Apa itu autentikasi tanpa kata sandi dan bagaimana cara kerjanya

Kebanyakan orang harus mengingat serangkaian kata sandi yang berbeda untuk masuk ke berbagai perangkat dan akun, baik untuk ponsel dan laptop atau akun email dan media sosial. Menjadi sangat mudah untuk menjadi malas tentang kebersihan kata sandi , tetapi saat itulah pengguna menjadi paling rentan terhadap serangan siber. Dan menjadi sangat mudah bagi peretas untuk mencuri kata sandi melalui pelanggaran data , phishing , dan serangan lainnya.

Akibatnya, kata sandi tidak lagi disukai dalam beberapa tahun terakhir. Tren ini akan tumbuh karena berbagai bentuk otentikasi tanpa kata sandi diadopsi secara lebih luas, baik oleh pengguna maupun organisasi. Jadi, apa sebenarnya keamanan tanpa kata sandi, bagaimana cara kerjanya, dan apa saja berbagai contoh otentikasi tanpa kata sandi? Baca terus untuk mempelajari lebih lanjut.

Apa itu otentikasi tanpa kata sandi?

Dalam istilah yang paling sederhana, otentikasi tanpa kata sandi memungkinkan pengguna untuk memverifikasi identitas mereka tanpa memerlukan kata sandi. Ini dapat dicapai melalui berbagai cara. Misalnya, pengguna dapat memindai wajah atau sidik jari mereka untuk mendapatkan akses ke perangkat atau akun mereka, atau mereka mungkin menggunakan kata sandi satu kali (OTP), yang sering digunakan dalam autentikasi dua faktor (2FA) , atau tautan URL yang dibuat khusus untuk setiap upaya login.

Login dengan kata sandi semakin populer dalam beberapa tahun terakhir, namun pengguna membuat kata sandi dengan keamanan yang sangat lemah . Banyak pengguna menggunakan kata sandi yang sama di berbagai akun, gagal membuat kata sandi yang rumit, dan lupa menggantinya secara berkala. Meskipun demikian, tentu saja, pengelola kata sandi yang tepercaya dapat membantu.

Bagaimana cara kerja autentikasi tanpa kata sandi?

Autentikasi tanpa kata sandi mengharuskan pengguna memberikan sesuatu yang unik untuk memverifikasi identitas mereka dan mendapatkan akses ke perangkat atau akun. Ini dikenal sebagai faktor autentikasi, dan ada beberapa jenis yang berbeda, termasuk:

• Faktor pengetahuan , sesuatu yang diketahui pengguna, seperti kata sandi
• Faktor kepemilikan: sesuatu yang dimiliki pengguna, seperti ponsel yang dapat menerima kata sandi sekali pakai (OTP).
• Faktor inherensi: sesuatu yang unik bagi pengguna, biasanya mengacu pada biometrik seperti sidik jari atau pengenalan wajah
• Faktor lokasi: pengguna memerlukan lokasi geografis tertentu untuk mendapatkan akses, seperti kantor atau rumah mereka
• Faktor perilaku: pengguna harus melakukan tindakan tertentu untuk mendapatkan akses, seperti kata sandi gambar Windows 8

Semua login mengharuskan pengguna untuk memberikan setidaknya satu faktor. Umumnya, ini adalah faktor pengetahuan - biasanya kata sandi. Namun, login tanpa kata sandi menghilangkan kebutuhan akan kata sandi dengan memanfaatkan berbagai faktor autentikasi lain untuk menawarkan keamanan yang lebih baik. Faktor-faktor ini sering kali berupa faktor kepemilikan, seperti OTP, atau faktor bawaan, seperti biometrik.

Apakah autentikasi tanpa kata sandi aman?

Umumnya, proses masuk tanpa kata sandi dianggap jauh lebih aman daripada proses masuk tradisional yang mengharuskan pengguna memasukkan kredensial spesifik mereka. Ini karena dengan menghilangkan kebutuhan akan kata sandi, sistem masuk ini secara signifikan mengurangi risiko serangan siber seperti serangan brute-force atau dictionary attack, keylogging , credential stuffing, dan Man-in-the-Middle attack . Mereka juga jauh lebih kebal terhadap risiko peretasan dan rekayasa sosial, dan inersia manusia, yang dapat mengakibatkan penggunaan kata sandi yang sama di beberapa akun dan lupa memperbaruinya.

Namun, seperti kebanyakan hal, autentikasi tanpa kata sandi tidak sepenuhnya anti-gagal. Penyerang yang gigih masih dapat menemukan cara untuk meretas sistem autentikasi, tidak peduli seberapa canggihnya. Peretas mungkin dapat membajak alamat email, nomor telepon, dan bahkan perangkat untuk mencegat jenis autentikasi kata sandi tertentu, seperti OTP dan tautan ajaib.

MFA VS. autentikasi tanpa kata sandi

Meskipun mungkin tampak serupa, autentikasi multifaktor (MFA) dan autentikasi tanpa kata sandi sedikit berbeda. Dalam banyak kasus, MFA menggunakan kata sandi serta bentuk verifikasi lain, seperti OTP atau biometrik. Namun, sesuai namanya, keamanan tanpa kata sandi menghilangkan kebutuhan pengguna untuk memasukkan kata sandi.

Namun, ada situasi di mana dua atau lebih bentuk login tanpa kata sandi digabungkan, dan pengguna harus melewati kedua proses verifikasi untuk mengakses perangkat atau akun mereka. Ini dikenal sebagai MFA tanpa kata sandi.

Apa saja contoh autentikasi tanpa kata sandi yang umum?

Secara tradisional, sebagian besar login menggunakan faktor pengetahuan – kata sandi – yang semuanya berfungsi dengan cara yang sama – pengguna membuat kombinasi angka, huruf, dan/atau simbol yang unik dan menggunakannya dengan nama pengguna untuk mendapatkan akses ke perangkat atau akun mereka. Tidak seperti kata sandi, autentikasi tanpa kata sandi dapat mengambil banyak bentuk yang berbeda. Seperti yang disebutkan, keamanan tanpa kata sandi biasanya menggabungkan setidaknya satu faktor autentikasi – biasanya bukan faktor pengetahuan – itulah sebabnya ia lebih dinamis daripada kata sandi.

Sertifikat

Banyak aplikasi dan perangkat lunak yang terhubung ke internet menggunakan sertifikat digital untuk memverifikasi identitas pengguna tanpa kata sandi. Dalam hal ini, perangkat pribadi pengguna akan menyimpan kunci pribadi, sementara server aplikasi atau perangkat lunak menyimpan kunci publik. Keduanya harus saling terkait dengan tepat agar autentikasi tanpa kata sandi dapat dilakukan.

Kata sandi sekali pakai

Jika Anda pernah bertanya-tanya "Apa itu autentikasi OTP?", inilah jawabannya: Meskipun pengguna masih harus mengetiknya di perangkat mereka untuk mengakses akun, kata sandi sekali pakai dianggap sebagai bentuk autentikasi tanpa kata sandi. Ini karena kode tersebut merupakan kode sementara yang diterima pengguna melalui pesan teks atau aplikasi autentikasi; kode tersebut berbeda setiap kali digunakan dan kedaluwarsa dalam beberapa menit, sehingga dianggap lebih aman daripada kata sandi tradisional. Ini merupakan jenis faktor kepemilikan karena – secara teori – hanya pengguna yang memiliki sarana untuk membuat atau menerima OTP.

Biometrik

Banyak perangkat dan perangkat lunak saat ini menggunakan biometrik untuk login dengan kata sandi. Ini merupakan faktor inheren karena memberikan akses dengan ciri fisik unik pengguna – misalnya, sidik jari atau pemindaian retina. iPhone adalah contoh autentikasi biometrik yang baik karena memungkinkan pengguna mengaktifkan pengenalan wajah untuk mengakses perangkat dan masuk ke berbagai akun aman, termasuk aplikasi perbankan, yang membantu mencegah penipuan perbankan online .

Tautan Ajaib

Banyak perangkat lunak berbasis internet populer kini menawarkan autentikasi tanpa kata sandi dengan tautan ajaib. Ini pada dasarnya adalah token URL yang dapat digunakan pengguna untuk masuk ke akun dengan memverifikasi alamat email atau nomor telepon mereka. Ketika pengguna masuk ke akun yang menggunakan verifikasi tautan ajaib, sistem secara otomatis mengirimkan tautan URL ke alamat email terdaftar mereka atau melalui pesan ke nomor telepon mereka – pengguna kemudian mengklik tautan tersebut untuk masuk ke akun secara otomatis. Ini adalah jenis faktor kepemilikan lainnya karena mengasumsikan bahwa hanya pengguna yang akan memiliki akses ke email atau telepon mereka.

Aplikasi autentikasi

Aplikasi autentikasi pihak ketiga, seperti yang dibuat oleh Google dan Microsoft, telah menjadi populer untuk login tanpa kata sandi. Dalam hal ini, pengguna mengonfigurasi aplikasi autentikasi tertentu – yang telah kompatibel dengan layanan akun yang digunakan – dengan kredensial login mereka. Setelah sistem diatur dengan benar, pengguna akan menerima notifikasi dari aplikasi setiap kali mereka masuk ke akun mereka dan perlu memberikan OTP atau memverifikasi login untuk mendapatkan akses.

Kunci sandi FIDO

Kunci sandi identitas cepat daring (FIDO) beroperasi dengan ide yang sama dengan sertifikat digital. Ketika pengguna mendaftarkan kredensial login mereka, sistem akan menghasilkan pasangan kunci kriptografi – kunci publik disimpan di server sistem dan kunci privat disimpan di perangkat pengguna. Sistem akan mengautentikasi kunci privat di perangkat pengguna untuk memberikan akses ke akun tersebut.

Kelebihan dan kekurangan keamanan tanpa kata sandi

Perusahaan semakin beralih ke keamanan tanpa kata sandi untuk melindungi pemangku kepentingan internal dan eksternal serta menjaga keamanan data. Namun, seperti halnya apa pun dalam keamanan siber, penting untuk memahami manfaat dan kekurangan autentikasi tanpa kata sandi.

Keuntungan login tanpa kata sandi

Beberapa aspek positif dari sign-in tanpa kata sandi meliputi:

• Lebih aman daripada kata sandi dan tahan terhadap banyak serangan siber.
• Pengguna merasa perawatannya rendah karena mereka tidak perlu mengingat kata sandi yang rumit atau mengubahnya secara teratur; juga lebih mudah bagi pengguna untuk mengaktifkannya di akun atau perangkat mereka.
• Perusahaan yang menggunakan autentikasi tanpa kata sandi biasanya menerima lebih sedikit permintaan dukungan karena lebih sedikit kebutuhan untuk mengatur ulang kata sandi atau pemecahan masalah.
• Sistem ini dapat diskalakan dan biasanya sangat cepat dan mudah diimplementasikan.
• Seringkali cukup untuk memenuhi persyaratan kepatuhan untuk perlindungan data, termasuk Peraturan Perlindungan Data Umum Uni Eropa dan Undang-Undang Privasi Konsumen California.
• Insiden penguncian akun dan keranjang belanja yang ditinggalkan lebih rendah.

Kekurangan Login Tanpa Kata Sandi

Meskipun autentikasi tanpa kata sandi semakin populer karena keamanannya, terdapat beberapa kekurangan, termasuk:

• Dalam beberapa kasus, autentikasi tanpa kata sandi bisa lebih rumit dan mahal daripada kata sandi sederhana.
• Sistem yang menggunakan biometrik bisa rumit, karena autentikasi biometrik tidak dapat diatur ulang jika telah dibobol.
• Ada anggapan bahwa pengguna akan menggunakan saluran aman saat menyiapkan login tanpa kata sandi, tetapi ini tidak selalu terjadi – proses pengaturan dapat dikompromikan.
• Dalam beberapa kasus, sistem ini tidak sepenuhnya aman – misalnya, OTP dapat dicegat atau dicuri dengan pertukaran SIM .
• Beberapa pengguna, terutama mereka yang kurang berpengalaman secara teknis, mungkin enggan menggunakan login tanpa kata sandi jika mereka kesulitan dengan sistem atau tidak memahaminya.

Menerapkan autentikasi tanpa kata sandi

Sebagian besar perangkat atau layanan elektronik sekarang menawarkan opsi kepada pengguna untuk autentikasi tanpa kata sandi di samping metode login tradisional. Masing-masing akan menyertakan formulir yang berbeda, dan sebagian besar akan menyarankan pengguna untuk mengaktifkannya sebagai keamanan tambahan. Untuk mengaktifkan autentikasi tanpa kata sandi, pengguna cukup menavigasi ke pengaturan perangkat atau akun yang relevan dan memilih opsi yang sesuai (beberapa mungkin menawarkan lebih dari satu). Beberapa contoh paling umum dari login tanpa kata sandi bagi konsumen meliputi:

• Pengenalan wajah untuk iPhone dan MacBook
• OTP untuk verifikasi rutin akun Google
• Tautan ajaib untuk berbagai aplikasi dan perangkat lunak berbasis browser

Bagi pengguna yang tetap ingin menggunakan kata sandi tetapi juga ingin memanfaatkan fitur login tanpa kata sandi, Kaspersky Password Manager dapat membantu. Kaspersky Password Manager tidak hanya dapat menghasilkan kata sandi yang kompleks dan unik untuk setiap akun, tetapi juga menyimpan semuanya dalam brankas pribadi terenkripsi yang tidak dapat dilihat oleh siapa pun. Program ini juga menawarkan proses masuk yang aman dengan memungkinkan pengguna mengisi detail mereka secara otomatis di berbagai situs web, aplikasi, dan perangkat, serta memiliki autentikator dalam aplikasinya sendiri yang memungkinkan pengguna mengaktifkan autentikasi multifaktor di akun mereka.

Bagi bisnis, penting untuk memilih dan menerapkan keamanan tanpa kata sandi – terutama jika mereka menawarkan akun dan perangkat yang terhubung langsung dengan klien, karena ada kebutuhan tambahan untuk menjaga keamanan informasi klien. Ada beberapa hal yang perlu dipertimbangkan saat melakukan hal ini:

• Pilih bentuk autentikasi tanpa kata sandi yang paling tepat, seperti autentikasi biometrik dengan sidik jari atau tautan ajaib.
• Tentukan apakah satu faktor sudah cukup atau apakah pelanggan memerlukan MFA tanpa kata sandi untuk keamanan tambahan.
• Cari dan dapatkan perangkat keras dan/atau perangkat lunak yang diperlukan.
• Pastikan pengguna dapat mendaftar dan menggunakan sistem yang dipilih dengan benar.

Menerapkan sistem masuk tanpa kata sandi di tingkat organisasi dapat menjadi tantangan dan membutuhkan investasi waktu dan biaya yang signifikan. Karena alasan ini, banyak yang memilih untuk bekerja sama dengan penyedia pihak ketiga agar dapat menjalankan bentuk keamanan siber ini dengan cepat dan efektif.

Masa depan tanpa kata sandi?

Dengan begitu banyak keuntungan dan keamanan yang jauh lebih unggul daripada kata sandi tradisional, autentikasi tanpa kata sandi tampaknya memiliki masa depan yang cerah, terutama dengan integrasi kecerdasan buatan (AI) . Hal ini dapat membantu menjaga keamanan pengguna dan informasi mereka di dunia yang semakin digital dan menawarkan opsi yang lebih aman untuk bekerja jarak jauh.

Namun, ada beberapa tantangan yang mungkin perlu diatasi jika kita ingin keamanan tanpa kata sandi semakin banyak digunakan. Tantangan-tantangan ini meliputi mengatasi masalah privasi, terutama seputar autentikasi biometrik, menyederhanakan infrastruktur teknis, memperkuat kepercayaan pengguna, dan memastikan kepatuhan terhadap peraturan.

Artikel dan Tautan Terkait:

• Tips untuk membuat kata sandi yang kuat dan unik
• Apa yang bisa dilakukan peretas dengan alamat email Anda?
• 10 risiko terbesar dalam game online dan cara menghindarinya

Produk dan Layanan Terkait:

• Kaspersky Premium
• Unduh Kaspersky Premium Antivirus dengan Uji Coba Gratis 30 Hari
• Kaspersky Password Manager
• Kaspersky Security Awareness