PEMBARUAN KEAMANAN INTERNET: Otentikasi Dua Faktor dan Otentikasi Multi-Faktor

Pada pertengahan tahun 1980an, ketika saya memulai perjalanan saya dengan komputer elektronik, orang tidak memiliki banyak akun online seperti sekarang. Jika Anda memiliki “akun” yang berhubungan dengan komputer, Anda mungkin terhubung dengan lembaga pemerintah, fasilitas penelitian, atau semacam akademisi, menggunakan ARPANET, CSNET ATAU NSFNET, cikal bakal Internet modern.

Alternatifnya, jika Anda seperti saya dan terbatas pada aspirasi komputasi yang lebih sederhana, Anda menggunakan komputer “rumah” (komputer saya adalah Commodore 64) dan terhubung ke “Sistem Papan Buletin”, yang mirip dengan Internet modern, menggunakan penghitung . – Menyiapkan modem melalui jaringan telepon. Anda juga dapat berlangganan layanan jaringan berorientasi konsumen seperti FidoNet atau Compuserve, yang dikenakan biaya per menit.

Untuk mengakses semua teknologi luar biasa ini, Anda menggunakan, seperti saat ini, sebuah “akun”, yang terdiri dari nama pengguna (baik yang ditetapkan atau dibuat oleh Anda) dan kata sandi. Kedua hal ini membuka semua pintu Internet yang dia miliki. Persyaratan kata sandinya sederhana; keamanan bukanlah pertimbangan utama dan kejahatan dunia maya relatif jarang terjadi.

Maju cepat ke hari ini, dan banyak hal telah berubah secara dramatis. Meskipun kejahatan online telah mencapai tingkat pandemi yang sangat besar, kita masih menggunakan nama pengguna dan kata sandi. Meskipun persyaratan kata sandi menjadi lebih ketat dan keamanan menjadi fokus, kita perlu lebih banyak upaya untuk tetap aman saat online; nama pengguna dan kata sandi tidak lagi cukup. Masukkan 2FA dan MFA.

Otentikasi dua faktor (2FA) dan otentikasi multi-faktor (MFA) adalah istilah yang pada dasarnya menggambarkan hal yang sama: cara untuk menyajikan bukti tambahan (disebut “faktor”) untuk membuktikan bahwa Anda adalah diri Anda yang sebenarnya ketika Anda mencoba untuk mengakses layanan online. Keseluruhan proses ini disebut “otentikasi”, yaitu Anda berada dalam itikad baik, atau “asli”, “Anda” yang sebenarnya.

Model nama pengguna/kata sandi lama hanya menggunakan satu “faktor”, yaitu kata sandi. Salah satu alasan untuk memiliki “faktor” lain adalah begitu banyak basis data kata sandi yang telah diretas dan diekspos kepada siapa pun yang ingin melihatnya. Beberapa orang juga bersalah karena menggunakan kata sandi yang lemah dan mudah ditebak namun tidak pernah mereka ubah. Alasan lain memerlukan “faktor” lain adalah karena banyak orang menggunakan kata sandi yang sama untuk semua akun mereka. Memiliki lebih banyak faktor mempersulit orang yang salah untuk mengakses akun.

Faktor-faktornya mencakup sesuatu yang Anda miliki (seperti kartu bank), sesuatu yang Anda ketahui (seperti kata sandi atau PIN), sesuatu tentang diri Anda (biometrik, seperti sidik jari atau karakteristik fisik lain yang unik bagi Anda), dan di mana Anda berada (seperti seperti terhubung ke jaringan tertentu atau informasi lokasi seperti GPS).

Penggunaan autentikasi multifaktor yang paling umum adalah mengirimkan kode dalam pesan teks ke ponsel Anda saat Anda mencoba masuk ke akun online. Misalnya, Anda masuk ke Amazon dengan memasukkan kata sandi Anda (faktor pertama). Amazon mengirimi Anda kode yang harus Anda masukkan (faktor kedua) dan kemudian Anda diizinkan menggunakan akun Amazon Anda.

Sayangnya, meskipun masih banyak digunakan, penggunaan pesan teks sebagai cara untuk mendapatkan kode MFA/2FA tidak lagi disarankan. Orang-orang jahat di internet telah menemukan banyak cara berbeda untuk meretas metode teks. Microsoft sebenarnya mengeluarkan peringatan pada bulan November lalu yang mengatakan bahwa, karena masalah keamanan, orang harus beralih dari 2FA berbasis pesan teks dan mulai menggunakan aplikasi otentikasi seperti Authy, Microsoft Authenticator, atau “token secure” seperti YubiKey.

Kolom berikutnya: cara menggunakan alat MFA/2FA seperti Authy dan Yubikey.

Dave Moore, CISSP, telah memperbaiki komputer di Oklahoma sejak tahun 1984. Pendiri organisasi nirlaba Internet Safety Group Ltd, ia juga mengajar seminar pelatihan komunitas tentang keamanan Internet. Ia dapat dihubungi di 405-919-9901 atau internetsafetygroup.org