Ponsel Anda Akan Segera Mengganti Banyak Kata Sandi Anda – Krebs on Security

apel, Google dan Microsoft mengumumkan minggu ini bahwa mereka akan segera mendukung pendekatan otentikasi yang menghindari kata sandi sama sekali, dan sebaliknya mengharuskan pengguna untuk hanya membuka kunci ponsel cerdas mereka untuk masuk ke situs web atau layanan online. Para ahli mengatakan perubahan itu akan membantu mengalahkan banyak jenis serangan phishing dan meringankan beban kata sandi secara keseluruhan pada pengguna Internet, tetapi hati-hati bahwa masa depan tanpa kata sandi yang sebenarnya mungkin masih bertahun-tahun lagi untuk sebagian besar situs web.

Gambar: Blog.google

Raksasa teknologi adalah bagian dari upaya yang dipimpin industri untuk mengganti kata sandi, yang mudah dilupakan, sering dicuri oleh malware dan skema phishing, atau bocor dan dijual secara online setelah pelanggaran data perusahaan.

Apple, Google, dan Microsoft adalah beberapa kontributor yang lebih aktif untuk standar masuk tanpa kata sandi yang dibuat oleh Aliansi FIDO (“Fast Identity Online”) dan Konsorsium World Wide Web (W3C), grup yang telah bekerja dengan ratusan perusahaan teknologi selama dekade terakhir untuk mengembangkan standar login baru yang bekerja dengan cara yang sama di berbagai browser dan sistem operasi.

Menurut Aliansi FIDO, pengguna akan dapat masuk ke situs web melalui tindakan yang sama yang mereka lakukan beberapa kali setiap hari untuk membuka kunci perangkat mereka – termasuk PIN perangkat, atau biometrik seperti sidik jari atau pemindaian wajah.

“Pendekatan baru ini melindungi dari phishing dan proses masuk akan jauh lebih aman jika dibandingkan dengan kata sandi dan teknologi multi-faktor lama seperti kode sandi satu kali yang dikirim melalui SMS,” tulis aliansi tersebut pada 5 Mei.

Sampath Srinivasdirektur otentikasi keamanan di Google dan presiden Aliansi FIDO, mengatakan bahwa di bawah sistem baru ponsel Anda akan menyimpan kredensial FIDO yang disebut “kunci sandi” yang digunakan untuk membuka kunci akun online Anda.

READ  Zelensky menyerukan zona larangan terbang dan sanksi yang lebih keras terhadap Rusia dalam pertemuan Zoom dengan anggota parlemen AS

“Kunci sandi membuat masuk jauh lebih aman, karena didasarkan pada kriptografi kunci publik dan hanya ditampilkan ke akun online Anda saat Anda membuka kunci ponsel,” tulis Srinivas. “Untuk masuk ke situs web di komputer Anda, Anda hanya perlu ponsel di dekat Anda dan Anda hanya akan diminta untuk membuka kuncinya untuk akses. Setelah Anda selesai melakukannya, Anda tidak akan memerlukan ponsel lagi dan Anda dapat masuk hanya dengan membuka kunci komputer Anda.”

Sebagai ZDNet catatan, Apple, Google, dan Microsoft telah mendukung standar tanpa kata sandi ini (mis. “Masuk dengan Google”), tetapi pengguna harus masuk di setiap situs web untuk menggunakan fungsi tanpa kata sandi. Di bawah sistem baru ini, pengguna akan dapat mengakses kunci sandi mereka secara otomatis di banyak perangkat mereka – tanpa harus mendaftarkan ulang setiap akun – dan menggunakan perangkat seluler mereka untuk masuk ke aplikasi atau situs web di perangkat terdekat.

Johannes Ullrichdekan penelitian untuk Institut Teknologi SANSmenyebut pengumuman itu “sejauh ini upaya yang paling menjanjikan untuk memecahkan tantangan otentikasi.”

“Bagian terpenting dari standar ini adalah tidak mengharuskan pengguna untuk membeli perangkat baru, tetapi sebaliknya mereka dapat menggunakan perangkat yang sudah mereka miliki dan tahu cara menggunakannya sebagai autentikator,” kata Ullrich.

Steve Bellovinseorang profesor ilmu komputer di Universitas Columbia dan awal internet peneliti dan pionirmenyebut upaya tanpa kata sandi sebagai “kemajuan besar” dalam otentikasi, tetapi mengatakan akan membutuhkan waktu yang sangat lama bagi banyak situs web untuk mengejar ketinggalan.

Bellovin dan yang lainnya mengatakan satu skenario yang berpotensi rumit dalam skema otentikasi tanpa kata sandi baru ini adalah apa yang terjadi ketika seseorang kehilangan perangkat seluler mereka, atau telepon mereka rusak dan mereka tidak dapat mengingat kata sandi iCloud mereka.

READ  Berita perang Rusia-Ukraina terbaru: Pembaruan langsung tentang invasi di Kyiv, Kharkiv, Kherson

“Saya khawatir tentang orang-orang yang tidak mampu membeli perangkat tambahan, atau tidak dapat dengan mudah mengganti perangkat yang rusak atau dicuri,” kata Bellovin. “Saya khawatir tentang pemulihan kata sandi yang terlupakan untuk akun cloud.”

Google mengatakan bahwa bahkan jika Anda kehilangan ponsel, “kunci sandi Anda akan disinkronkan dengan aman ke ponsel baru Anda dari cadangan cloud, memungkinkan Anda untuk melanjutkan tepat di mana perangkat lama Anda tinggalkan.”

Apple dan Microsoft juga memiliki solusi pencadangan cloud yang dapat digunakan pelanggan yang menggunakan platform tersebut untuk memulihkan dari perangkat seluler yang hilang. Tetapi Bellovin mengatakan banyak tergantung pada seberapa aman sistem cloud tersebut dikelola.

“Seberapa mudah menambahkan kunci publik perangkat lain ke akun, tanpa otorisasi?” Bellovin bertanya-tanya. “Saya pikir protokol mereka membuatnya tidak mungkin, tetapi yang lain tidak setuju.”

Nicholas Weaverseorang dosen di departemen ilmu komputer di Universitas California, Berkeleymengatakan situs web masih harus memiliki beberapa mekanisme pemulihan untuk skenario “Anda kehilangan ponsel dan kata sandi”, yang ia gambarkan sebagai “masalah yang sangat sulit untuk dilakukan dengan aman dan sudah menjadi salah satu kelemahan terbesar dalam sistem kami saat ini.”

“Jika Anda lupa kata sandi dan kehilangan ponsel Anda dan dapat memulihkannya, sekarang ini adalah target besar bagi penyerang,” kata Weaver dalam email. “Jika Anda lupa kata sandi dan kehilangan ponsel dan TIDAK BISA, nah, sekarang Anda kehilangan token otorisasi yang digunakan untuk login. Ini harus menjadi yang terakhir. Apple memiliki infrastruktur untuk mendukungnya (rantai kunci iCloud), tetapi tidak jelas apakah Google memilikinya.”

Meski begitu, katanya, pendekatan FIDO secara keseluruhan telah menjadi alat yang hebat untuk meningkatkan keamanan dan kegunaan.

READ  Berita Covid: Protes yang Dipimpin Pengemudi Truk Meluas Di Luar Ibu Kota Kanada

“Ini adalah langkah maju yang sangat, sangat bagus, dan saya senang melihat ini,” kata Weaver. “Memanfaatkan otentikasi kuat ponsel dari pemilik ponsel (jika Anda memiliki kode sandi yang layak) cukup bagus. Dan setidaknya untuk iPhone Anda dapat membuat ini kuat bahkan untuk kompromi telepon, karena enklave aman yang akan menangani ini dan enklave aman tidak mempercayai sistem operasi host. ”

Raksasa teknologi mengatakan kemampuan tanpa kata sandi baru akan diaktifkan di seluruh platform Apple, Google dan Microsoft “selama tahun mendatang.” Tetapi para ahli mengatakan kemungkinan akan memakan waktu beberapa tahun lagi untuk tujuan web yang lebih kecil untuk mengadopsi teknologi dan membuang kata sandi sama sekali.

Penelitian terbaru menunjukkan terlalu banyak orang yang masih menggunakan kembali atau mendaur ulang kata sandi (memodifikasi kata sandi yang sama sedikit), yang menghadirkan risiko pengambilalihan akun ketika kredensial tersebut akhirnya terungkap dalam pelanggaran data. A laporan pada bulan Maret dari perusahaan keamanan siber SpyCloud menemukan 64 persen pengguna menggunakan kembali kata sandi untuk beberapa akun, dan bahwa 70 persen kredensial yang dikompromikan dalam pelanggaran sebelumnya masih digunakan.

Buku putih Maret 2022 tentang pendekatan FIDO tersedia di sini (PDF). Sebuah FAQ di atasnya adalah di sini.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *