Passwordless authentication, juga dikenal sebagai password-free authentication, menghilangkan keharusan pengguna untuk memasukkan kata sandi selama proses verifikasi. Sebagai gantinya, mereka harus menghasilkan jenis bukti lain yang memverifikasi identitas mereka, seperti: Untuk menyelesaikan prosedur otentikasi, Anda memerlukan OTP, PIN Rahasia, SMS atau kode yang dihasilkan aplikasi, sertifikat otentikasi pribadi berbasis PKI (infrastruktur kunci publik), atau biometrik.
Dengan menggunakan serangan brute force, peretas dapat mencuri atau menebak kata sandi. Mereka bahkan dapat membeli daftar kredensial yang disusupi di web gelap atau mendapatkannya menggunakan malware. Jika Anda adalah pemilik bisnis, Anda dapat menggunakan metode autentikasi tanpa kata sandi di situs web, aplikasi, perangkat lunak, dan perangkat tempat kerja Anda untuk meningkatkan keamanan dan memberi konsumen dan karyawan pengalaman login yang lebih mulus.
Namun, kehadiran passwordless authentication memberikan banyak pro dan kontra yang berkembang di masyarakat.
1. Passwordless authentication meningkatkan pengalaman pengguna.
Menurut NordPass, rata-rata pengguna memiliki 70 hingga 80 kata sandi. Pengguna dituntut untuk membuat kata sandi yang sulit dan menghafal 80 kata sandi yang berbeda sendirian. Hal ini cukup sulit bagi individu biasa. Passwordless authentication menghilangkan persyaratan bagi pengguna untuk membuat dan mengingat kata sandi yang kuat. Tidak perlu menghafal kata sandi lagi.
Pengguna dapat menikmati pengalaman yang menyenangkan dan bebas stres dengan autentikasi tanpa kata sandi. Untuk menerima kata sandi atau PIN (OTP) satu kali baru, tautan, atau kode token yang dihasilkan, mereka hanya perlu memberikan ID pengguna atau nomor telepon mereka. Dalam beberapa aplikasi smartphone, biometrik (seperti sidik jari, wajah, atau pemindaian retina mata) yang lebih cepat dan lebih nyaman sudah dapat digunakan untuk otentikasi.
2. Aman dari pencurian kata sandi
Karena kata sandi tidak lagi menjadi bagian dari passwordless authentication, Anda tidak perlu khawatir tentang adanya pencurian kata sandi atau pelanggaran data yang disebabkan oleh peretasan kata sandi. OTP dan "magic link" lebih aman daripada kata sandi untuk situs web yang bersifat publik.
Penggunaan kata sandi yang dapat bocor dan diretas tidak menjadi masalah lagi pada penggunaan passwordless authentication. Passwordless authentication lebih aman daripada hanya menggunakan kata sandi meskipun tidak sempurna.
3. Perlindungan dari Serangan Brute-Force
Passwordless authentication membantu dalam pencegahan serangan brute force di situs web. Serangan brute force pada dasarnya adalah metode trial-and-error dari menebak kata sandi. Untuk memahami konsep ini, Anda harus terlebih dahulu memahami bagaimana serangan brute force berfungsi.
Seorang hacker menggunakan skrip berbahaya untuk menginfeksi bidang login situs web dalam serangan brute-force. Perangkat lunak ini memasukkan kata sandi acak satu per satu sampai menemukan kombinasi kata sandi dan nama pengguna yang cocok (sering dari database peretas dari ID dan kata sandi pengguna yang telah ditebak sebelumnya).
Administrator web biasanya menetapkan opsi upaya login terbatas untuk melindungi situs web dari serangan brute force. Untuk jangka waktu tertentu, fungsi ini membekukan ID pengguna atau alamat IP yang ditautkan dengan upaya login (seperti setelah tiga hingga lima upaya login yang gagal). Namun, ada cara bagi penyerang untuk menyiasati fungsi "batasi upaya login".
4. Keamanan cyber organisasi Anda diperkuat dengan passwordless authentication
Jika kata sandi karyawan diekspos (dan penyerang memiliki akses ke akun yang dapat diakses oleh kredensial yang disusupi tersebut), penyerang dapat: Mendapatkan akses jaringan ke perusahaan (dan perangkat lain yang terhubung dengannya), Melihat dan / atau mengirim pesan dari akun email, Dapatkan akses ke file dan informasi rahasia, Melakukan spionase keuangan, Dengarkan percakapan internal, Untuk mencoreng reputasi perusahaan, kirim pesan yang tidak menyenangkan melalui halaman media sosial perusahaan, Bocorkan rahasia dagang atau mendatangkan malapetaka pada masyarakat umum.
Ketika Anda menggunakan solusi Passwordless authenticationyang kuat seperti sertifikat klien PKI dan token perangkat keras, Anda dapat yakin bahwa hanya staf yang berwenang yang memiliki akses ke akun dan perangkat keras sensitif (laptop, PC, ponsel).
Metode otentikasi ini menggunakan sertifikat digital untuk mengautentikasi pengguna ke server dan bergantung pada infrastruktur kunci publik, yang merupakan tulang punggung komunikasi internet yang aman. Tidak ada kata sandi, OTP, PIN, atau tindakan keamanan lainnya yang diperlukan. Rahasia ini mudah diganti dengan sertifikat digital pada perangkat karyawan, yang kemudian digunakan untuk mengautentikasi pengguna secara otomatis.
5. Passwordless authentication membantu menghemat uang dalam jangka panjang.
Seiring berjalannya waktu, sistem passwordless authentication cenderung menurunkan biaya keamanan secara keseluruhan. Bisnis tidak perlu mengeluarkan uang untuk administrasi kata sandi, penyimpanan, atau reset. Ini membebaskan waktu di departemen TI karena menghilangkan kebutuhan untuk menentukan kebijakan kata sandi dan sebaliknya berfokus pada memastikan kepatuhan dengan undang-undang dan peraturan penyimpanan kata sandi. Mereka tidak perlu waspada dan mencegah kebocoran kata sandi sepanjang waktu.
1. Pengguna tidak dapat dilindungi jika terjadi pencurian perangkat atau pertukaran SIM.
Akan sangat berbahaya jika pengguna kehilangan ponselnya. Jika penyerang mendapatkan akses ke smartphone pengguna, mereka dapat mencegat semua OTP, PIN, dan tautan ajaib yang dihasilkan pada aplikasi atau dikirim melalui email atau pesan teks SMS. Pelaku tidak dapat terhubung ke aplikasi kecuali mereka mengetahui kata sandi dengan autentikasi berbasis kata sandi. Akibatnya, jika perangkat pengguna dicuri atau diakses, autentikasi tanpa kata sandi mungkin lebih berisiko daripada autentikasi berbasis kata sandi biasa.
Sebagai contoh, pertimbangkan serangan swapping SIM. Pertukaran SIM terjadi ketika penyedia layanan seluler (operator) ditipu atau dimanipulasi untuk mentransfer kartu SIM Anda kepada mereka. Kejadian ini sering melibatkan penjahat cyber:
Mereka berpura-pura menjadi pemilik ponse dan mengatakan bahwa kartu SIM mereka telah hilang, dan mendapatkan kartu SIM pengganti dengan nomor telepon yang sama (mentransfer nomor Anda ke perangkat mereka). Jika serangan berhasil, pelakunya dapat mencegat semua pesan SMS Anda dan mendapatkan akses ke semua aplikasi yang menggunakan otentikasi OTP berbasis SMS.
2. Biometrik Tidak 100% Dapat Diandalkan
Dengan menyediakan foto atau video dari pengguna asli, memanfaatkan machine learning untuk membuat gambar morphing dari target yang ditargetkan, atau menggunakan suara dari rekaman audio atau video untuk kloning suara, peretas dapat mengelabui peralatan keamanan tanpa kata sandi. Bahkan mungkin untuk menyiasati kunci sidik jari. Kita hidup di masa-masa yang luar biasa dalam hal apa yang dapat dicapai teknologi. Namun, ketika teknologi jatuh ke tangan yang salah, hal yang menakutkan mungkin saja terjadi.
3. Pengguna masih ragu untuk mempercayai teknologi yang tidak memerlukan kata sandi.
Kata sandi komputer pertama kali diperkenalkan di MIT pada 1960-an dan sejak itu menjadi bagian penting dari otentikasi dan keamanan. Sebagian besar dari kita telah mengaktifkan pengisian otomatis kata sandi (login otomatis) untuk akun email, program, dan situs web kita. Pengelola kata sandi digunakan oleh beberapa orang untuk membuat dan mengelola sejumlah besar kata sandi yang rumit tanpa harus mengingatnya.
Pintasan ini membuat prosedur autentikasi menjadi sederhana dan cepat. Namun, mereka kurang terkenal daripada keamanan berbasis kata sandi standar, yang mungkin terkesan menakutkan. Beberapa orang menolak langkah ini karena beberapa solusi passwordless authentication mengharuskan pengguna untuk menyediakan OTP atau PIN baru setiap kali mereka menggunakannya.
Kata sandi yang terisi secara otomatis memudahkan karyawan untuk mengakses berbagai macam aplikasi, sumber daya, dan perangkat lunak setiap hari dalam pengaturan organisasi. Namun, mengharuskan karyawan untuk mengotentikasi diri mereka sendiri setiap kali mereka perlu mengakses sesuatu dengan memasok OTP atau memindai sidik jari mereka dapat dengan cepat menjadi tidak nyaman.
4. Biaya Implementasi Mahal (Tergantung Layanannya)
Berinvestasi dalam perangkat lunak dan infrastruktur perangkat keras tanpa kata sandi baru, seperti teknologi lainnya, bisa sangat mahal, terutama jika Anda memiliki basis klien yang besar dan banyak karyawan. Perangkat lunak / aplikasi yang memungkinkan fungsi OTP / tautan ajaib di situs web mungkin dapat menguras kantong per bulannya (tergantung pada penyedia layanan dan seberapa sering digunakan). Dan jika seorang karyawan kehilangan perangkat keras, token, kartu, atau peralatan lainnya, maka atasan harus menggantinya. Dalam beberapa keadaan, ini bisa lebih mahal daripada hanya mengatur ulang kata sandi.
5. Jenis malware tertentu tidak dilindungi oleh passwordless authentication.
Beberapa virus yang ditujukan khusus untuk serangan spyware dapat menangkap tangkapan layar dan merekam semua yang terjadi di layar perangkat. Akibatnya, jika passwordless authentication berbasis OTP diaktifkan, spyware dapat mencegat OTP.
Serangan man-in-the-browser (MitB) adalah jenis serangan cyber serius lainnya yang dapat terjadi pada passwordless authentication. Hacker menyuntikkan malware tertentu ke browser web. Trojan ini tidak hanya mencegat semua data yang dikirim dan diterima (termasuk OTP, PIN, dan informasi pribadi lainnya), tetapi juga mengubah tampilan browser, situs web, bidang formulir, bidang login, dan jawaban situs web. Lebih buruknya lagi, ia memiliki kemampuan untuk menghapus semua catatan transaksi.
Orang-orang menggunakan semakin banyak berbagai layanan internet dalam kehidupan sehari-hari mereka, dan setiap layanan memerlukan identifikasi. Akibatnya, pengguna harus mengingat nama pengguna dan kata sandi untuk setiap layanan. Bahkan jika autentikasi login untuk setiap layanan sama (misalnya, email), kata sandi untuk setiap layanan harus berbeda. Jauh lebih baik menggunakan kata sandi yang kompleks, yang didefinisikan sebagai kata sandi yang panjangnya setidaknya 8 karakter dan berisi huruf besar dan kecil, digit, dan karakter khusus.
Tentu saja, tidak mungkin mengingat kata sandi yang kompleks untuk setiap layanan, sehingga pelanggan menggunakan kata sandi sederhana atau menggunakan kata sandi yang sama untuk semua layanan. Masalah ini dapat diselesaikan dengan autentikasi tanpa kata sandi.
Semua strategi yang tercantum di atas memiliki pro dan kontra. Namun, menggunakan cara yang berbeda untuk pengalaman pengguna yang lebih baik dianjurkan. Misalnya, untuk memungkinkan pengguna masuk menggunakan OAuth atau OpenID dan cookie yang disimpan. Otentikasi menggunakan biometrik ponsel, seperti otentikasi sidik jari atau pengenalan wajah, juga merupakan solusi yang menjanjikan dan aman.