Kata Sandi Adalah W0r$T!—Saatnya Mengadopsi Otentikasi Tanpa Kata Sandi
Diterbitkan: 2022-05-07Alih-alih mencoba membuat kata sandi lebih kuat, inilah saatnya bagi bisnis Anda untuk mulai menghapusnya sama sekali.
Semua orang tahu bahwa kata sandi secara inheren rentan terhadap ancaman keamanan siber. Itulah mengapa Anda terus-menerus didesak untuk menggunakan otentikasi multi-faktor (MFA), yang hingga saat ini berarti menambahkan lapisan atau lebih perlindungan ke kata sandi Anda. Namun dalam beberapa tahun terakhir, keragaman yang berkembang dan ketersediaan metode otentikasi alternatif telah membuat Anda, sebagai pemimpin bisnis, dapat mulai menerapkan MFA tanpa kata sandi.
Survei Otentikasi Tanpa Kata Sandi tahun 2022 kami baru-baru ini menemukan bahwa 82% pemimpin bisnis siap untuk mengadopsi metode tanpa kata sandi. Jadi mari kita bicara tentang bagaimana bisnis Anda dapat mulai meningkatkan keamanannya dengan membuang kata sandi—meskipun itu hanya sebagian saja.
1. Sebagian besar pemimpin bisnis (82%) bersedia mengadopsi metode otentikasi tanpa kata sandi.
2. Metode otentikasi yang paling populer (43%) adalah dengan menggunakan sesuatu yang Anda ketahui (misalnya, kode sandi), tetapi menggunakan sesuatu yang Anda miliki (misalnya, sidik jari) hanya beberapa poin persentase di belakang (38%).
3. Sebagian besar bisnis (56%) sekarang diwajibkan oleh peraturan untuk menggunakan otentikasi multi-faktor dan sebagian besar (17%) harus menggunakannya untuk mematuhi polis asuransi siber.
Kata sandi menyebabkan gesekan bagi pengguna, yang menyebabkan keamanan yang lebih lemah
Agar kata sandi bernilai apa pun, itu harus kuat. Pada tahun 2022, itu berarti setidaknya dua belas karakter termasuk campuran angka, karakter khusus, dan huruf besar dan kecil. Dan pastikan untuk menggunakan kata sandi unik untuk setiap akun. Oh, dan Anda harus mengubahnya secara teratur. Jika Anda lupa kata sandi, lakukan saja proses berbelit-belit untuk membuat kata sandi baru atau tunggu di meja bantuan.
Dengan kata lain, kata sandi menawarkan pengalaman pengguna yang buruk—itulah sebabnya sebagian besar pengguna tidak mau repot mengikuti protokol kata sandi dasar.
77% responden kami yang mengkhawatirkan menggunakan kata sandi yang sama untuk beberapa akun setidaknya dalam beberapa waktu —hampir setengah (46%) dari persentase tersebut mengaku sering menggunakan kembali kata sandi . Ini adalah masalah serius karena penggunaan kembali kata sandi adalah pendorong utama serangan pengambilalihan akun dan pelanggaran data. Ketika ditanya bagaimana mereka mengingat kata sandi mereka, 26% menuliskannya di atas kertas, 25% menyimpannya dalam dokumen online, dan 21% menggunakan informasi yang bermakna secara pribadi.
Kata sandi menawarkan keamanan yang relatif lemah dalam keadaan terbaik, tetapi seperti yang ditunjukkan oleh penelitian kami, banyak pengguna meninggalkan diri mereka sendiri (dan perusahaan mereka) hampir tidak berdaya. Hal ini membuat perusahaan Anda rentan terhadap skema phishing, keylogger, serangan brute force, dan sejumlah taktik lain yang digunakan penjahat dunia maya untuk mengalahkan kata sandi.
Jadi apa sebenarnya otentikasi tanpa kata sandi itu?
Persis seperti yang terdengar—otentikasi tanpa menggunakan kata sandi. Tapi itu tidak sesederhana itu. Anda tidak dapat menelepon seseorang dan mengatakan "Saya ingin memesan beberapa otentikasi tanpa kata sandi." Jangan menganggap tanpa kata sandi sebagai tujuan—anggap itu sebagai tujuan, dan kemajuan apa pun yang Anda buat untuk mencapai tujuan menghilangkan kata sandi membuat perusahaan Anda lebih aman.
Sebelum kita melangkah lebih jauh, mari kita uraikan alternatif dan apa yang orang pikirkan tentang mereka. Ada tiga tipe dasar otentikasi:
|
Saat ini, lebih dari dua dari lima orang (43%) masih lebih suka menggunakan sesuatu yang mereka ketahui—ini tidak mengejutkan karena penggunaan kata sandi, PIN, dan pertanyaan keamanan telah menjadi metode otentikasi paling umum selama beberapa dekade. Apa yang mungkin mengejutkan adalah bahwa lebih dari satu dari tiga (38%) lebih memilih untuk menggunakan apa adanya, juga dikenal sebagai otentikasi biometrik. Membulatkan hasil kami, sekitar satu dari lima (19%) lebih suka menggunakan sesuatu yang mereka miliki.
Pertimbangkan preferensi ini saat kami menggali alternatif kata sandi dan opsi yang mungkin paling cocok untuk karyawan di perusahaan Anda.
Tingkatkan keamanan dengan mengadopsi otentikasi tanpa kata sandi
Jika otentikasi tanpa kata sandi dapat meningkatkan keamanan, apakah Anda bersedia untuk beralih? Kami mengajukan pertanyaan ini kepada 389 pemimpin bisnis, dan 82% menjawab ya. Dan meskipun autentikasi tanpa kata sandi dapat dilakukan sebagai satu faktor (misalnya, gunakan sidik jari Anda untuk membuka kunci ponsel), bisnis harus menggunakan MFA untuk melindungi akses ke sistem penting dan data sensitif.
Untungnya, hampir semua pemimpin bisnis (95%) mengatakan perusahaan mereka menggunakan MFA setidaknya untuk beberapa aplikasi bisnis—55% mengatakan mereka menggunakannya untuk semua aplikasi. Angka-angka itu terus meningkat selama bertahun-tahun kami mengajukan pertanyaan itu. Salah satu alasannya adalah bahwa MFA bukan hanya praktik terbaik, tetapi semakin dibutuhkan. Lebih dari setengah (56%) pemimpin bisnis yang kami survei mengatakan bahwa perusahaan mereka diwajibkan untuk menggunakan MFA oleh peraturan (misalnya, HIPAA, PCI DSS, SOX), dan 17% diwajibkan untuk melakukannya oleh polis asuransi cyber.
Dengan semua itu, mari kita lihat cara kerja MFA tanpa kata sandi.
Aktifkan MFA tanpa kata sandi dengan token otentikasi
Token otentikasi adalah perangkat keras (atau objek data) yang terhubung dengan identitas seseorang untuk memungkinkan akses ke aset digital. Token, biasanya ponsel cerdas atau kunci perangkat keras USB, dianggap memiliki identitas pribadi yang terikat padanya.
Phone-as-a-token telah ada selama bertahun-tahun dan terdiri dari out-of-band (OOB), one time password (OTP), dan semakin banyak, otentikasi kode QR. Baru-baru ini, token kunci publik telah berkembang dan bisa menjadi masa depan otentikasi berbasis token. Mari kita lihat bagaimana berbagai jenis token ini digunakan.
Otentikasi out-of-band (OOB)
Beberapa metode OOB mengirim kode ke email Anda atau cukup mengirim "tautan ajaib" yang dapat Anda klik untuk mendapatkan akses instan ke layanan. Perlu dicatat bahwa penggunaan email dan tautan ajaib dalam skema tanpa kata sandi dipertanyakan karena kebanyakan orang menggunakan kata sandi untuk mengakses akun email tempat mereka menerima kata sandi atau tautan satu kali.
Otentikasi OOB dirancang untuk menggunakan dua saluran berbeda untuk otentikasi, seperti koneksi internet dan jaringan nirkabel. Contoh umum otentikasi OOB adalah ketika Anda menerima pesan SMS atau panggilan suara otomatis di ponsel Anda dengan kode yang kemudian Anda masukkan ke situs web. Metode lain termasuk pemberitahuan push yang lebih aman daripada pesan SMS.
Otentikasi kata sandi satu kali (OTP)
Otentikasi OTP umumnya dilakukan menggunakan aplikasi otentikasi pada ponsel (walaupun perangkat OTP perangkat keras memang ada) untuk menghasilkan kode sementara, yang kemudian dimasukkan untuk mendapatkan akses ke aset digital.
Kode respons cepat (QR)
Kode QR ada di mana-mana mulai dari restoran hingga iklan Super Bowl, dan semakin sering digunakan untuk tujuan keamanan. Dengan menggunakan ponsel cerdas untuk memindai kode QR yang ditampilkan di panel masuk situs web, Anda dapat diautentikasi. Tentu saja, kekurangannya adalah kode QR tidak dapat digunakan untuk mengakses situs dari ponsel itu sendiri.
Token kunci publik
Token kunci publik mengautentikasi menggunakan kriptografi asimetris (yaitu, pasangan kunci publik dan pribadi) dan sering menggunakan sertifikat X.509. Token kunci publik dapat berbasis perangkat lunak atau berbasis perangkat keras termasuk kunci perangkat keras USB, kartu pintar, dan smartphone dan perangkat yang dapat dikenakan dengan bluetooth atau NFC.
Mungkin masa depan otentikasi tanpa kata sandi, Fast Identity Online (FIDO) adalah seperangkat protokol yang menggabungkan token kunci publik dan dirancang khusus untuk mengurangi ketergantungan pada kata sandi. Otentikasi FIDO menggunakan dua langkah, satu untuk membuka kunci autentikator dan yang berikutnya untuk menghasilkan kunci kriptografi yang diperlukan untuk otentikasi dengan layanan online.
Faktor yang digunakan pada langkah pertama, untuk membuka kunci pada perangkat lokal, dapat dipilih dari opsi apa pun yang tersedia, seperti sidik jari, memasukkan PIN, atau memasukkan perangkat keras khusus (misalnya, YubiKey). Setelah membuka kunci autentikator FIDO, perangkat menyediakan kunci pribadi yang benar yang sesuai dengan kunci publik penyedia layanan. Informasi yang diberikan pada langkah pertama tetap bersifat pribadi, tidak pernah meninggalkan perangkat pengguna.
Mengautentikasi dengan sesuatu yang Anda ketahui (tetapi bukan kata sandi!), sesuatu tentang diri Anda, dan yang lainnya
Otentikasi tanpa kata sandi dapat menggunakan sesuatu yang Anda ketahui, selama itu bukan kata sandi. Alternatif yang paling umum adalah PIN. Dan sementara PIN mungkin tampak mirip dengan kata sandi, itu sangat berbeda. PIN biasanya digunakan untuk membuka kunci perangkat lokal, seperti kartu debit. Tanpa PIN, kartu bank Anda tidak berguna. Sebaliknya, kata sandi dicocokkan dengan informasi yang disimpan dalam database pusat dan rentan terhadap dirinya sendiri.
Metode umum lainnya di bidang ini termasuk pengenalan gambar dan pola. Selama pendaftaran, beberapa layanan akan meminta Anda untuk memilih gambar. Kemudian, saat mengautentikasi, Anda memilih gambar dari beberapa opsi. Demikian pula, otentikasi pengenalan pola mengharuskan Anda untuk mengingat titik-titik yang telah dipilih sebelumnya pada gambar atau kisi.
Otentikasi biometrik menjadi lebih diterima
Otentikasi biometrik menggunakan karakteristik fisik yang unik, seperti wajah atau sidik jari Anda, untuk mengotentikasi identitas Anda. Teknologi biometrik menjadi arus utama, terutama ketika digunakan untuk tujuan keamanan. Survei kami menemukan bahwa 76% konsumen merasa nyaman menggunakan pengenalan wajah untuk mengakses komputer atau ponsel mereka. Mungkin yang lebih mengejutkan, 64% merasa nyaman menggunakannya untuk masuk ke akun online.
Otentikasi biometrik terintegrasi dengan cepat dengan metode telepon sebagai token. Ponsel cerdas memiliki mikrofon, kamera, dan pemindai sidik jari, yang semuanya dapat digunakan untuk mendukung berbagai mode otentikasi biometrik yang secara bersamaan mengonfirmasi kepemilikan perangkat.
Otentikasi kontekstual menawarkan fleksibilitas untuk pengguna tanpa kata sandi
Selain secara aktif mengonfirmasi identitas Anda, metode autentikasi kontekstual secara pasif mendeteksi risiko menggunakan faktor-faktor seperti lokasi, aktivitas, dan pengidentifikasi perangkat. Juga dikenal sebagai otentikasi berbasis sinyal, proses ini memungkinkan skenario tanpa kata sandi akhir yang dikenal sebagai otentikasi faktor nol (0FA), di mana pengguna diberikan akses jika tidak ada sinyal risiko. Jika sistem tidak yakin, pengguna hanya diminta untuk mengukur otentikasi seperti PIN atau sifat biometrik.
Model lanjutan seperti kepercayaan adaptif berkelanjutan (CAT) menggunakan pembelajaran mesin untuk menganalisis kumpulan variabel yang lebih kaya tentang pengguna untuk menentukan risiko, seperti mengukur tekanan penekanan tombol atau mengenali gerakan spesifik pengguna saat berjalan dengan perangkat.
Tiga langkah yang dapat Anda ambil untuk menerapkan otentikasi tanpa kata sandi
Seperti yang disebutkan, tanpa kata sandi itu aspiratif (setidaknya untuk saat ini), dan setiap langkah yang Anda ambil akan meningkatkan postur keamanan Anda secara keseluruhan. Dengan semangat itu, mari kita lihat tiga langkah yang dapat Anda ambil untuk mulai mengurangi jumlah kata sandi di perusahaan Anda.
Berkolaborasi dengan pemangku kepentingan untuk mengidentifikasi prioritas dan preferensi
Dapatkan dukungan dari pemangku kepentingan utama dengan menjelaskan secara tepat bagaimana menjauh dari kata sandi akan menguntungkan tim mereka dan membuat pekerjaan mereka lebih mudah. Tentukan prioritas untuk peningkatan keamanan, pelajari bagaimana alur kerja mungkin terpengaruh, dan identifikasi preferensi untuk metode autentikasi baru.
Optimalkan alat yang ada yang memungkinkan metode tanpa kata sandi
Catat dan manfaatkan opsi tanpa kata sandi yang sudah Anda miliki. Misalnya, jika bisnis Anda sudah menggunakan Windows 10, Anda dapat menggunakan Windows Hello for Business yang menggabungkan metode autentikasi lokal, seperti autentikasi biometrik atau berbasis perangkat.
Ajukan pertanyaan berikut:
- Opsi tanpa kata sandi apa yang sudah tersedia?
- Bisakah kita mengubah alur otentikasi saat ini untuk menghindari kata sandi?
- Akankah perubahan ini pada akhirnya mengurangi gesekan bagi pengguna?
Alihkan investasi masa depan ke alat yang siap tanpa kata sandi
Untuk mempersiapkan perusahaan Anda dalam adopsi universal autentikasi tanpa kata sandi, penting untuk menyederhanakan jalur migrasi Anda dari waktu ke waktu dengan mengalihkan investasi saat ini dan masa depan jika memungkinkan. Saat membeli perangkat lunak baru, pertimbangkan ketersediaan opsi otentikasi yang memanfaatkan biometrik, telepon sebagai token, dan protokol yang muncul seperti FIDO2.
Ketergantungan kami pada kata sandi akan segera berlalu
Kami akhirnya akan tiba di masa depan di mana Anda tidak perlu mengingat kata sandi, server tidak harus menyimpannya, dan peretas tidak dapat mengeksploitasinya. Itu adalah dunia digital yang jauh lebih aman daripada yang kita tinggali saat ini. Tapi itu akan terjadi sedikit demi sedikit dan akan membutuhkan cara berpikir baru tentang keamanan, seperti bukti tanpa pengetahuan dan model keamanan tanpa kepercayaan (keduanya akan kita selami selama laporan penelitian mendatang).
Trennya adalah menjauh dari kata sandi dan menuju bentuk otentikasi yang lebih pribadi, kontekstual, dan tanpa gesekan.
Metodologi
Capterra melakukan Survei Otentikasi Tanpa Kata Sandi 2022 pada Januari 2022 di antara 974 konsumen, termasuk 389 pemimpin bisnis yang melaporkan tanggung jawab manajemen atau lebih tinggi untuk mempelajari tentang sikap terhadap berbagai metode autentikasi dan penggunaannya oleh bisnis AS.