Kata Sandi Rusak. WebAuthn adalah Standar Baru untuk Otentikasi

Diterbitkan: 2022-09-22

Baru-baru ini, iThemes Security Pro menambahkan kunci sandi sebagai metode otentikasi utama untuk situs WordPress. Rilis inovatif ini adalah yang pertama dari jenisnya di ruang WordPress, dan itu adalah sesuatu yang harus Anda ketahui. Sekali lagi, iThemes Security telah menunjukkan kepemimpinan dalam menyediakan fungsionalitas keamanan yang luar biasa bagi pengguna WordPress.

Dalam posting ini, kami akan meninjau masalah kata sandi, apa itu WebAuthn, dan mengapa Anda akan mulai menggunakan teknologi ini di mana-mana. Jika Anda adalah pemilik situs WordPress yang ingin meningkatkan fungsi login dan keamanan untuk pengguna akhir Anda, kini Anda memiliki standar canggih untuk login bebas gesekan yang tersedia untuk Anda.

Memahami masalah kata sandi yang dipecahkan oleh WebAuthn

Kehidupan online kami, termasuk akun pengguna yang digunakan oleh WordPress, didasarkan pada akses nama pengguna dan kata sandi. Ini baik-baik saja untuk sementara waktu. Tetapi kemudian penggunaan kembali kata sandi, serangan brute force kamus, dan pembagian data akun yang dilanggar oleh pelaku jahat telah membuat sistem keamanan berbasis kata sandi kami tidak efektif.

Faktanya, Laporan DBIR Verizon untuk tahun 2022 melaporkan bahwa lebih dari 80% pelanggaran dapat dikaitkan dengan kredensial yang dicuri, dan telah terjadi peningkatan 30% dalam kredensial yang dicuri sebagai vektor intrusi utama versus eksploitasi kerentanan.

Kredensial mengacu pada kombinasi nama pengguna/kata sandi. Dan data Verizon memberi tahu kita satu hal: kata sandi rusak. Penambahan otentikasi dua faktor (2FA) sangat membantu, tetapi sayangnya, gesekan dan kerumitan yang ditambahkan berarti bahwa itu hanya diadopsi oleh 28% pengguna. Kami mengerti; 2FA menambahkan lapisan gesekan lain untuk penyerang, tetapi juga membuat login lebih sulit bagi pengguna juga. Dan dalam kasus 2FA berbasis SMS, itu tidak cukup aman. Kisah serangan port SIM untuk target bernilai tinggi tidak umum, tetapi menjadi bencana besar saat terjadi.

Aliansi FIDO (Fast Identity Online) telah bekerja untuk memperbaiki masalah ini, dan WebAuthn adalah spesifikasi yang dihasilkan dari pekerjaan itu.

Pada tahap kehidupan digital kita ini, kata sandi rusak. Untungnya ada cara baru dan lebih baik untuk otentikasi, dan itu adalah WebAuthn.

Apa itu WebAuthn?

WebAuthn adalah kependekan dari Web Authentication API. Ini adalah spesifikasi yang ditulis oleh W3C dan FIDO, dengan partisipasi Apple, Google, Mozilla, Microsoft, Yubico, dan lainnya. WebAuthn API memungkinkan server untuk mendaftarkan dan mengautentikasi pengguna menggunakan kriptografi kunci publik alih-alih kata sandi. Sejak Januari 2019, WebAuthn didukung di Chrome, Firefox, Microsoft Edge, dan Safari. Pada saat penulisan ini, WebAuthn didukung oleh lebih dari 90% perangkat dan browser mereka.

WebAuthn adalah bagian dari kerangka kerja FIDO2, yang merupakan seperangkat teknologi yang memungkinkan otentikasi tanpa kata sandi antara server, browser, dan autentikator. WebAuthn distandarisasi oleh World Wide Web Consortium.

Sekarang begitu banyak perangkat kami menggunakan otentikasi biometrik, seperti FaceID di iPhone Anda, atau pengenalan sidik jari di MacBook, Windows Hello, dan banyak lainnya, kami memiliki metode baru untuk menentukan apakah upaya login benar-benar pengguna yang valid atau tidak. dan bukan serangan brute force.

Bagaimana cara kerja WebAuthn?

WebAuthn menggunakan kriptografi kunci publik untuk mengamankan koneksi antara pengguna dan sistem yang mereka gunakan. Dengan menggunakan WebAuthn, Anda dapat menggunakan satu metode autentikasi, seperti biometrik di perangkat Anda atau YubiKey, di situs mana pun yang mendukung standar tersebut. Dengan cara ini, sebagai pengguna, Anda tidak perlu memiliki kata sandi untuk setiap situs yang Anda kunjungi, cukup autentikator kuat yang bekerja dengan WebAuthn.

Dengan menggunakan autentikasi yang kuat ini alih-alih kata sandi, kita dapat membuat pasangan kunci privat-publik untuk sebuah situs web. Kunci pribadi disimpan dengan aman di perangkat Anda (misalnya, ponsel atau komputer Anda), dan kunci publik serta kredensial yang dibuat secara acak dikirim ke server web untuk disimpan. Server web dan dalam kasus iThemes Security Passkeys, situs WordPress Anda, dapat menggunakan kunci publik untuk memverifikasi identitas pengguna.

Cara Kerja WebAuthn

Kunci publik ini bukan rahasia. Dengan demikian, jika server web atau situs WordPress pernah diretas, kredensial yang disimpan dengan kunci publik tidak berguna bagi penyerang. Kunci publik tidak dapat digunakan tanpa kunci pribadi.

Untuk memahami bagaimana WebAuthn benar-benar bekerja, Proyek FIDO2 memiliki beberapa sumber daya yang hebat.

WebAuthn mengubah lanskap keamanan

WebAuthn benar-benar terobosan dalam dunia keamanan. Basis data tidak lagi menarik bagi peretas, karena kunci publik tidak berguna bagi mereka. Selain itu, WebAuthn membuat pencurian kredensial menjadi lebih sulit.

Dan untuk pengguna akhir, WebAuthn menghilangkan kebutuhan untuk mengingat banyak nama pengguna dan kata sandi. Semua pengguna di MacBook, misalnya, membutuhkan sidik jari mereka untuk masuk ke situs mereka diaktifkan dengan iThemes Security Passkeys.

Apple, yang telah mengimplementasikan WebAuthn juga mencatat bahwa WebAuthn melindungi dari serangan phishing. Serangan phishing yang mengirim email kepada pengguna dengan tautan ke layar masuk palsu tidak akan efektif tanpa kata sandi. Pengguna yang menggunakan kunci sandi untuk login akun bahkan tidak akan memiliki kata sandi untuk diberikan ke formulir phishing berbahaya. Otentikasi sepenuhnya ditangani oleh kunci pribadi yang disimpan di perangkat mereka yang berkomunikasi dengan kunci publik yang disimpan di server web. WebAuthn secara efektif membuat serangan phishing acak maupun serangan spearphishing yang ditargetkan sama sekali tidak efektif.

Permainan keamanan telah berubah dengan WebAuthn. Meskipun mungkin perlu beberapa waktu agar serangan brute force dan pencurian kata sandi menjadi kurang menarik bagi penyerang jahat, pemilik situs proaktif yang memilih untuk menerapkan WebAuthn akan menjadi pemimpin dalam memastikan bahwa situs mereka tidak lagi menjadi bagian dari permainan.

Login tanpa gesekan membuat pelanggan lebih bahagia

Pemilik situs ini juga menyediakan fitur tambahan yang berharga bagi pengguna, pelanggan, pelajar, atau siapa pun yang masuk ke situs WordPress mereka. Alih-alih memerlukan protokol otentikasi multi-faktor yang dipenuhi gesekan untuk memastikan bahwa situs WordPress tetap aman, WebAuthn yang diimplementasikan oleh iThemes Security memungkinkan pemilik situs untuk memberikan login tanpa kata sandi tanpa gesekan sambil membuat situs mereka jauh lebih tidak menarik bagi peretas.

Lebih banyak implementasi WebAuthn akan datang

Anda mungkin melihat bagaimana teknologi ini mengubah hidup dan bertanya-tanya mengapa lebih banyak situs, layanan, dan aplikasi tidak menggunakan WebAuthn. Meskipun teknologi ini inovatif, ini juga sangat baru. Menambahkan WebAuthn ke layanan lawas akan memerlukan beberapa pemfaktoran ulang. Tapi seperti yang telah kita lihat dengan banyak teknologi baru yang mengubah lanskap, itu akan datang. Kebutuhan untuk bergerak melampaui kata sandi adalah pendorong yang pasti. Dan, karena semakin banyak pengguna yang mengalami kemampuan login tanpa gesekan, kami akan mulai melihat permintaan pengguna untuk memperluas login tanpa kata sandi.

Dengan cara ini, iThemes Security telah mengukuhkan dirinya sebagai pemimpin dalam keamanan WordPress, mengubah cara pengguna WordPress login. iThemes Security Passkeys adalah implementasi pertama WebAuthn di ruang WordPress, dan tentunya akan menjadi standar di masa mendatang.

Untuk mendapatkan iThemes Security Passkeys untuk situs WordPress Anda sekarang, Anda memerlukan iThemes Security Pro. Untungnya, saat ini Anda bisa mendapatkan ini dengan harga diskon. Namun, Anda tidak akan melihat harga rendah ini dalam waktu lama. Penjualan berakhir pada 30 September 2022.

Dapatkan Kunci Sandi Keamanan iThemes untuk Situs Anda