Awal Akhir Kata Sandi

Kepunahan Kata Sandi Hebat Sudah Berlangsung

Bayangkan dunia tanpa kata sandi.

Anda masih dapat masuk ke semua akun daring Anda di dunia baru tanpa kata sandi ini. Dari situs WordPress hingga bank Anda, lebih mudah dan lebih aman untuk membuat dan mengakses akun online — tanpa kata sandi.

Bukankah itu melegakan? Kabar baik: kepunahan kata sandi global sudah terjadi, dan kehidupan di sisi lain lebih baik.

Pada akhir tahun 2022, Apple memperkenalkan dukungan kunci sandi untuk iOS 16 dan MacOS 13 "Ventura".

Kemarin, Google mengumumkan bahwa mereka "meluncurkan dukungan untuk kunci sandi di seluruh Akun Google di semua platform utama".

Di iThemes, kami sangat bangga bahwa produk Security Pro kami adalah yang pertama menghadirkan kunci sandi dan metode autentikasi tanpa kata sandi lainnya ke WordPress.

Bagaimana Kehidupan Tanpa Kata Sandi Mungkin?

Sekitar sebulan setelah saya mulai menggunakan Apple Watch, Apple Watch mulai membuka kunci secara otomatis dan masuk ke komputer desktop dan laptop saya yang menjalankan versi MacOS saat ini. Saya tidak ingat melakukan lebih dari mengaktifkan dukungan kunci sandi MacOS untuk menggunakannya dengan akun Google dan Keamanan iThemes saya. Rupanya, ini juga memungkinkan jam tangan saya menjadi perangkat kunci sandi tepercaya.

Sebelumnya login biometrik Apple Touch adalah alternatif kata sandi yang paling mudah diakses yang saya miliki. Sekarang jam tangan saya. Kadang-kadang, jika saya sudah pergi cukup lama, saya masih perlu mengetikkan kata sandi, tetapi jam tangan saya menjadi kurang umum, berkat kunci sandi umum yang terhubung ke ID Apple saya dan semua perangkat Apple saya.

Kunci perangkat keras, seperti YubiKey, akan memberi Anda pengalaman masuk tanpa kata sandi yang sama — tidak perlu perangkat Apple.

Perangkat Windows dan Android mendukung login tanpa kata sandi, juga berkat kunci sandi.

Apa Itu Kunci Pas?

Anda dapat berterima kasih kepada sumber terbuka untuk kunci sandi. Teknologi passkey didasarkan pada standar terbuka yang ditetapkan Aliansi FIDO (“Fast Identity Online”). Dikembangkan oleh W3C, WebAuthn API adalah bagian dari standar FIDO2. Ini adalah WebAuthn yang memungkinkan kunci sandi melakukan autentikasi lintas platform tanpa kata sandi dengan cepat dan mudah.

Kunci pas adalah pengidentifikasi digital terenkripsi unik yang dibuat oleh perangkat autentikasi, seperti ponsel cerdas Anda. Kriptografi kunci publik digunakan untuk membuat pasangan kunci publik dan privat. Pasangan kunci ini bersama-sama membentuk kunci sandi Anda pada perangkat autentikasi. Setiap perangkat Anda mungkin memiliki kunci pribadi yang unik, tetapi kunci publik Anda dibagikan melalui web. Mungkin, Anda tidak akan pernah melihat keduanya. Tidak ada yang mau.

Ponsel Anda atau perangkat pendukung kunci sandi lainnya memverifikasi Anda sebagai pengguna resmi saat Anda memasukkan kata sandi, PIN, atau lulus tantangan biometrik. Setelah Anda melakukannya, ponsel Anda dan kunci sandinya berfungsi sebagai kunci untuk perangkat dan aplikasi tambahan. Alih-alih harus mengetikkan kata sandi lagi di laptop Anda dan lagi untuk masuk ke WordPress, ponsel Anda memberi tahu komputer Anda untuk mengizinkan Anda masuk. Kemudian sistem operasinya memberi tahu browser Anda untuk meminta WordPress mengizinkan Anda masuk - semuanya tanpa kata sandi.

Jika perangkat dan situs web Anda diatur untuk kunci sandi, ini adalah pengalaman yang sangat lancar. Anda mungkin perlu memberikan PIN atau melewati tantangan biometrik cepat, tetapi ini jauh lebih sederhana daripada mengisi tiga formulir masuk yang berbeda tanpa mendaur ulang kata sandi Anda atau menggunakan kata sandi yang lemah. Dan jika Anda membenci autentikasi dua faktor (2FA), Anda tidak perlu menggunakannya lagi. ¹

Mengapa Kunci Sandi Akan Mengganti Kata Sandi

Awalnya, kunci sandi muncul sebagai opsi otentikasi bersama kata sandi dan 2FA. Anda dapat menggunakan salah satunya. Namun seiring waktu, hanya sedikit orang yang ingin mempertahankan kata sandi yang tidak aman atau berurusan dengan kode 2FA yang memakan waktu. Kunci sandi akan dengan cepat menjadi opsi pilihan karena alasan berikut:

1. Keamanan yang Ditingkatkan. Salah satu alasan utama kunci sandi akan menggantikan kata sandi adalah peningkatan keamanan yang mereka tawarkan. Banyak pelanggaran data diakibatkan oleh kata sandi yang lemah atau dicuri, menyoroti kerentanan autentikasi berbasis kata sandi tradisional. Kriptografi kunci publik di balik kunci sandi secara signifikan lebih menantang untuk dipecahkan.

2. Pengalaman Pengguna yang Lebih Baik. Mengingat banyak kata sandi yang rumit untuk akun online Anda bisa jadi sulit dan sering mengarah pada praktik kata sandi yang buruk. Kunci sandi menyederhanakan proses autentikasi. Anda hanya memerlukan perangkat yang menyimpan kunci sandi Anda untuk mengakses akun apa pun yang mendukung autentikasi kunci sandi. Pengalaman pengguna yang nyaman ini mendorong pengadopsian kunci sandi sebagai metode autentikasi yang aman.

3. Pengelola Kata Sandi Opsional. Kunci sandi dapat mengurangi, jika tidak menghilangkan, kebutuhan akan pengelola kata sandi tradisional. Sementara pengelola kata sandi menawarkan alternatif untuk menyimpan banyak kata sandi, mereka juga menimbulkan risiko tambahan. Gudang kata sandi ini bisa menjadi satu titik kegagalan. Seperti yang telah kita lihat dengan LastPass, platform manajemen kata sandi yang dibobol dapat mengekspos semua akun pelanggan, kata sandi, dan informasi pribadinya.

Masa Depan Tanpa Kata Sandi: Seperti Apa Tampilannya

Ada tiga keuntungan besar dari gerhana kata sandi oleh kunci sandi, tetapi benang merahnya adalah cara kunci sandi menguntungkan keamanan dan kesederhanaan.

Sisi baiknya

1. Otentikasi Tanpa Batas. Saat kunci sandi menjadi lebih umum, proses autentikasi dan akses layanan online akan menjadi semakin lancar. Pengguna akan dapat masuk ke akun mereka hanya dengan menggunakan perangkat penyimpan kunci sandi atau metode identifikasi biometrik, seperti sidik jari atau pengenalan wajah.

2. Otentikasi Multi-Faktor Menjadi Mudah. Kunci pas secara inheren mendukung autentikasi multi-faktor (MFA) dengan menggabungkan sesuatu yang diketahui pengguna (kunci sandi) dengan sesuatu yang dimiliki pengguna (perangkat yang menyimpan kunci sandi). Integrasi MFA yang mulus ke dalam proses autentikasi ini akan menghasilkan lingkungan online yang lebih aman tanpa mengorbankan pengalaman pengguna.

3. Pengurangan Pelanggaran Data. Karena kunci sandi menjadi standar baru untuk autentikasi, jumlah pelanggaran data akibat kata sandi yang lemah atau dicuri cenderung menurun. Peningkatan keamanan yang diberikan oleh kunci sandi akan mempersulit penjahat dunia maya untuk menyusupi akun pengguna, yang mengarah ke lanskap digital yang lebih aman.

Sejauh ini, autentikasi aman jarang hadir dengan pengalaman pengguna yang baik. Kunci sandi adalah pengecualian besar. Itu luar biasa, tetapi selalu ada kerugiannya.

Kerugiannya

1. Phishing Canggih dan Peretasan Sosial. Kunci sandi mungkin hampir mustahil untuk dicuri dan dipecahkan, tetapi penjahat tidak pernah menyerah ketika keamanan meningkat — mereka beradaptasi dengan alat baru dan menemukan titik lemah yang terabaikan untuk dieksploitasi. Saat ini, alat AI memudahkan siapa saja untuk tampil fasih dalam bahasa apa pun, yang merupakan aset besar bagi siapa pun yang ingin mengelabui orang lain agar memercayai mereka. Pelanggaran kata sandi yang besar dapat memudar ke masa lalu, tetapi phishing dan peretasan sosial dapat menjadi lebih canggih dan lazim.

2. Keamanan Fisik dan Privasi. Perangkat Apple saya tidak dapat mengetahui bahwa itu bukan saya ketika putri saya yang kidal memakai jam tangan saya di pergelangan tangannya yang lebih kecil di sisi yang berlawanan. Yang dia butuhkan hanyalah jam tangan saya dan PIN 4 digit untuk masuk ke komputer saya. ² Seorang pencuri bisa melakukan itu - begitu juga polisi. ³ Saat hubungan kita dengan perangkat kita semakin terjerat secara fisik, banyak pertanyaan sulit tentang privasi pribadi muncul. ⁴ Anonimitas online, yang sudah menurun, bisa hilang.

3. Orang Juga Akan Membagikan Kunci Sandi. Pengelola kata sandi banyak digunakan untuk berbagi kata sandi, yang merupakan praktik keamanan yang mengerikan, namun dilakukan. Kata sandi yang dibagikan pada akhirnya akan menjadi kata sandi yang dicuri. Untungnya, Anda tidak akan pernah melihat, apalagi menghafal, menulis, atau mengirimkan kunci sandi melalui email ke rekan kerja atau teman. Namun, Anda dapat menggunakan beberapa pengelola kata sandi untuk menyimpan dan bahkan membagikan kunci sandi sekarang. Ada cara aman untuk melakukan ini, tetapi saya ragu seberapa baik ini akan berhasil dalam praktiknya. Bagaimanapun Anda melakukannya, berbagi rahasia pada dasarnya tidak aman. (Rahasia yang dibagikan bukanlah rahasia lagi.) Berbagi data atau informasi sensitif sangat bergantung pada kepercayaan di antara orang-orang, dan itu selalu merupakan ikatan yang lemah — lihat poin #1 dan #2 di atas.

Pemikiran Keamanan Versus "Jangan Buat Saya Berpikir"

Tantangan apa pun yang terbentang di masa depan tanpa kata sandi, kami akan menuju ke sana. Kata sandi rusak — ini adalah metode autentikasi yang buruk dan perlu dihentikan — lebih cepat, lebih baik. Merangkul otentikasi tanpa kata sandi akan meningkatkan pengalaman online kami dan membantu melindungi kehidupan digital kami. Tidak perlu terlalu khawatir tentang keamanan dan manajemen kata sandi merupakan hal yang sangat melegakan.

Di sisi lain, "Don't Make Me Think" adalah tujuan yang sangat baik dalam pengalaman pengguna dan desain antarmuka, tetapi dapat menjadi bencana bagi keamanan. Kesederhanaan dalam desain memungkinkan efisiensi pengguna dan membebankan beban kognitif yang lebih rendah pada mereka. Kunci pas memberikan kesederhanaan itu dengan sangat baik. Namun hal itu seharusnya tidak membuat kita lebih berpuas diri tentang potensi risiko keamanan di dunia dengan ancaman yang terus berkembang.

Didukung oleh kunci sandi dan pengadopsiannya di semua platform utama, masa depan web akan menjadi pengalaman yang lebih aman dan ramah pengguna saat kita mengakses layanan online. Hari-hari berjuang untuk mengingat kata sandi yang rumit (dan membagikan atau mendaur ulangnya) akan segera menjadi masa lalu, dan itu merupakan peningkatan yang pasti.

Sudah waktunya untuk meningkatkan standar keamanan dasar kami juga. Kunci pas akan melakukan itu, dan saya berharap ini akan membantu membuat kejahatan dunia maya, penipuan, dan pencurian identitas menjadi lebih sulit dan jarang terjadi. Mulailah menggunakannya sekarang, dan jika Anda memiliki situs WordPress, pertimbangkan untuk membuat kunci sandi sebagai opsi untuk masuk ke dalamnya. Terus pikirkan keamanan juga. Tanyakan apa arti keamanan dan bagaimana ancaman dapat berubah dalam konteks baru dunia tanpa kata sandi.

Catatan:

1. Laporan seperti "Saya telah mengunci diri dari kehidupan digital saya" dan "Gmail 2FA menyebabkan tunawisma kehilangan akses secara permanen tiga kali setahun" menunjukkan kelemahan autentikasi dua faktor.
2. Apple Watch mungkin bukan kunci keamanan terbaik tanpa autentikasi biometrik, seperti Touch ID. Berdasarkan beberapa paten Apple baru-baru ini, versi Touch ID berbasis telapak tangan mungkin sedang dikerjakan.
3. Electronic Frontier Foundation telah menyatakan keprihatinan tentang kemungkinan pelanggaran hak-hak sipil jika penegak hukum menggunakan akses kunci sandi ke satu perangkat untuk mencari lebih banyak perangkat dan akun online.
4. Mengidentifikasi tanda tangan biometrik unik dari data biologis yang dikumpulkan oleh jam tangan dan perangkat serupa juga dimungkinkan karena dapat mendeteksi serangan dini penyakit seperti COVID.

Dan Knauss

Dan Knauss adalah Generalis Konten Teknis StellarWP. Dia adalah seorang penulis, guru, dan pekerja lepas yang bekerja di sumber terbuka sejak akhir 1990-an dan dengan WordPress sejak 2004.