• Beranda
  • Artikel
  • Tema
  • Masa Depan Tanpa Kata Sandi: Bagaimana Kunci Sandi Akan Menyederhanakan Hidup Anda dan Melindungi Kita Semua

Masa Depan Tanpa Kata Sandi: Bagaimana Kunci Sandi Akan Menyederhanakan Hidup Anda dan Melindungi Kita Semua

Diterbitkan: 2022-11-16

Bukan rahasia lagi bahwa otentikasi tanpa kata sandi mengambil alih. Pemimpin teknologi global, seperti Apple, Google, dan Microsoft, beralih menggunakan kunci sandi. Memanfaatkan kriptografi kunci publik, kunci sandi menghadirkan pengalaman yang hampir mengubah paradigma dalam keamanan digital.

iThemes telah memimpin jalan untuk membuat WordPress dan, pada akhirnya, seluruh Internet lebih aman dan dapat digunakan untuk semua orang. Masa depan tanpa kata sandi, dan kami di sini untuk memberi tahu Anda alasannya.

Dalam panduan untuk autentikasi tanpa kata sandi ini, Anda akan mempelajari bagaimana kunci sandi mengatasi kerentanan keamanan autentikasi berbasis kata sandi dan mengapa Anda harus mulai menggunakannya.

Perjalanan Menuju Otentikasi Tanpa Kata Sandi

Perjalanan menuju autentikasi tanpa kata sandi telah dimulai. Semua browser utama dan raksasa teknologi telah memperkenalkan dukungan penuh untuk kunci sandi. Tahun 2022 telah menjadi tonggak baru dalam menerapkan proses masuk tanpa kata sandi yang lebih konsisten, aman, dan mudah di berbagai perangkat dan platform digital.

Setiap tahun, Hari Kata Sandi Sedunia, yang ditetapkan sebagai hari Kamis pertama bulan Mei, merayakan kemajuan baru yang dibuat dalam upaya bersama untuk menjadikan web lebih aman dan bermanfaat bagi semua orang. Pada tanggal 05 Mei 2022, Apple, Google, dan Microsoft mengumumkan rencana untuk memperluas dukungan untuk standar masuk tanpa kata sandi yang dibuat oleh FIDO Alliance dan World Wide Web Consortium.

Selama bertahun-tahun, Aliansi FIDO (Fast Identity Online) dan World Wide Web Consortium telah mengerjakan serangkaian standar yang akan memungkinkan otentikasi tanpa kata sandi diimplementasikan di internet. FIDO 2 adalah set spesifikasi terbaru, sekarang didukung oleh sebagian besar browser dan platform.

Kami akan meninjau cara kerja autentikasi tanpa kata sandi secara lebih rinci di panduan ini. Namun sebelum itu, mari kita lihat mengapa otentikasi kata sandi sekarang secara bertahap menjadi bagian dari masa lalu.

Mengapa Otentikasi Berbasis Kata Sandi Tertinggal?

Otentikasi berbasis kata sandi telah bersama kami hampir selama internet ada, memungkinkan pengguna untuk masuk ke situs web atau aplikasi web dengan menggunakan pasangan kredensial – nama pengguna dan kata sandi. Pendekatan ini telah membuktikan keandalan dan keserbagunaannya dan telah menjadi standar industri selama bertahun-tahun.

Namun, meskipun penerapan dan penggunaannya mudah, banyak kelemahan dan risiko keamanan yang terkait dengan autentikasi berbasis kata sandi dengan cepat ditemukan baik di sisi pengguna maupun di sisi server. Sederhananya, baik pengguna maupun server tidak memiliki kemampuan untuk menjaga keamanan rahasia bersama.

Risiko keamanan utama yang terkait dengan autentikasi berbasis kata sandi terpusat pada penggunaan kata sandi sebagai rahasia bersama. Ini dapat tersedia untuk aktor jahat pada berbagai tahap proses otentikasi. Kata sandi dapat dilanggar atau hanya ditebak karena serangan brute force yang berhasil.

3 Cara Umum Kata Sandi Terekspos

Penelitian telah menunjukkan bahwa lebih dari 80% dari semua pelanggaran terkait peretasan dikaitkan dengan kompromi kata sandi. Artinya, pada titik tertentu, peretas berhasil mendapatkan akses tidak sah ke sistem dengan menyamar sebagai pemilik sah dari sebuah situs web atau aplikasi web. Tapi bagaimana tepatnya situs web diretas?

Cara paling umum untuk mengungkap kata sandi termasuk phishing, serangan brute force, dan pelanggaran data. Pengguna dapat tertipu untuk memberikan informasi autentikasi mereka. Atau kata sandi dapat ditebak atau dibocorkan jika terjadi pelanggaran data di pihak penyedia layanan.

Serangan brute force dan pelanggaran data

Serangan brute force meningkat, terhitung sekitar 80% dari semua serangan jaringan. Karena tebakan kata sandi telah diotomatisasi, tidak butuh banyak waktu bagi penyerang untuk meretas akun mana pun.

Mesin peretas (atau bahkan jaringan komputer yang dikenal sebagai botnet) dapat menghasilkan ribuan kombinasi per detik. Ini memungkinkan penyerang mendapatkan akses tidak sah ke situs web atau aplikasi web dalam waktu singkat.

Dan jika Anda bertanya-tanya mengapa peretas menyerang situs web Anda, penjelasannya sederhana. Peretas memiliki kemampuan untuk membuat ribuan permintaan web per detik. Mereka jarang memilih situs web apa yang ingin mereka masuki – mereka akan mencoba meretas sebanyak mungkin.

Mendapatkan akses administrator ke situs web atau bahkan seluruh server membuka peluang yang hampir tak terbatas bagi peretas untuk mengeksploitasi sistem. Salah satunya adalah bocornya informasi pengguna, termasuk username dan password, dari database aplikasi.

Mengapa Menggunakan Kata Sandi yang Kuat Tidak Akan Mengatasi Semua Risiko Keamanan

Menggunakan kata sandi yang kuat sangatlah penting dan akan memberikan garis pertahanan yang kuat terhadap serangan brute force. Dipercayai bahwa menggunakan kata sandi yang kuat mengatasi semua risiko keamanan. Namun, itu hanya dapat mengurangi kemungkinan kredensial Anda dikompromikan sampai batas tertentu.

Hanya sekitar 30% pengguna yang mengonfigurasi autentikasi dua faktor. Tanpa menggunakan autentikasi multi-faktor, peretas tinggal selangkah lagi untuk mendapatkan akses ke informasi sensitif.

Menyiapkan kata sandi satu kali, verifikasi SMS, atau jenis 2FA lainnya adalah opsi yang bagus untuk mengatasi sebagian besar kerentanan keamanan autentikasi kata sandi. Namun, kunci sandi dapat membuat perbedaan nyata dalam dunia keamanan siber.

kunci sandi

Apa Itu Kunci Pas?

Kunci sandi adalah kredensial digital yang diberdayakan oleh kriptografi asimetris yang dapat sepenuhnya menggantikan autentikasi berbasis kata sandi. Sebagai bentuk autentikasi tanpa kata sandi, kunci sandi menyediakan cara yang lebih cepat dan aman untuk masuk ke layanan dan aplikasi di beberapa perangkat pengguna.

Otentikasi tanpa kata sandi memungkinkan Anda untuk tidak perlu memasukkan nama pengguna dan kata sandi untuk masuk. Sebagai gantinya, perangkat Anda akan menghasilkan kunci sandi – sepasang kunci kriptografi yang akan diidentifikasi oleh ID kredensial tertentu.

Bagaimana Kunci Sandi Memastikan Otentikasi Aman

Setiap kunci sandi yang Anda buat unik dan tercakup ke situs web atau aplikasi web individual. Karena tidak ada rahasia atau kata sandi bersama yang harus diingat oleh pengguna, kunci sandi memberikan perlindungan penuh terhadap serangan phishing dan brute force.

Setelah kunci sandi baru dibuat, server akan menyimpan kunci publik dan ID kredensial. Kunci pribadi akan disimpan dengan aman di perangkat pengguna atau kunci keamanan perangkat keras seperti YubiKey yang dapat Anda bawa kemana-mana.

Untuk mendukung kunci sandi, perangkat pengguna harus memiliki chip keamanan Trusted Platform Module (TPM) untuk melakukan operasi kriptografi seperti membuat kunci dan autentikator platform. Pengautentikasi platform biasanya akan mendukung berbagai jenis verifikasi identitas, termasuk informasi biometrik dan kode PIN.

Kunci sandi juga dapat disinkronkan secara otomatis antara perangkat pengguna melalui layanan cloud. Oleh karena itu, Anda tidak perlu membuat pasangan kunci baru di perangkat lain. Sinkronisasi kunci sandi dienkripsi ujung ke ujung, dan layanan cloud akan menyimpan salinan kunci sandi yang dienkripsi dengan aman.

Bahkan jika kunci publik bocor, peretas tidak akan berguna tanpa kunci pribadi yang sesuai. Ini menghilangkan kemungkinan akses tidak sah karena pelanggaran data. Tidak ada cara nyata bagi aktor jahat untuk menyamar sebagai Anda.

Bagaimana Cara Kerja Kunci Sandi?

Penggunaan kunci sandi menjadi mungkin berkat pengembangan kriptografi asimetris dan beberapa standar dan protokol yang dibuat oleh FIDO Alliance dan World Wide Web Consortium. Mari tinjau cara kerja kunci sandi secara lebih detail dengan mempelajari lebih lanjut tentang kriptografi kunci publik, WebAuthn, dan Protokol Klien ke Authenticator.

Kriptografi Kunci Publik

Kunci publik, atau kriptografi asimetris, melibatkan sepasang kunci – privat dan publik – yang digunakan untuk mengenkripsi dan mendekripsi data yang dipertukarkan oleh pihak yang berbeda. Kunci privat harus dirahasiakan saat kunci publik dipublikasikan secara online (atau diberikan ke server saat kunci sandi dibuat).

Selain otentikasi tanpa kata sandi, kriptografi asimetris membantu memastikan enkripsi ujung ke ujung untuk mengamankan lalu lintas yang melewati jaringan. Sertifikat SSL/TLS memiliki kunci pribadi yang dipasang di server asal, sedangkan kunci publik digunakan untuk memverifikasi identitas situs web sebelum membuat koneksi.

API Otentikasi Web (WebAuthn) dan Klien ke Protokol Otentikator

Bersama dengan Client to Authenticator Protocol, Web Authentication API adalah bagian dari kerangka kerja FIDO2, seperangkat teknologi yang memungkinkan untuk menggunakan otentikasi tanpa kata sandi antara server, browser, dan autentikator.

WebAuthn, kependekan dari Web Authentication API, adalah spesifikasi baru yang dikembangkan oleh World Web Consortium dan FIDO yang memungkinkan server menerapkan otentikasi tanpa kata sandi. Mulai tahun 2019, WebAuthn didukung oleh semua browser utama, termasuk Chrome, Firefox, Safari, dan Edge.

Sebagai antarmuka pemrograman aplikasi, WebAuthn memungkinkan situs web dan aplikasi web untuk mendaftar dan mengautentikasi pengguna menggunakan kunci sandi, bukan kata sandi.

Autentikasi Web bekerja sama dengan standar FIDO lainnya, seperti Manajemen Kredensial dan Protokol Klien ke Otentikator 2 (CTAP 2). CTAP 2 adalah protokol lapisan aplikasi yang menentukan komunikasi antara browser, sistem operasi, dan autentikator roaming.

Mendaftarkan Kunci Pas

Saat Anda mendaftarkan kunci sandi baru untuk mengautentikasi, server yang menghosting aplikasi akan membuat tantangan. Kemudian, perangkat Anda akan membuat pasangan kunci baru, menandatangani tantangan, dan mengirimkan kunci publik ke server, bersama dengan ID kredensial.

Server akan menyimpan kunci publik dan pengidentifikasi kredensial untuk mengotentikasi Anda saat Anda masuk lagi. Anda dapat membuat beberapa kunci sandi untuk setiap akun untuk redundansi. Ini juga membantu pemulihan akun lebih cepat jika kunci sandi utama hilang.

Kunci pribadi akan disimpan ke perangkat Anda dan disimpan dengan aman di sana. Satu-satunya cara Anda dapat mengakses kunci privat adalah dengan memverifikasi identitas Anda menggunakan sensor biometrik. Ini termasuk sidik jari atau pola wajah atau PIN Anda.

Proses Otentikasi Tanpa Kata Sandi

Setelah kunci sandi baru dibuat untuk akun Anda, Anda dapat memanfaatkan autentikasi tanpa kata sandi kapan pun Anda perlu masuk ke situs web atau aplikasi. Alih-alih masuk dengan nama pengguna dan kata sandi, Anda dapat memilih untuk menggunakan kunci sandi.

Server akan mengirimkan ID kredensial (atau beberapa ID jika Anda telah membuat lebih dari satu kunci sandi untuk akun tersebut) dan tantangan. Perangkat Anda kemudian akan menggunakan ID kredensial untuk menemukan kunci yang tepat dan meminta Anda untuk memvalidasi identitas Anda dengan menggunakan salah satu metode autentikasi yang didukung.

Setelah kunci dibuka, perangkat Anda akan menandatangani tantangan dan mengirimkannya ke server untuk otentikasi. Server akan memverifikasi tantangan yang ditandatangani menggunakan kunci publik dari pasangan dan memberikan akses ke akun Anda.

iThemes Membawa Otentikasi Tanpa Kata Sandi ke WordPress

WordPress selalu menjadi target prioritas tinggi bagi para peretas di seluruh dunia.

Meningkatnya jumlah serangan di situs WordPress dan volume malware global tidak luput dari perhatian. Karena serangan jahat menargetkan lebih banyak, keamanan situs web sekarang menjadi lebih penting dari sebelumnya.

Selama bertahun-tahun, iThemes telah mencari cara baru untuk melindungi situs web WordPress dari ancaman keamanan yang terus meningkat. Laporan kerentanan WordPress mingguan telah membantu kami memahami cara mengamankan salah satu area penting situs web WordPress – dasbor adminnya.

Kunci sandi tidak diragukan lagi merupakan salah satu inovasi paling luar biasa di dunia keamanan dunia maya. Meningkatnya adaptasi kunci sandi di seluruh platform dan sistem operasi dapat mengubah internet selamanya. Kata sandi WordPress dapat membuat perbedaan nyata pada keamanan WordPress. Dan iThemes tidak menunggu semenit lagi untuk membuat autentikasi tanpa kata sandi tersedia untuk komunitas WordPress.

Pada September 2022, iThemes Security Pro menyertakan dukungan untuk kata sandi WordPress untuk autentikasi tanpa kata sandi. Membawa perkembangan terbaru dalam keamanan dunia maya ke situs web WordPress Anda, iThemes Security Pro telah mengambil langkah besar menuju pengalaman autentikasi yang lebih aman dan konsisten.

Dengan iThemes Security Pro, kunci sandi untuk autentikasi WordPress tersedia di semua jenis perangkat. Anda dapat menggunakan autentikator platform seperti Apple Touch ID, ID Wajah, dan Windows Hello, serta autentikator roaming apa pun.

Mulai Menggunakan Kunci Pas Untuk WordPress

Untuk mulai menggunakan kunci sandi untuk autentikasi admin WordPress, pastikan untuk memperbarui iThemes Security Pro ke versi terbaru. Opsi untuk mengaktifkan autentikasi tanpa kata sandi akan tersedia dari tab Keamanan Masuk. Setelah dukungan untuk kunci sandi diaktifkan, konfigurasikan kunci sandi untuk pengguna WordPress dari dasbor admin.

Jika Anda masih belum memanfaatkan pembaruan inti, tema, dan plugin WordPress otomatis, sekarang saatnya untuk memulai. BackupBuddy, solusi cadangan pemenang penghargaan untuk WordPress, akan membantu Anda membangun strategi cadangan yang kuat untuk menangani semua pembaruan dengan percaya diri.

Menjalankan lebih dari satu situs web? Sinkronisasi iThemes akan membantu Anda mengelola beberapa situs web WordPress dari satu dasbor, menghemat waktu dan uang Anda. Pemantauan lanjutan, pelacakan metrik SEO, dan integrasi dengan BackupBuddy dan iThemes Security Pro – semuanya tersedia untuk Anda dengan asisten situs web WordPress pribadi Anda.

Bagaimana Raksasa Teknologi Menerapkan Kunci Sandi

Tiga raksasa teknologi global – Apple, Google, dan Microsoft – telah memimpin jalan menuju otentikasi tanpa kata sandi di semua browser utama dan sistem operasi. Android, iOS, dan Windows sekarang dapat menggunakan autentikator platform bawaan yang kuat dan menyinkronkan kunci sandi di beberapa perangkat.

apel

Apple telah memperkenalkan kunci sandi dengan rilis iOS 16 dan macOS Ventura, membuat autentikasi tanpa kata sandi tersedia untuk pengguna di semua perangkat Apple. Autentikator bawaan Apple, seperti Touch ID dan Face ID, mengizinkan penggunaan kunci sandi di Safari dan browser utama lainnya.

Kunci sandi disinkronkan di semua perangkat Apple pengguna dengan bantuan Rantai Kunci iCloud. Saat pengguna mengaktifkan Rantai Kunci iCloud untuk pertama kalinya, perangkat Apple membuat lingkaran kepercayaan dan membuat pasangan kunci unik baru yang disimpan di rantai kunci perangkat. Dengan cara ini, Rantai Kunci iCloud menyediakan enkripsi menyeluruh dengan kunci kriptografi yang kuat.

Google

Kembali pada bulan Oktober, Google mengumumkan membawa dukungan kunci sandi ke Google Chrome dan Android. Ini adalah tonggak utama dalam mengintegrasikan kunci sandi ke dalam ekosistem. Di Chrome dan Android, kunci sandi disimpan di Pengelola Kata Sandi Google. Kredensial disinkronkan antara perangkat pengguna yang masuk ke akun Google yang sama.

Di masa mendatang, Google berencana memperluas dukungan untuk kunci sandi untuk Android. API baru akan mengaktifkan penggunaan kunci sandi untuk aplikasi Android.

Microsoft

Microsoft telah memimpin dalam penerapan autentikasi tanpa kata sandi di internet. Sebelum tahun 2022, dukungan untuk kunci sandi sudah disertakan untuk Windows 365 dan Azure Virtual Desktop.

Microsoft mengaktifkan login tanpa kata sandi menggunakan Windows Hello, autentikator platform tangguh yang kini terpasang di Windows 10 dan 11. Implementasi kunci sandi Microsoft mirip dengan Apple. Ini memungkinkan Anda menyinkronkan kunci sandi antar perangkat yang masuk ke akun Microsoft yang sama.

Perusahaan Lain Menggunakan Kunci Pas

Beberapa perusahaan telah mengadopsi autentikasi tanpa kata sandi berdasarkan standar yang dikembangkan oleh FIDO Alliance. PayPal, Amazon, eBay, Facebook, Netflix, dan IBM adalah beberapa inovator yang menghadirkan autentikasi tanpa kata sandi ke platform mereka.

Membungkus

Berdasarkan kriptografi asimetris dan banyak protokol serta spesifikasi canggih yang dikembangkan oleh FIDO Alliance dan World Web Consortium, kunci sandi dapat sepenuhnya menggantikan autentikasi berbasis kata sandi dalam waktu dekat. Perusahaan teknologi terbesar secara bertahap memperluas dukungan untuk kunci sandi. Kami dapat segera melupakan serangan brute force dan akses tidak sah.

Setelah bertahun-tahun menemukan solusi yang tepat untuk memberikan pengalaman autentikasi yang lebih konsisten, kunci sandi hadir untuk menyederhanakan hidup kita dan melindungi kita. Haruskah Anda sudah lupa apa itu kata sandi? Belum, tetapi Anda pasti harus siap menggunakan kunci sandi.

Masa Depan Otentikasi adalah Kunci Sandi! Masuk ke situs WordPress Anda dengan Biometrik yang hanya tersedia di iThemes Security Pro

Masalah serangan brute force melalui credential stuffing, serangan phishing, dan kata sandi yang digunakan kembali telah membuat kehidupan digital kita menjadi kurang aman. Kita semua telah mencoba mendorong autentikasi 2 faktor sebagai perlindungan, tetapi kurang dari 30% pengguna benar-benar menggunakan 2FA. Login berbasis kata sandi adalah masalah.

Masa depan otentikasi adalah kunci sandi, dan iThemes Security Pro adalah yang pertama menghadirkan teknologi terobosan ini ke situs WordPress. Menggunakan terobosan teknologi WebAuthn berdasarkan kriptografi publik/pribadi, kunci sandi membuat kata sandi menjadi usang. Sekarang, admin situs web dan pengguna akhir dapat memiliki login yang aman tanpa ketidaknyamanan aplikasi dua faktor tambahan, pengelola kata sandi, atau persyaratan kata sandi yang rumit.

Pelajari Lebih Lanjut Tentang Kunci Sandi