Pada hari-hari awal komputasi, autentikasi sederhana, tetapi pendekatannya semakin canggih dari waktu ke waktu. Misalnya, sistem autentikasi berbasis kata sandi modern seperti Kerberos sebenarnya tidak mengirimkan kata sandi lagi; mereka menghasilkan token autentikasi yang dikirimkan sebagai gantinya.
Tetapi bahkan dengan peningkatan ini, pendekatan otentikasi berbasis nama pengguna dan kata sandi masih memiliki kelemahan utama: jika seseorang mempelajari kata sandi pengguna lain, mereka tidak dapat dibedakan dari pengguna sebenarnya. Dan meskipun Bill Gates memperkirakan kematian kata sandi hampir 20 tahun yang lalu, mereka tetap menjadi metode autentikasi default untuk berbagai layanan di kantor dan rumah.
Kembali pada Desember 2022, PayPal memperingatkan pelanggannya tentang akses pihak ketiga yang tidak sah ke beberapa akun yang berpotensi mengakibatkan kebocoran informasi pribadi. Insiden tersebut segera mempertanyakan ketentuan keamanan dasar PayPal dan pertanyaan seperti mengapa Multi-Factor Authentication (MFA) tidak ditegakkan secara default untuk layanan sensitif seperti PayPal.
Dalam peristiwa tersebut, penyebab utamanya adalah masalah umum di mana pemilik akun menggunakan kombinasi ID/sandi yang sama untuk beberapa situs dan aplikasi. Menurut survei One Identity baru-baru ini, 84 persen responden mengatakan mereka memiliki kata sandi favorit. Penyemprotan kata sandi seperti itu menyederhanakan akses pelaku ancaman ke informasi sensitif, terutama jika tidak dilindungi dengan lapisan otentikasi tambahan. Wakil Presiden Keamanan Identitas Microsoft Alex Weinert dalam keynote-nya di The Experts Conference (TEC) 2022 menyoroti bahwa serangan penyemprot kata sandi meningkat dari 350 ribu pada tahun 2018 menjadi lebih dari 5 juta pada tahun 2022. Dia juga mencatat bahwa kemungkinan kompromi meningkat lebih dari 20 kali lipat dengan tidak ada MFA yang diaktifkan.
Dengan demikian, MFA menjadi komponen penting dari strategi keamanan siber, menguntungkan organisasi dan penggunanya dengan mengatasi kelemahan utama autentikasi nama pengguna dan kata sandi.
Dengan perusahaan seperti Microsoft mengubah rekomendasi mereka sendiri untuk identifikasi MFA dan segera mengaktifkan metodologi otentikasi baru, yang disebut pencocokan nomor, penerapan MFA untuk pengguna yang berisiko menjadi penting dan sangat disarankan oleh para pemimpin industri.
Menggunakan pencocokan nomor
Menurut Cybersecurity and Infrastructure Security Agency (CISA) AS, pencocokan nomor adalah mitigasi sementara terbaik untuk organisasi yang mungkin tidak segera dapat menerapkan MFA tahan phishing. Pencocokan nomor mengharuskan pengguna untuk mencocokkan nomor yang dihasilkan secara otomatis di layar masuk dengan nomor di aplikasi Authenticator mereka. Dalam sebuah panduan, CISA menyarankan untuk menggunakan autentikasi multi-faktor berbasis pencocokan angka sebagai perlindungan tambahan untuk aplikasi cloud. Beberapa vendor sudah menyertakan pencocokan nomor dalam implementasi MFA mereka, dan meskipun Microsoft tidak mengamanatkan multifaktor berbasis angka saat ini, mereka akan mulai meluncurkan mandat tersebut pada 27 Februari 2023.
Selain MFA pencocokan nomor, administrator disarankan untuk secara berkala meninjau log audit dan autentikasi multifaktor yang gagal, serta mendorong staf untuk melaporkan hal yang tidak biasa, spesifik dalam waktu kapan peristiwa terjadi, MFA meminta, untuk ditinjau oleh staf forensik .
Namun, selalu penting untuk mengingat kelelahan MFA serta vektor serangan lainnya seperti phishing dan ikuti rekomendasi CISA tentang penerapan MFA tahan phishing untuk perlindungan keamanan yang lebih baik.
Implementasi MFA tahan phishing
Ada beberapa variasi autentikasi multifaktor, tetapi hampir semuanya memiliki kelemahan: diperlukan interaksi manusia. Dan di mana interaksi manusia diperlukan, phishing dapat terjadi.
Tanggapan dan jawaban umum untuk bentuk MFA yang paling bermasalah adalah MFA tahan phishing — standar keamanan siber emas CISA, yang menghilangkan faktor manusia dari persamaan.
Autentikasi tahan phishing yang paling banyak tersedia adalah autentikasi FIDO/WebAuthn, yang didukung oleh browser utama, sistem operasi, dan ponsel pintar. Dengan autentikasi tahan phishing, kata sandi diganti melalui kriptografi kuat yang dikaitkan dengan autentikator eksternal seperti kunci keamanan USB, perangkat yang dimiliki pengguna, atau API manajemen kredensial. Berdasarkan kriptografi kunci publik, MFA tahan phishing meniadakan penggunaan kode bersama, mengurangi kemampuan penyerang mencegat kode akses dan memutarnya kembali.
Tentu saja, ada biaya dan anggaran yang perlu dipertimbangkan saat memilih metodologi ini, karena penerapan token membutuhkan waktu, dan disarankan untuk memiliki lebih dari satu token sebagai cadangan. Token fisik juga menuntut agar pengguna ingat untuk menyimpannya, sedangkan bagi banyak dari kita, ponsel adalah barang yang lebih alami untuk disimpan. Perusahaan disarankan untuk memikirkan perangkat yang membantu pengguna menyimpan token dan mempermudah mereka untuk memilikinya saat diperlukan.
Bukti Palsu
Namun sisi positifnya, penerapan MFA yang tahan terhadap phishing memastikan bahwa multifaktor tidak dapat dipalsukan. Saat menerapkan MFA tahan phishing, perusahaan perlu menyelidiki apakah aplikasi yang ingin mereka lindungi akan mendukung penerapan multifaktor yang ditingkatkan ini. Beberapa tidak akan mendukung token tambahan ini dan sebagai gantinya hanya akan mengandalkan token aplikasi.
Mungkin juga ada kurva pembelajaran dan waktu implementasi, yang dapat mengarah pada penggunaan multi-faktor berbasis aplikasi sebagai tindakan sementara untuk memastikan bahwa perlindungan sudah ada dan kemudian menyebarkan pendekatan berbasis token untuk perlindungan tambahan.
Tidak diragukan lagi bahwa autentikasi multifaktor menguntungkan organisasi dan pengguna dengan memperkuat keamanan secara dramatis. Tetapi membutuhkan autentikasi multifaktor untuk semua orang sepanjang waktu dijamin akan membuat pengguna frustrasi dan mengganggu produktivitas. Penting untuk mengambil pendekatan yang seimbang.
MFA sebaiknya dipahami sebagai salah satu aspek dari strategi keamanan organisasi Anda yang lebih luas. Banyak pakar sekarang merekomendasikan untuk mengembangkan strategi keamanan berdasarkan prinsip Zero Trust dan menggunakan alat seperti Azure AD Conditional Access, yang memberi Anda banyak fleksibilitas untuk menerapkan MFA dengan bijaksana.
Dengan jumlah serangan siber yang terus melonjak dan sebuah laporan menemukan bahwa 20 persen perusahaan mengatakan bahwa serangan siber mengancam solvabilitas mereka, penerapan MFA merupakan langkah penting dalam melindungi bisnis dan reputasi perusahaan dari ancaman siber. Meskipun bukan obat mujarab untuk semua kerentanan dunia maya, ini diperlukan dalam mitigasi ancaman.
Kredit gambar: Jirsak / depositphotos
Alistair Holmes adalah Arsitek Solusi Utama, Perangkat Lunak Quest
