Panduan Pembeli untuk Otentikasi Tanpa Kata Sandi

Sepertinya sudah sangat lama sejak Anda mengevaluasi solusi autentikasi pengguna Anda.

Lagi pula, tidak setiap hari bisnis berada di pasar untuk solusi otentikasi pengguna baru. Beberapa tidak pernah menggunakan apa pun selain kata sandi sederhana untuk mengautentikasi penggunanya. Orang lain mungkin telah menerapkan solusi otentikasi multi-faktor tradisional untuk mengatasi masalah keamanan khusus yang terkait dengan otentikasi koneksi akses jarak jauh atau sebagai tanggapan terhadap persyaratan peraturan untuk otentikasi yang lebih kuat. Panduan singkat ini memberikan tinjauan terkini tentang pendekatan otentikasi pengguna modern.

Laporan Investigasi Pelanggaran Data Verizon (DBIR) yang diterbitkan pada tahun 2017 telah menjadi momen penting untuk persepsi tentang otentikasi pengguna. Laporan tersebut menjadi berita utama di seluruh dunia TI ketika mengungkapkan bahwa 81 persen pelanggaran data adalah hasil dari kata sandi yang disusupi.

Inilah saat banyak bisnis menyadari bahwa kata sandi tidak menyelesaikan masalah keamanan mereka dan malah menyebabkan banyak masalah, dan ketika mereka mulai melihat opsi otentikasi alternatif. Ini adalah momen ketika otentikasi tanpa kata sandi berubah dari alternatif niche yang dikejar oleh bisnis yang berpikiran maju menjadi sesuatu yang dibicarakan semua orang.

Apa itu otentikasi tanpa kata sandi?

Otentikasi tanpa kata sandi mendefinisikan kelas solusi otentikasi yang memverifikasi identitas pengguna tanpa menggunakan kata sandi. Bukti identitas didasarkan pada faktor lain yang secara unik mengidentifikasi pengguna seperti kepemilikan sesuatu yang terkait secara unik dengan pengguna (misalnya pembuat kata sandi satu kali, perangkat seluler terdaftar, atau token perangkat keras), atau tanda tangan biometrik pengguna (mis. sidik jari, sidik wajah, pemindaian retina, dll.). Otentikasi berdasarkan sesuatu yang diketahui pengguna (yaitu otentikasi berbasis pengetahuan) juga dimungkinkan, selama sesuatu itu bukan kata sandi.

4 jenis metode otentikasi tanpa kata sandi

Berikut adalah beberapa metode otentikasi tanpa kata sandi yang sering digunakan orang:

Kode satu kali

Kode satu kali dikirim ke perangkat seluler atau alamat email terdaftar. Ini biasanya digunakan oleh bisnis untuk mengautentikasi pelanggan mereka (B2C). Ini kurang umum digunakan untuk otentikasi perusahaan, yaitu untuk otentikasi karyawan.

Biometrik

Metode otentikasi tanpa kata sandi ini telah menjadi norma untuk mengautentikasi pengguna ke perangkat seluler mereka, dengan penerapan teknologi yang populer di Apple Face ID, dan otentikasi sidik jari tersedia di mana-mana bahkan pada perangkat seluler termurah. Biometrik terutama digunakan untuk mengautentikasi pengguna ke perangkat itu sendiri dan lebih jarang ke sumber daya yang diakses dari perangkat.

Token keamanan perangkat keras khusus

Token keamanan perangkat keras khusus, biasanya menyimpan kredensial Infrastruktur Kunci Publik (PKI). Dalam beberapa tahun terakhir, perangkat yang sesuai dengan FIDO seperti YubiKeys semakin populer sebagai alternatif otentikasi pengguna dengan jaminan tinggi untuk kata sandi. Perangkat ini menawarkan tingkat keamanan yang baik, karena sulit untuk dipalsukan dan memerlukan kepemilikan fisik, tetapi juga agak mahal dan tidak praktis bagi pengguna untuk dibawa-bawa dan digunakan.

Kredensial autentikasi yang dilampirkan ke perangkat host

Kredensial ini (yaitu sertifikat otentikasi klien PKI yang disematkan ke komputer pribadi) sebagian besar digunakan untuk mengotentikasi workstation karyawan ke jaringan dan sumber daya bisnis. Di sini sekali lagi, solusi yang sesuai dengan FIDO semakin populer, dengan contoh yang paling menonjol adalah Microsoft Windows Hello for Business. Windows Hello tersedia pada versi Windows yang lebih baru dan menggabungkan kredensial yang sesuai dengan FIDO bersama dengan PIN pengguna atau cetakan biometrik untuk membuka kunci akses ke kredensial.

Otentikasi multi-faktor (MFA) vs. otentikasi tanpa kata sandi

Menggabungkan berbagai bentuk otentikasi untuk pemeriksaan identitas menghasilkan otentikasi multi-faktor (MFA). Secara historis, MFA digunakan sebagai cara untuk meningkatkan keamanan otentikasi berbasis kata sandi. Menggunakan kata sandi (sesuatu yang Anda ketahui) bersama dengan key fob khusus atau perangkat seluler terdaftar (sesuatu yang Anda miliki) akan memberikan beberapa faktor otentikasi yang lebih sulit untuk di-phish, diretas, atau diretas, dan karenanya memberikan tingkat jaminan yang lebih tinggi.

Saat ini, dimungkinkan untuk menggunakan beberapa faktor otentikasi tanpa kata sandi sebagai salah satu faktor, menghasilkan MFA tanpa kata sandi. Faktor otentikasi yang paling umum digunakan untuk MFA tanpa kata sandi adalah perangkat seluler terdaftar milik pengguna bersama dengan PIN pengguna atau sidik jari yang disediakan melalui sensor sidik jari bawaan perangkat.

Pertimbangan saat mengevaluasi solusi otentikasi tanpa kata sandi

Jadi apa yang harus dilihat perusahaan saat mencari solusi otentikasi yang tepat? Ada banyak pertimbangan saat membeli solusi otentikasi pengguna baru, tetapi tiga yang paling penting adalah:

Apakah solusi otentikasi mendukung seluruh kasus penggunaan otentikasi pengguna?

Pertimbangan paling mendasar adalah apakah solusi otentikasi mendukung kasus penggunaan otentikasi yang luas yang dihadapi oleh pengguna selama hari kerja mereka. Ketika kasus penggunaan tertentu tidak didukung, maka salah satu dari dua opsi tersedia: tinggalkan solusi autentikasi yang ada – biasanya nama pengguna dan kata sandi sederhana – atau bawa solusi autentikasi kedua.

Mengembalikan ke nama pengguna dan kata sandi mengalahkan tujuan berinvestasi dalam solusi otentikasi yang lebih baik dan lebih aman karena itu berarti kata sandi yang rentan masih dapat dieksploitasi oleh penyerang, membuat bisnis terbuka. Ini disamakan dengan membangun tembok berbenteng di sekitar rumah Anda dan membiarkan pintu belakang masuk dengan gembok di tempatnya.

Memperoleh solusi otentikasi kedua yang dapat menangani kasus penggunaan yang tidak didukung berarti menerapkan solusi lain, dan yang lebih penting, mengharuskan pengguna untuk membawa kredensial/autentikator lain. Ini adalah proposisi mahal yang juga memberikan pengalaman yang kemungkinan akan membuat pengguna frustrasi.

Mendukung seluruh kasus penggunaan otentikasi pengguna dapat menambahkan hingga beberapa skenario untuk perusahaan biasa. Kasus penggunaan umum perusahaan meliputi:

• Log-on workstation, termasuk host Windows dan Mac, dan di beberapa perusahaan Linux juga merupakan pertimbangan penting. Ini sering kali merupakan kasus penggunaan yang paling menantang untuk banyak solusi otentikasi karena memerlukan integrasi yang rumit dengan sistem operasi dan solusi manajemen domain jaringan.
• VPN akses jarak jauh telah menjadi teknologi pokok yang memungkinkan karyawan seluler dan jarak jauh tetap terhubung dengan pekerjaan mereka. Ada beberapa teknologi yang digunakan dan sejumlah besar vendor menawarkan solusi. Untungnya, selama bertahun-tahun, seperangkat standar telah muncul untuk memungkinkan integrasi langsung dengan sistem otentikasi.
• Akses ke aplikasi cloud telah menjadi arus utama bahkan untuk perusahaan paling tradisional. Sementara beberapa standar tersedia untuk memfasilitasi interoperabilitas antara sistem autentikasi perusahaan dan layanan cloud, namun tidak semuanya sepenuhnya matang. Standar yang bersaing dan seringnya revisi standar yang ada berarti bahwa mendukung akses ke layanan cloud telah menjadi target yang bergerak.
• Otentikasi offline telah menjadi kelemahan bagi banyak sistem otentikasi pada umumnya dan otentikasi multifaktor (MFA) pada khususnya. Ini menghadirkan tantangan yang sulit karena sebagian besar solusi otentikasi dirancang untuk dunia yang terhubung. Jadi ketika koneksi jaringan sedang down atau tidak tersedia, dan server otentikasi tidak dapat diakses, maka solusi yang rumit diperlukan untuk memastikan bahwa pengguna dapat terus mengautentikasi ke komputer mereka dan sumber daya yang dihosting secara lokal.
• Autentikator yang hilang menimbulkan sakit kepala yang luar biasa, terutama jika itu adalah autentikator perangkat keras. Pengiriman token pengganti secara fisik ke karyawan jarak jauh mahal dan memakan waktu. Jadi untuk mencegah waktu henti yang lama, solusi pemulihan berbasis perangkat lunak dikembangkan untuk beberapa solusi MFA berbasis perangkat keras.

Secara umum, solusi otentikasi perusahaan modern harus menjadi pemain serba bisa yang dapat menangani berbagai kasus penggunaan otentikasi. Mencari solusi titik yang menangani kasus penggunaan tertentu dengan baik kemungkinan akan mengakibatkan kebutuhan untuk menerapkan beberapa solusi otentikasi, yang mahal dan sulit bagi pengguna.

Akankah solusi otentikasi bekerja dengan apa yang sudah Anda miliki?

Kenyataan bagi sebagian besar perusahaan adalah bahwa mereka telah memperoleh beragam campuran sistem dan aplikasi selama bertahun-tahun investasi di bidang TI. Sistem tersebut adalah kenyataan yang perlu diakui dan solusi otentikasi baru apa pun harus dapat bekerja dengan semua yang sudah ada. Pendekatan rip-and-replace terlalu menyakitkan dan mahal.

Oleh karena itu, diharapkan solusi otentikasi modern dirancang untuk mendukung sistem dan aplikasi lama dan mudah diintegrasikan dengan investasi TI yang ada. Mendukung direktori pengguna yang ada (mis. Direktori Aktif), bekerja dengan sistem lama, bekerja bersama dengan solusi otentikasi yang ada, dll. Semua harus dibangun ke dalam solusi dan bukan sesuatu yang memerlukan proyek penyesuaian dan integrasi yang mahal.

Bekerja dengan solusi autentikasi yang ada seperti token USB, token OTP, autentikator FIDO, autentikator seluler, dan lainnya juga harus diperlukan. Banyak perusahaan telah berinvestasi dalam solusi otentikasi yang kuat, yang berarti hampir tidak ada peluang greenfield di mana tidak ada lagi yang diterapkan. Jadi, bekerja selaras dengan solusi otentikasi yang ada, menyederhanakan operasi lingkungan otentikasi heterogen, dan menyediakan sarana untuk secara bertahap menghentikan solusi lama dan bermigrasi ke yang lebih modern telah menjadi pertimbangan penting dalam dirinya sendiri.

Apakah solusi tersebut memenuhi persyaratan dari auditor dan regulator?

Sebagian besar perusahaan saat ini beroperasi di industri yang diatur dan tunduk pada tuntutan ketat pada perlindungan data dan otentikasi pengguna. Kepatuhan terhadap peraturan dan standar industri seperti PCI DSS, DFARS, HIPAA, SOX/GLBA, PSD2, GDPR, dll. Oleh karena itu, merupakan pertimbangan yang signifikan dan sering kali menjadi pendorong utama untuk berinvestasi dalam solusi otentikasi pengguna baru.

Manfaat otentikasi tanpa kata sandi

Otentikasi tanpa kata sandi adalah salah satu kasus langka dalam kehidupan di mana solusi baru jelas lebih unggul, dalam setiap aspek. Memilihnya tidak perlu melakukan trade off atau menimbang pro dan kontra. Otentikasi tanpa kata sandi menawarkan keamanan yang lebih baik, pengalaman pengguna yang lebih baik, dan lebih murah untuk dimiliki dan dioperasikan jika dibandingkan dengan solusi autentikasi berbasis kata sandi.

Meningkatkan pengalaman pengguna

Otentikasi tanpa kata sandi menawarkan pengalaman pengguna yang lebih baik karena pengguna tidak perlu mengingat dan memasukkan kata sandi. Ini berarti proses masuk yang lebih cepat dan upaya yang lebih sedikit gagal. Dan kata sandi tidak pernah dilupakan atau harus diatur ulang, yang berarti lebih sedikit waktu henti karena kata sandi yang hilang atau terlupakan, dan lebih sedikit gangguan.

Meningkatkan keamanan secara keseluruhan

Mengganti kata sandi yang rentan dengan solusi otentikasi tanpa kata sandi yang dirancang dengan baik sebenarnya meningkatkan keamanan karena tanpa kata sandi tahan terhadap phishing dan menawarkan perlindungan yang lebih baik terhadap bentuk serangan akses kredensial lainnya, termasuk man-in-the-middle, keylogging, credential stuffing, penyemprotan kata sandi, dan lainnya .

Lebih murah dalam jangka panjang

Otentikasi tanpa kata sandi lebih murah untuk dimiliki dan dioperasikan jika dibandingkan dengan kata sandi. Kata sandi memerlukan manajemen yang mahal karena memerlukan sistem manajemen kata sandi yang mendukung untuk memungkinkan pengguna melakukan penyegaran kata sandi secara berkala dan pengaturan ulang kata sandi sesekali.

Kata sandi juga membuat beban yang signifikan di meja bantuan ketika pengguna lupa kata sandi mereka atau kehilangan autentikator mereka dan menghubungi meja bantuan untuk bantuan dalam pemulihan. Penghematan biaya lebih lanjut dapat diwujudkan dengan mematikan program pencegahan phishing yang diterapkan untuk mendidik pengguna dan melindungi mereka dari phishing. Otentikasi tanpa kata sandi yang dirancang dengan baik adalah bukti phishing.

Tantangan dengan otentikasi tanpa kata sandi

Tantangan nomor satu bagi bisnis yang memutuskan untuk menerapkan autentikasi tanpa kata sandi biasanya adalah sistem dan aplikasi lama mereka yang tidak dirancang untuk autentikasi tanpa kata sandi. Jadi, meskipun mudah untuk menerima visi tempat kerja tanpa kata sandi, mencapainya bisa menjadi hal yang menakutkan ketika berhadapan dengan lingkungan TI yang heterogen yang menggabungkan sistem baru dan kuno.

Salah satu pendekatannya adalah menerapkan otentikasi tanpa kata sandi hanya untuk sistem dan aplikasi yang mendukungnya. Ini biasanya diterjemahkan ke dalam penerapan otentikasi tanpa kata sandi untuk aplikasi cloud dan terkadang juga pada sistem operasi yang lebih baru (yaitu versi terbaru Windows 10). Tetapi menjadi tanpa kata sandi benar-benar merupakan upaya semua atau tidak sama sekali: Anda menyingkirkan kata sandi atau tidak.

Jadi untuk berhasil menerapkan otentikasi tanpa kata sandi bagi pengguna, biasanya tidak cukup untuk memutuskan bahwa tanpa kata sandi adalah pilihan yang lebih baik, lebih murah, dan lebih aman. Penting untuk memilih teknologi yang akan membantu Anda menerapkan tanpa kata sandi di lingkungan TI yang ada dan heterogen, dan menangani semua kasus penggunaan autentikasi Anda.

Lanskap solusi otentikasi tanpa kata sandi

Hampir setiap vendor solusi otentikasi di pasar mengklaim menawarkan otentikasi tanpa kata sandi. Vendor otentikasi incumbent telah mengadaptasi penawaran MFA mereka untuk memungkinkan beberapa bentuk otentikasi tanpa kata sandi untuk beberapa kasus penggunaan. Pemain otentikasi yang lebih baru akan menggunakan tanpa kata sandi, menargetkan pelanggan dengan infrastruktur dan aplikasi modern yang akan bekerja dengan baik dengan tanpa kata sandi – sistem dan aplikasi lama tertinggal.

Tetapi menerapkan otentikasi tanpa kata sandi secara universal masih tidak mungkin dilakukan untuk sebagian besar perusahaan, karena masih banyak sistem dan aplikasi yang tidak dirancang untuk bekerja tanpa kata sandi. Membiarkan kata sandi di tempat untuk beberapa sistem hampir mengalahkan tujuan karena untuk mendapatkan manfaat dari tanpa kata sandi Anda benar-benar harus menyingkirkan semua kata sandi.

Migrasi yang berhasil ke solusi autentikasi tanpa kata sandi memerlukan solusi yang dapat bekerja di semua sistem dan aplikasi, memberikan autentikasi tanpa kata sandi jika memungkinkan, dan menciptakan pengalaman tanpa kata sandi yang tidak memungkinkan tanpa kata sandi. Manfaat dari pendekatan ini adalah bahwa dari perspektif UX, pengguna tidak perlu membuat, mengingat, atau memasukkan kata sandi.

Dari perspektif keamanan, kata sandi dihapus sepenuhnya atau tidak diketahui oleh pengguna, yang membuatnya tahan terhadap phishing. Selanjutnya, ketika menerapkan pengalaman tanpa kata sandi, kata sandi dikelola oleh mesin, yang berarti mereka mendapat manfaat dari kompleksitas tinggi dan rotasi yang sering, yang pada gilirannya membuatnya lebih tahan terhadap berbagai bentuk serangan terhadap kata sandi.