Meskipun kematian kata sandi telah diprediksi sejak lama, perpindahan ke bentuk otentikasi lain hingga saat ini sangat lambat.
Pergeseran ke kerja jarak jauh yang didorong oleh pandemi telah meningkatkan minat untuk mengamankan jaringan yang lebih luas dan itu telah menempatkan otentikasi tanpa kata sandi menjadi sorotan. Kami berbicara dengan Tom Bridge, manajer produk utama di JumpCloud, untuk mengetahui lebih lanjut tentang teknologi dan manfaat yang ditawarkannya.
BN: Apa itu passwordless sebenarnya?
TB: Akses tanpa kata sandi adalah apa yang dikatakannya — masuk atau mengautentikasi dengan bentuk autentikasi lain untuk memeriksa siapa seseorang sebelum mengizinkan mereka mengakses sesuatu. Dengan mengganti kata sandi dengan rute lain, Anda dapat menghentikan serangan umum pada TI Anda seperti isian kredensial, menebak kata sandi untuk akun atau rekayasa sosial yang dibagikan. Cara umum untuk mencapai autentikasi tanpa kata sandi termasuk menggunakan perangkat karyawan dengan autentikasi push, tautan cerdas yang dikirim ke alamat email, atau token fisik. Demikian pula, tanpa kata sandi dapat menggunakan otentikasi biometrik dengan sidik jari atau pengenalan wajah untuk membuktikan bahwa seseorang adalah seperti yang mereka katakan pada waktu dan tempat tertentu.
Itu juga mengatasi masalah karena harus mengelola kebijakan kata sandi di mana pengguna harus secara teratur mengubah kredensial mereka secara teratur. Hal ini dapat menyebabkan lebih banyak penggunaan kembali kata sandi, dan kemudian akun menjadi kurang aman dari waktu ke waktu.
Tanpa kata sandi juga mencakup penggunaan kunci sandi, yang berarti Anda dapat mengunci autentikasi ke domain tertentu. Ini berarti bahwa pengguna tidak dapat terkena phishing, yang merupakan salah satu masalah terbesar yang dihadapi perusahaan, berapa pun ukurannya. Apple telah menambahkan dukungan untuk kunci sandi, misalnya, membantu semua orang untuk mengadopsi pendekatan ini.
BN: Mengapa perusahaan harus melihat area ini? Bagaimana itu membantu mereka?
TB: Verizon menemukan bahwa 61 persen pelanggaran yang dialami perusahaan melibatkan data kredensial. Daripada kerentanan perangkat lunak atau lubang nol hari dalam perangkat lunak yang membutuhkan keterampilan dalam jumlah besar untuk dilakukan, banyak pelanggaran setara dengan membiarkan pintu rumah Anda tidak terkunci. Tidak perlu banyak keterampilan untuk memanfaatkan akses semacam itu, jadi aktor jahat akan memanfaatkan kredensial yang dikumpulkan, seperti yang mungkin dilakukan pencuri jika mereka menemukan pintu dengan kunci masih terkunci..
Menghapus kata sandi dan menggantinya dengan cara yang lebih baik, lebih efektif, dan aman untuk mengelola identitas akan membantu memecahkan banyak masalah potensial ini dari waktu ke waktu. Ini mencegah masalah sederhana tersebut agar peretas tidak mendapatkan akses jaringan atau aplikasi dan mencoba menemukan cara lain untuk mencuri data atau mengimplementasikan ransomware.
BN: Mengapa daerah ini mendapatkan banyak hype?
TB: Banyak perusahaan ingin menerapkan model keamanan tanpa kepercayaan sehingga mereka dapat meningkatkan pertahanan mereka, dan mengelola identitas secara efektif sangat penting jika Anda ingin beralih ke tanpa kepercayaan. Anda harus membuktikan bahwa Anda adalah siapa yang Anda katakan, dan kemudian menjaga tingkat keamanan itu di tempatnya. Ini sering berarti beberapa perubahan dalam bagaimana keamanan diterapkan, dan tanpa kata sandi adalah elemen kunci dalam perubahan itu.
Tanpa kata sandi harus sesederhana untuk digunakan dan digunakan seperti kata sandi tradisional, atau orang tidak akan menerimanya atau mencari jalan keluar. Mengatakan bahwa Anda akan tanpa kata sandi bukanlah peluru ajaib yang secara ajaib akan mencegah peretasan terjadi. Implementasi otentikasi tanpa kata sandi yang efektif membutuhkan eksekusi dan pelatihan untuk diadopsi.
Menurut riset Productiv tahun lalu, rata-rata jumlah aplikasi yang dimiliki perusahaan adalah 254. Dari semua aplikasi itu, hanya 45 persen yang akan digunakan secara reguler. Tim akan menggunakan antara 40 dan 60 aplikasi masing-masing, dan mengingat kredensial untuk semua sistem itu hanyalah kerja keras. Menerapkan pengelola kata sandi dan sistem masuk tunggal (SSO) dapat membantu karyawan Anda mendapatkan akses yang lebih cerdas dan lebih cepat ke sistem mereka, dan membuat segalanya lebih mudah bagi mereka serta lebih aman.
BN: Oke, langkah praktis apa yang bisa dilakukan masyarakat untuk mengatasi hal ini?
TB: Menerapkan tanpa kata sandi melibatkan tiga langkah. Pertama, Anda harus memusatkan pendekatan Anda ke otentikasi. Daripada mengandalkan proses masuk setiap aplikasi, Anda menempatkan semuanya melalui satu titik kontrol. Ini menggabungkan jumlah login yang harus dilakukan pengguna dan jumlah kata sandi yang harus diingat pengguna.
Menggunakan SSO yang ditautkan ke satu identitas yang sangat kuat dan aman lebih baik daripada memiliki beberapa aplikasi masing-masing dengan miliknya sendiri. Demikian pula, menggunakan pengelola kata sandi dapat menyederhanakan cara mengontrol akses ke semua aplikasi tersebut. Untuk bisnis, alat seperti SSO dan pengelola kata sandi dapat dikelola secara terpusat, yang memudahkan untuk mendistribusikan akses ke pengguna dan grup, dan untuk mencabut akses pengguna saat Anda perlu mengambil akses tersebut.
Setelah ini, Anda dapat menerapkan otentikasi multi-faktor, sehingga pengguna harus membuktikan siapa yang mereka katakan. Namun, dengan adanya SSO, mereka hanya perlu melakukan ini sekali. MFA adalah pendahulu yang fantastis untuk otentikasi tanpa kata sandi karena masih memiliki kata sandi yang tersimpan, dan pengguna menjadi terbiasa dengan faktor verifikasi yang biasanya digunakan dalam otentikasi tanpa kata sandi pada saat yang bersamaan.
Terakhir, Anda harus melihat penerapan struktur login FIDO, dan kemudian bagaimana Anda menskalakannya seiring waktu. FIDO adalah seperangkat standar untuk otentikasi tanpa kata sandi yang aman yang dibuat oleh FIDO Alliance, jadi ini membantu Anda membuktikan pendekatan Anda di masa depan. Anda dapat memulai implementasi Anda dengan sekelompok pengguna, mengumpulkan umpan balik dan memperbaiki masalah yang dirasakan, dan kemudian meluncurkan ke lebih banyak karyawan. Ini akan membantu Anda meningkatkan, tetapi juga menjaga semuanya tetap terjaga.
BN: Akankah peretasan tanpa kata sandi berhenti terjadi?
TB: Tanpa kata sandi bukanlah peluru perak. Ini akan menghentikan banyak peretasan potensial, tetapi itu tidak akan meningkatkan keseluruhan permukaan serangan Anda sepenuhnya. Apa yang akan dicapainya adalah membuat keamanan lebih mudah diterapkan dan dipelihara dari waktu ke waktu, ini akan melindungi dari beberapa serangan skrip yang lebih mudah yang dapat dilakukan peretas, dan ini akan mencegah beberapa serangan rekayasa sosial yang digunakan oleh pelaku jahat. Anda tidak dapat memberikan kata sandi Anda ketika Anda tidak mengetahuinya, dan Anda tidak dapat membagikan detail otentikasi Anda. Pendekatan ini sangat cocok dengan teknik keamanan lainnya seperti sidik jari perangkat dan akses bersyarat.
Hal terbesar yang perlu diingat adalah bahwa tanpa kata sandi adalah tentang menjaga hal-hal yang mudah digunakan untuk karyawan Anda sambil mempersulit pekerjaan masuk ke jaringan perusahaan bagi penyerang.
Kredit gambar: reborn55/depositphotos.com
