Apa itu otentikasi dua faktor dan mengapa itu digunakan?
Otentikasi dua faktor (2FA), kadang-kadang disebut sebagai verifikasi dua langkah atau otentikasi faktor ganda, adalah proses keamanan di mana pengguna menyediakan dua faktor otentikasi yang berbeda untuk memverifikasi diri mereka sendiri.
2FA diimplementasikan untuk melindungi kredensial pengguna dan sumber daya yang dapat diakses pengguna dengan lebih baik. Autentikasi dua faktor memberikan tingkat keamanan yang lebih tinggi daripada metode autentikasi yang bergantung pada autentikasi faktor tunggal (SFA), di mana pengguna hanya menyediakan satu faktor biasanya, kata sandi atau kode sandi.
Metode autentikasi dua faktor bergantung pada pengguna yang memberikan kata sandi sebagai faktor pertama dan faktor kedua yang berbeda biasanya token keamanan atau faktor biometrik, seperti sidik jari atau pemindaian wajah.
Otentikasi dua faktor menambahkan lapisan keamanan tambahan ke proses otentikasi dengan mempersulit penyerang untuk mendapatkan akses ke perangkat atau akun online seseorang karena, bahkan jika kata sandi korban diretas, kata sandi saja tidak cukup untuk lulus pemeriksaan otentikasi.
Otentikasi dua faktor telah lama digunakan untuk mengontrol akses ke sistem dan data sensitif. Penyedia layanan online semakin banyak menggunakan 2FA untuk melindungi kredensial pengguna mereka agar tidak digunakan oleh peretas yang mencuri basis data kata sandi atau menggunakan kampanye phishing untuk mendapatkan kata sandi pengguna.
Apa itu faktor autentikasi?
Ada beberapa cara di mana seseorang dapat diautentikasi menggunakan lebih dari satu metode otentikasi. Saat ini, sebagian besar metode autentikasi bergantung pada faktor pengetahuan, seperti kata sandi tradisional, sementara metode autentikasi dua faktor menambahkan faktor kepemilikan atau faktor inherensi.
- Faktor autentikasi, yang tercantum dalam perkiraan urutan adopsi untuk komputasi, meliputi:
- Faktor pengetahuan adalah sesuatu yang diketahui pengguna, seperti kata sandi, nomor identifikasi pribadi (PIN) atau jenis rahasia bersama lainnya.
- Faktor kepemilikan adalah sesuatu yang dimiliki pengguna, seperti kartu ID, token keamanan, ponsel, perangkat seluler, atau aplikasi ponsel cerdas, untuk menyetujui permintaan otentikasi.
- Faktor biometrik, juga dikenal sebagai faktor inherensi, adalah sesuatu yang melekat dalam diri fisik pengguna. Ini mungkin atribut pribadi yang dipetakan dari karakteristik fisik, seperti sidik jari yang diautentikasi melalui pembaca sidik jari. Faktor inherensi lain yang umum digunakan termasuk pengenalan wajah dan suara atau biometrik perilaku, seperti dinamika penekanan tombol, gaya berjalan atau pola bicara.
- Faktor lokasi biasanya dilambangkan dengan lokasi dari mana upaya otentikasi sedang dilakukan. Ini dapat diberlakukan dengan membatasi upaya autentikasi ke perangkat tertentu di lokasi tertentu atau dengan melacak sumber geografis upaya autentikasi berdasarkan alamat Protokol Internet sumber atau beberapa informasi geolokasi lainnya, seperti data Global Positioning System (GPS), yang berasal dari ponsel pengguna atau perangkat lain.
- Faktor waktu membatasi autentikasi pengguna ke jendela waktu tertentu di mana masuk diizinkan dan membatasi akses ke sistem di luar jendela tersebut.
Sebagian besar metode autentikasi dua faktor bergantung pada tiga faktor autentikasi pertama, meskipun sistem yang membutuhkan keamanan yang lebih besar dapat menggunakannya untuk menerapkan autentikasi multifaktor (MFA), yang dapat mengandalkan dua atau lebih kredensial independen untuk autentikasi yang lebih aman.
Bagaimana cara kerja autentikasi dua faktor?
Mengaktifkan autentikasi dua faktor bervariasi tergantung pada aplikasi atau vendor tertentu. Namun, proses otentikasi dua faktor melibatkan proses multistep umum yang sama:Pengguna diminta untuk masuk oleh aplikasi atau situs web.
Pengguna memasukkan apa yang mereka ketahui - biasanya, nama pengguna dan kata sandi. Kemudian, server situs menemukan kecocokan dan mengenali pengguna. Untuk proses yang tidak memerlukan kata sandi, situs web menghasilkan kunci keamanan unik untuk pengguna. Alat autentikasi memproses kunci, dan server situs memvalidasinya.
Situs kemudian meminta pengguna untuk memulai langkah login kedua. Meskipun langkah ini dapat mengambil sejumlah bentuk, pengguna harus membuktikan bahwa mereka memiliki sesuatu yang hanya akan mereka miliki, seperti biometrik, token keamanan, kartu ID, smartphone atau perangkat seluler lainnya. Ini adalah faktor inherensi atau kepemilikan.
Kemudian, pengguna mungkin harus memasukkan kode satu kali yang dihasilkan selama langkah keempat. Setelah memberikan kedua faktor tersebut, pengguna diautentikasi dan diberikan akses ke aplikasi atau situs web.
Elemen otentikasi dua faktor
Otentikasi dua faktor adalah bentuk MFA. Secara teknis, ini digunakan setiap saat dua faktor otentikasi diperlukan untuk mendapatkan akses ke sistem atau layanan. Namun, menggunakan dua faktor dari kategori yang sama bukan merupakan 2FA. Misalnya, memerlukan kata sandi dan rahasia bersama masih dianggap SFA karena keduanya termasuk dalam jenis faktor otentikasi pengetahuan.
Sejauh layanan SFA berjalan, nama pengguna dan kata sandi bukanlah yang paling aman. Satu masalah dengan otentikasi berbasis kata sandi adalah membutuhkan pengetahuan dan ketekunan untuk membuat dan mengingat kata sandi yang kuat.
Kata sandi memerlukan perlindungan dari banyak ancaman orang dalam, seperti catatan tempel yang disimpan sembarangan dengan kredensial login, hard drive lama, dan eksploitasi rekayasa sosial. Kata sandi juga menjadi mangsa ancaman eksternal, seperti peretas yang menggunakan serangan brute-force, kamus, atau tabel pelangi.
Mengingat waktu dan sumber daya yang cukup, penyerang biasanya dapat melanggar sistem keamanan berbasis kata sandi dan mencuri data perusahaan. Kata sandi tetap menjadi bentuk SFA yang paling umum karena biayanya yang rendah, kemudahan implementasi, dan keakraban.
Beberapa pertanyaan respons tantangan dapat memberikan lebih banyak keamanan, tergantung pada bagaimana mereka diimplementasikan, dan metode verifikasi biometrik mandiri juga dapat memberikan metode SFA yang lebih aman.
Jenis produk otentikasi dua faktor
Ada banyak perangkat dan layanan berbeda untuk menerapkan 2FA mulai dari token hingga kartu identifikasi frekuensi radio (RFID) hingga aplikasi ponsel cerdas.
Produk otentikasi dua faktor dapat dibagi menjadi dua kategori: token yang diberikan kepada pengguna untuk digunakan saat masuk; dan infrastruktur atau perangkat lunak yang mengenali dan mengautentikasi akses bagi pengguna yang menggunakan token mereka dengan benar.
Token autentikasi mungkin merupakan perangkat fisik, seperti fob kunci atau kartu pintar, atau mungkin ada di perangkat lunak sebagai aplikasi seluler atau desktop yang menghasilkan kode PIN untuk autentikasi. Kode autentikasi ini, juga dikenal sebagai kata sandi satu kali (OTP), biasanya dihasilkan oleh server dan dapat dikenali sebagai asli oleh perangkat atau aplikasi autentikasi. Kode autentikasi adalah urutan singkat yang ditautkan ke perangkat, pengguna, atau akun tertentu dan hanya dapat digunakan sekali sebagai bagian dari proses autentikasi.
Organisasi perlu menerapkan sistem untuk menerima, memproses, dan mengizinkan, atau menolak akses ke pengguna yang mengautentikasi dengan token mereka. Ini dapat digunakan dalam bentuk perangkat lunak server atau server perangkat keras khusus, serta disediakan sebagai layanan oleh vendor pihak ketiga.
Aspek penting dari 2FA adalah memastikan pengguna yang diautentikasi diberi akses ke semua sumber daya yang disetujui pengguna dan hanya sumber daya tersebut. Akibatnya, salah satu fungsi utama 2FA adalah menghubungkan sistem otentikasi dengan data otentikasi organisasi. Microsoft menyediakan beberapa infrastruktur yang diperlukan bagi organisasi untuk mendukung 2FA di Windows 10 hingga Windows Hello, yang dapat beroperasi dengan akun Microsoft, serta mengautentikasi pengguna melalui Microsoft Active Directory, Azure AD atau Fast IDentity Online (FIDO).
Cara kerja token perangkat keras 2FA
Token perangkat keras untuk 2FA tersedia yang mendukung berbagai pendekatan untuk autentikasi. Salah satu token perangkat keras yang populer adalah YubiKey, perangkat Universal Serial Bus (USB) kecil yang mendukung OTP, enkripsi dan otentikasi kunci publik, dan protokol Universal 2nd Factor yang dikembangkan oleh FIDO Alliance. Token YubiKey dijual oleh Yubico Inc., yang berbasis di Palo Alto, California.
Ketika pengguna dengan YubiKey masuk ke layanan online yang mendukung OTP - seperti Gmail, GitHub atau WordPress - mereka memasukkan YubiKey mereka ke port USB perangkat mereka, masukkan kata sandi mereka, klik di bidang YubiKey dan sentuh tombol YubiKey. YubiKey menghasilkan OTP dan memasukkannya ke dalam bidang.
OTP adalah kata sandi sekali pakai 44 karakter; 12 karakter pertama adalah ID unik yang mewakili kunci keamanan yang terdaftar di akun tersebut. 32 karakter yang tersisa berisi informasi yang dienkripsi menggunakan kunci yang hanya diketahui oleh perangkat dan server Yubico, yang dibuat selama pendaftaran akun awal.
OTP dikirim dari layanan online ke Yubico untuk pemeriksaan otentikasi. Setelah OTP divalidasi, server otentikasi Yubico mengirim kembali pesan yang mengonfirmasi bahwa ini adalah token yang tepat untuk pengguna ini. 2FA selesai. Pengguna telah menyediakan dua faktor otentikasi: Kata sandi adalah faktor pengetahuan, dan YubiKey adalah faktor kepemilikan.
Autentikasi dua faktor untuk perangkat seluler
Smartphone menawarkan berbagai kemampuan 2FA, memungkinkan perusahaan untuk menggunakan apa yang paling cocok untuk mereka. Beberapa perangkat dapat mengenali sidik jari, menggunakan kamera internal untuk pengenalan wajah atau pemindaian iris mata, dan menggunakan mikrofon untuk pengenalan suara.
Smartphone yang dilengkapi dengan GPS dapat memverifikasi lokasi sebagai faktor tambahan. Voice atau Short Message Service (SMS) juga dapat digunakan sebagai saluran untuk autentikasi out-of-band. Nomor telepon tepercaya dapat digunakan untuk menerima kode verifikasi melalui pesan teks atau panggilan telepon otomatis. Pengguna harus memverifikasi setidaknya satu nomor telepon tepercaya untuk mendaftar di seluler 2FA.
Apple iOS, Google Android dan Windows 10 semuanya memiliki aplikasi yang mendukung 2FA, memungkinkan ponsel itu sendiri berfungsi sebagai perangkat fisik untuk memenuhi faktor kepemilikan. Duo Security, yang berbasis di Ann Arbor, Mich., dan dibeli oleh Cisco pada tahun 2018 seharga $2.35 miliar, memiliki platform yang memungkinkan pelanggan untuk menggunakan perangkat tepercaya mereka untuk 2FA. Platform Duo pertama-tama menetapkan bahwa pengguna dipercaya sebelum memverifikasi bahwa perangkat seluler juga dapat dipercaya sebagai faktor otentikasi.
Aplikasi Authenticator menggantikan kebutuhan untuk mendapatkan kode verifikasi melalui teks, panggilan suara, atau email. Misalnya, untuk mengakses situs web atau layanan berbasis web yang mendukung Google Authenticator, pengguna mengetikkan nama pengguna dan sandi mereka faktor pengetahuan.
Pengguna kemudian diminta untuk memasukkan angka enam digit. Alih-alih harus menunggu beberapa detik untuk menerima pesan teks, pengautentikasi menghasilkan nomor untuk mereka. Angka-angka ini berubah setiap 30 detik dan berbeda untuk setiap login. Dengan memasukkan nomor yang benar, pengguna menyelesaikan proses verifikasi dan membuktikan kepemilikan perangkat yang benar faktor kepemilikan.
Ini dan produk 2FA lainnya menawarkan informasi tentang persyaratan sistem minimum yang diperlukan untuk menerapkan 2FA.
Pemberitahuan push untuk 2FA
Pemberitahuan push adalah autentikasi tanpa kata sandi yang memverifikasi pengguna dengan mengirimkan pemberitahuan langsung ke aplikasi aman di perangkat pengguna, memberi tahu pengguna bahwa upaya autentikasi sedang terjadi. Pengguna dapat melihat detail upaya autentikasi dan menyetujui atau menolak akses biasanya, dengan satu ketukan. Jika pengguna menyetujui permintaan autentikasi, server menerima permintaan tersebut dan memasukkan pengguna ke aplikasi web.
Pemberitahuan push mengautentikasi pengguna dengan mengonfirmasi bahwa perangkat yang terdaftar dengan sistem otentikasi biasanya perangkat seluler dimiliki oleh pengguna. Jika penyerang membahayakan perangkat, pemberitahuan push juga disusupi. Pemberitahuan push menghilangkan ancaman seperti serangan man-in-the-middle, akses tidak sah, dan serangan rekayasa sosial.
Meskipun pemberitahuan push lebih aman daripada bentuk metode autentikasi lainnya, masih ada risiko keamanan. Misalnya, pengguna dapat secara tidak sengaja menyetujui permintaan autentikasi penipuan karena mereka terbiasa mengetuk persetujuan saat mereka menerima pemberitahuan push.
Apakah autentikasi dua faktor aman?
Sementara otentikasi dua faktor memang meningkatkan keamanan, skema 2FA hanya seaman komponen terlemahnya. Misalnya, token perangkat keras bergantung pada keamanan penerbit atau produsen. Salah satu kasus paling terkenal dari sistem dua faktor yang disusupi terjadi pada tahun 2011 ketika perusahaan keamanan RSA Security melaporkan token otentikasi SecurID-nya telah diretas.
Proses pemulihan akun itu sendiri juga dapat ditumbangkan ketika digunakan untuk mengalahkan otentikasi dua faktor karena sering mengatur ulang kata sandi pengguna saat ini dan mengirim email kata sandi sementara untuk memungkinkan pengguna masuk lagi, melewati proses 2FA. Akun Gmail bisnis dari kepala eksekutif Cloudflare diretas dengan cara ini.
Meskipun 2FA berbasis SMS tidak mahal, mudah diterapkan dan dianggap ramah pengguna, ia rentan terhadap banyak serangan. National Institute of Standards and Technology (NIST) telah melarang penggunaan SMS dalam layanan 2FA dalam Publikasi Khusus 800-63-3: Pedoman Identitas Digital. NIST menyimpulkan bahwa OTP yang dikirim melalui SMS terlalu rentan karena serangan portabilitas nomor ponsel, serangan terhadap jaringan ponsel dan malware yang dapat digunakan untuk mencegat atau mengalihkan pesan teks.
Masa depan autentikasi
Lingkungan yang memerlukan keamanan lebih tinggi mungkin tertarik pada autentikasi tiga faktor, yang biasanya melibatkan kepemilikan token fisik dan kata sandi yang digunakan bersama dengan data biometrik, seperti pemindaian sidik jari atau cetak suara. Faktor-faktor seperti geolokasi, jenis perangkat, dan waktu dalam sehari juga digunakan untuk membantu menentukan apakah pengguna harus diautentikasi atau diblokir.
Selain itu, pengidentifikasi biometrik perilaku, seperti panjang penekanan tombol pengguna, kecepatan mengetik, dan gerakan mouse, juga dapat dipantau secara diam-diam secara real time untuk memberikan autentikasi berkelanjutan alih-alih satu pemeriksaan autentikasi satu kali selama login.
Mengandalkan kata sandi sebagai metode utama otentikasi, meskipun umum, seringkali tidak lagi menawarkan keamanan atau pengalaman pengguna yang diminta perusahaan dan penggunanya. Dan, meskipun alat keamanan lama, seperti pengelola kata sandi dan MFA, mencoba menangani masalah nama pengguna dan kata sandi, mereka bergantung pada arsitektur yang pada.