanan akun ini masih tergantung kata sandi, dengan begitu peretas dapat mengabaikan Touch ID dan langsung menuju ke serangan kata sandi.
Mengingat masalah penggunaan ulang kata sandi yang merajalela, ada kemungkinan besar kredensial yang digunakan banyak orang untuk perangkat Apple mereka telah terungkap. Dan jika kata sandi terungkap, yakinlah bahwa itu bisa diakses oleh semua peretas yang bisa mendapatkannya melalui Dark Web.
Karena solusi autentikasi yang muncul ini relatif baru, alat autentikasi cadangan akan diperlukan di masa mendatang. Dan jika Anda menganggap bahwa bentuk login sekunder ini umumnya adalah kata sandi, janji tanpa kata sandi tetap sulit dipahami.
Kredensial untuk mengautentikasi sistem di backend
Faktor kedua yang berkontribusi pada khayalan tanpa kata sandi adalah bahwa kredensial biasanya masih diperlukan untuk mengautentikasi sistem di beberapa titik dalam rantai keamanan.
Misalnya, mungkin Anda mendapatkan akses ke kantor Anda melalui token perangkat keras yang secara default menggunakan kode akses unik Anda jika/ketika token rusak atau lupa.
Tapi bagaimana dengan admin IT yang masuk ke sistem untuk menganalisis data? Jika mereka menggunakan kata sandi tanpa solusi pelengkap untuk memastikan integritas kredensial mereka, maka keamanan sistem masih bergantung pada keamanan kata sandi.
Kata sandi tak akan hilang dalam waktu singkat
Dua contoh yang diuraikan di atas menggarisbawahi bahwa konsep tanpa kata sandi sebagian besar masih berupa angan-angan.
Strategi keamanan tak terlihat yang muncul ini memiliki beberapa masalah otentikasi tambahan yang akan membutuhkan kata sandi untuk tetap menjadi bagian dari keamanan otentikasi untuk waktu yang belum dapat diperkirakan.
Sebaliknya, kata sandi masih memiliki banyak daya tarik bagi perusahaan. Mereka adalah opsi otentikasi yang paling terjangkau dan dapat diskalakan, yang membuatnya sulit untuk diganti. Tidak ada masalah kompatibilitas dengan kata sandi yang berfungsi di semua perangkat, versi, dan sistem operasi.
Ini tidak terjadi pada banyak solusi tanpa kata sandi yang muncul, yang akan mengharuskan perusahaan mengalokasikan lebih banyak anggaran jika mereka ingin meningkatkan kompatibilitas.
Manfaat lain dari mengandalkan kata sandi adalah kata sandi itu benar atau salah. Sebaliknya, beberapa opsi tanpa kata sandi bergantung pada pengambilan keputusan probabilistik, di mana ada margin kesalahan bawaan.
Peran otentikasi butuh kata sandi
Konsumen ingin dikenali secara digital tanpa langkah ekstra untuk mengidentifikasi diri mereka, mereka terbuka untuk solusi yang lebih praktis di era digital saat ini.
Kesediaan mungkin ada di pihak konsumen, tetapi kenyataannya adalah tidak ada solusi tunggal yang efektif untuk otentikasi yang aman.
Strategi keamanan yang tidak terlihat ini memiliki tempatnya, tetapi hanya sebagai bagian dari pendekatan keamanan siber yang lebih luas di mana beberapa lapisan otentikasi diterapkan. Ini membawa kita kembali ke kata sandi.
Mengamankan kata sandi
Seperti yang disebutkan di atas, sangat umum bagi orang untuk membuat kata sandi yang sederhana dan mudah diingat yang kemudian mereka gunakan kembali di banyak akun dan layanan.
Sembilan puluh satu persen responden dalam satu survei mengakui bahwa hal ini menimbulkan banyak masalah keamanan, namun 59% mengaku tetap melakukannya.
Tidak realistis mengharapkan perilaku manusia berubah, terutama di dunia pasca pandemi di mana kita memiliki lebih banyak interaksi digital dalam kehidupan pribadi dan profesional kita daripada sebelumnya. Jadi, apa yang dapat dilakukan organisasi untuk memastikan keamanan kata sandi?
Penyaringan kredensial yang disusupi
Dengan pelanggaran data yang terjadi secara real time, satu-satunya pendekatan adalah menyaring kata sandi terhadap database langsung dari kredensial yang dikompromikan di setiap login.
Apakah kata sandi digunakan sebagai alat utama otentikasi atau sebagai cadangan ketika strategi keamanan yang tidak terlihat gagal, sangat penting bahwa perusahaan terus memantau penggunaan kredensial yang terbuka.
Solusi penyaringan kredensial yang dikompromikan secara dinamis memungkinkan organisasi untuk mengotomatiskan proses ini, membebaskan sumber daya untuk fokus pada area keamanan siber lain sambil memastikan perlindungan pada lapisan kata sandi.
Jangan mudah percaya hype tanpa kata sandi
Untuk saat ini, janji akan dunia tanpa kata sandi tetap menjadi fatamorgana. Meskipun ketergantungan kita mungkin berkurang, penghapusan total kata sandi tampaknya tidak mungkin.
Oleh karena itu, dengan kata sandi sebagai bagian dari kehidupan kita di masa mendatang, sangat penting bagi perusahaan untuk melindungi lapisan kata sandi
