Selama bertahun-tahun, industri teknologi telah terjebak dalam serangkaian terminologi yang rumit dalam upayanya untuk meningkatkan atau memperbarui kata sandi tradisional. Istilah seperti otentikasi dua faktor (2FA), otentikasi dua langkah, otentikasi multifaktor (MFA), dan kemajuan terbaru seperti Universal Second Factor (U2F), Fast Identity Online 2 (FIDO2), WebAuthn, dan passkeys telah menambah lapisan kebingungannya. Selama bertahun-tahun, pendekatan umum adalah untuk membuat pengguna mengadopsi salah satu dari metode ini, karena dianggap sebagai peningkatan dibandingkan hanya mengandalkan kata sandi. Namun, kini kita telah mencapai titik di mana penting untuk menaikkan standar apa yang dianggap dapat diterima dalam hal otentikasi. Dalam artikel ini, saya akan mengeksplorasi keadaan upaya bypass “metode otentikasi yang lebih kuat” dan menyoroti cara terbaik ke depan.
Tidak Selalu Pilihan Terbaik
Salah satu masalah dengan banyak metode “2FA” yang umum digunakan adalah bahwa mereka tidak memenuhi definisi ideal dari otentikasi dua faktor. Otentikasi dua faktor yang sesungguhnya seharusnya melibatkan dua dari tiga jenis berikut: sesuatu yang Anda ketahui (seperti kata sandi atau PIN), sesuatu yang Anda miliki (seperti token USB/Bluetooth, SmartCard, atau pasangan kunci publik/pribadi), atau sesuatu yang Anda adalah (seperti sidik jari atau pengenalan wajah). Sayangnya, banyak implementasi awal dari 2FA melibatkan “sesuatu yang Anda ketahui” dan kemudian bentuk lain dari “sesuatu yang lain yang Anda ketahui.”
Sebagai contoh, token RSA, otentikasi berbasis SMS, atau Time-based One-Time Password (TOTP) seperti Google Authenticator dan Authy umumnya memberikan kode 6 digit yang berputar setiap 30 detik. Meskipun metode berbasis SMS telah dikritik karena kerentanannya seperti SIM swapping, kenyataannya adalah bahwa sebagian besar solusi ini secara inheren lemah dan rentan terhadap intersepsi.
Masalahnya muncul ketika Anda mempertimbangkan betapa mudahnya serangan phishing dapat melewati metode otentikasi yang disebut “lebih kuat” ini. Bayangkan Anda menerima email phishing yang dirancang dengan baik, mungkin dihasilkan oleh AI. Agar penipuan berhasil, korban harus percaya bahwa email tersebut sah, terlepas dari apakah mereka menggunakan otentikasi multifaktor atau tidak. Jika Anda yakin Anda sedang login ke akun bank, email, atau perusahaan, Anda kemungkinan besar akan mengungkapkan tidak hanya kata sandi Anda, tetapi juga kode rahasia yang dikirimkan kepada Anda. Pengaturan ini cacat karena penipu dapat memverifikasi identitas Anda, tetapi Anda tidak memverifikasi identitas entitas yang meminta kredensial Anda.
Sangat mudah untuk mengeksploitasi kelemahan ini dengan alat yang tersedia secara gratis seperti evilginx2, sebuah alat populer yang berbasis pada server web NGINX. Evilginx2 memungkinkan penyerang mencuri cookie sesi dan melewati otentikasi multifaktor. Hal ini telah menurunkan kesulitan bagi para penjahat untuk melakukan serangan.
Bagaimana Kita Bisa Sampai di Sini?
Sejarah kompromi kredensial dimulai dengan serangan sederhana seperti mencium lalu lintas Wi-Fi yang tidak terenkripsi atau mengeksploitasi kerentanannya di jaringan sebelum enkripsi menjadi umum. Pada tahun 2010, dirilisnya alat FireSheep memungkinkan penyerang mencuri login di ruang publik yang Wi-Fi-nya tidak terenkripsi, seperti di kafe. Menanggapi serangan ini, dan kebocoran yang dilakukan oleh Edward Snowden pada tahun 2013, dunia maya mulai mengenkripsi hampir semua hal. Peralihan ke HTTPS membantu melindungi dari serangan man-in-the-middle (MitM) dan mengamankan lalu lintas online.
Namun, seiring dengan meluasnya penggunaan enkripsi, para penjahat beralih fokus untuk mencuri kredensial. Banyak pengguna, meskipun demikian, hanya mengimplementasikan bentuk otentikasi multifaktor yang paling murah dan kurang efektif, seperti mengandalkan kata sandi ditambah kode rahasia yang dinamis. Meskipun ini tampaknya langkah maju, sebenarnya ini hanya sebuah hambatan yang lemah yang masih rentan terhadap rekayasa sosial.
Memperkenalkan WebAuthn
Konsensus industri telah bergeser menuju standar baru yang disebut Web Authentication API (WebAuthn), yang bertujuan untuk menawarkan perlindungan yang lebih kuat terhadap serangan phishing. WebAuthn, yang dipadukan dengan passkeys, membuat otentikasi multifaktor jauh lebih tahan terhadap serangan phishing. Meskipun tidak ada solusi yang sepenuhnya sempurna, penelitian terbaru menunjukkan bahwa WebAuthn adalah salah satu opsi yang paling aman untuk mencegah pencurian kredensial.
Begini cara kerja WebAuthn: saat membuat akun di situs yang mendukung passkeys, pengguna diminta untuk memberikan nama pengguna (biasanya alamat email mereka). Situs tersebut kemudian mengirimkan tantangan ke perangkat pengguna. Perangkat tersebut menghasilkan pasangan kunci kriptografis, menyimpannya dengan aman, dan menandatangani tantangan dengan kunci pribadi sambil mengirimkan kunci publik yang sesuai ke situs untuk digunakan di kemudian hari. Saat pengguna mengunjungi situs tersebut lagi, mereka tidak perlu memberikan kata sandi. Sebagai gantinya, nama pengguna digunakan untuk mengidentifikasi pengguna, dan situs mengajukan tantangan ke perangkat. Perangkat kemudian menggunakan kunci pribadi untuk menandatangani tantangan, membuktikan identitas pengguna.
Sistem ini memastikan bahwa pengguna tidak lagi mengandalkan kata sandi, yang bisa dicuri atau diputar ulang. Sebagai gantinya, mereka menggunakan pasangan kunci kriptografis, menjadikan WebAuthn sebagai bentuk otentikasi yang lebih aman dan tahan terhadap phishing. Meskipun beberapa kerentanannya telah ditemukan, masalah tersebut telah segera diperbaiki, menjadikan WebAuthn salah satu jalur yang menjanjikan di masa depan dalam upaya melawan pencurian kredensial.
Sebagai kesimpulan, seiring industri terus berkembang, jelas bahwa solusi seperti WebAuthn dan passkeys mewakili langkah logis berikutnya dalam menciptakan pengalaman online yang lebih aman dan lebih terlindungi. Meskipun perjalanan ini telah dipersulit dengan berbagai upaya untuk meningkatkan keamanan kata sandi, pendekatan baru ini akhirnya menawarkan pertahanan yang kuat terhadap ancaman serangan siber yang terus berkembang.
Apakah Anda sudah mempertimbangkan Sophos sebagai solusi perlindungan titik akhir dengan peringkat terbaik dan ulasan terbanyak?
Jika Anda berminat, kami mengundang Anda untuk menghubungi Sophos Indonesia untuk mendapatkan informasi lebih lanjut tentang solusi keamanan unggulan ini. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia dan sophos.ilogoindonesia.id jika Anda ingin penjelasan lebih mendalam.
