Diterbitkan: 19 Desember 2023
Kontributor: Matthew Kosinski, Amber Forrest
Autentikasi dua faktor (2FA) adalah metode verifikasi identitas yang mengharuskan pengguna memberikan dua bukti, seperti kata sandi dan kode sandi sekali pakai, untuk membuktikan identitas mereka dan mendapatkan akses ke akun online atau sumber daya sensitif lainnya.
Sebagian besar pengguna Internet mungkin akrab dengan sistem 2FA berbasis teks SMS. Dalam versi ini, aplikasi mengirimkan kode numerik ke ponsel pengguna saat login. Pengguna harus memasukkan kata sandi dan kode ini untuk melanjutkan. Memasukkan salah satu saja tidaklah cukup.
2FA adalah bentuk autentikasi multifaktor (MFA) yang paling umum, yang mengacu pada metode autentikasi apa pun yang mengharuskan pengguna memberikan setidaknya dua bukti.
2FA telah diadopsi secara luas karena membantu memperkuat keamanan akun. Kata sandi pengguna dapat dengan mudah dipecahkan atau dipalsukan. 2FA menambahkan tingkat keamanan lain dengan membutuhkan faktor kedua. Per etas tidak hanya perlu mencuri dua kredenSIAL untuk masuk ke sistem, tetapi faktor kedua seringkali merupakan sesuatu yang sulit untuk diretas, seperti sidik jari atau kode sandi terbatas waktu.
Dapatkan wawasan untuk mempersiapkan dan merespons serangan siber dengan lebih cepat dan efektif dengan Indeks Intelijen Ancaman IBM Security X-Force.
Daftar untuk memperoleh laporan Biaya Pelanggaran Data
Saat pengguna mencoba mengakses sumber daya yang dilindungi oleh sistem keamanan 2FA—seperti jaringan perusahaan, misalnya—sistem akan meminta pengguna untuk memasukkan faktor autentikasi pertama mereka. Seringkali, faktor pertama ini adalah kombinasi nama pengguna/kata sandi.
Jika faktor pertama valid, sistem meminta yang kedua. Ada lebih banyak variasi dalam faktor kedua, yang dapat berkisar dari kode sementara hingga biometrik dan banyak lagi. Pengguna hanya dapat mengakses sumber daya jika kedua faktor tersebut diperiksa.
Sementara 2FA biasanya dikaitkan dengan sistem komputer, ia juga dapat menjaga aset fisik dan lokasi. Misalnya, bangunan terlarang mungkin mengharuskan orang untuk menunjukkan lencana ID dan lulus pemindaian sidik jari untuk masuk.
Ada beberapa jenis faktor autentikasi yang dapat digunakan sistem 2FA, dan sistem 2FA yang sebenarnya menggunakan dua faktor dari dua jenis yang berbeda. Menggunakan dua jenis faktor yang berbeda dianggap lebih aman daripada menggunakan dua faktor dengan jenis yang sama karena peretas perlu menggunakan metode terpisah untuk memecahkan setiap faktor.
Misalnya, peretas dapat mencuri kata sandi pengguna dengan menanam spyware di komputer mereka. Namun spyware itu tidak akan mengambil kode sandi satu kali di ponsel pengguna. Para peretas perlu menemukan cara lain untuk mencegat pesan-pesan itu.
Dalam sebagian besar implementasi 2FA, faktor pengetahuan berfungsi sebagai faktor otentikasi pertama. Faktor pengetahuan adalah sedikit informasi yang, secara teoritis, hanya pengguna yang tahu. Kata sandi adalah faktor pengetahuan yang paling umum. Nomor identifikasi pribadi (PIN) dan jawaban atas pertanyaan keamanan juga khas.
Meskipun penggunaannya tersebar luas, faktor pengetahuan secara umum—dan kata sandi pada khususnya—adalah jenis faktor autentikasi yang paling rentan. Peretas dapat memperoleh kata sandi dan faktor pengetahuan lainnya melalui serangan phishing , memasang malware di perangkat pengguna, atau melakukan serangan brute force di mana mereka menggunakan bot untuk membuat dan menguji kemungkinan kata sandi pada akun hingga kata sandi tersebut berfungsi.
Jenis faktor pengetahuan lainnya tidak memberikan tantangan yang lebih besar. Jawaban atas banyak pertanyaan keamanan—seperti pertanyaan klasik "Siapa nama gadis ibumu?"—dapat dibobol dengan mudah melalui riset dasar atau serangan rekayasa sosial yang mengelabui pengguna agar membocorkan informasi pribadi.
Perlu dicatat bahwa praktik umum yang mengharuskan kata sandi dan pertanyaan keamanan tidak berlaku pada 2FA karena menggunakan dua faktor yang berjenis sama—dalam hal ini, dua faktor pengetahuan. Sebaliknya, ini akan menjadi contoh proses verifikasi dua langkah.
Verifikasi dua langkah bisa lebih aman daripada kata sandi saja karena memerlukan dua faktor. Namun, karena ini adalah dua faktor dari jenis yang sama, mereka lebih mudah dicuri daripada faktor 2FA sejati.
Faktor kepemilikan adalah sesuatu yang dimiliki seseorang yang dapat digunakan untuk membuktikan keaslian dirinya. Dua jenis faktor kepemilikan yang paling umum adalah token perangkat lunak dan token perangkat keras.
Token perangkat lunak sering mengambil bentuk kata sandi satu kali (OTP). OTP terdiri dari 4-8 digit kode sandi sekali pakai yang kedaluwarsa setelah jangka waktu tertentu. Token perangkat lunak dapat dikirim ke ponsel pengguna melalui pesan teks (atau email atau pesan suara) atau dibuat oleh aplikasi autentikator yang diinstal pada perangkat.
Dalam kedua kasus tersebut, perangkat pengguna pada dasarnya bertindak sebagai faktor kepemilikan. Sistem 2FA mengasumsikan bahwa hanya pengguna yang sah yang memiliki akses ke informasi apa pun yang dibagikan atau dihasilkan oleh perangkat tersebut.
Sementara OTP berbasis SMS adalah beberapa faktor kepemilikan yang paling ramah pengguna, mereka juga yang paling tidak aman. Pengguna membutuhkan koneksi internet atau seluler untuk menerima kode-kode ini, dan para peretas dapat mencurinya melalui serangan phishing atau serangan man-in-the-middle yang canggih. OTP juga rentan terhadap kloning SIM, di mana para penjahat membuat duplikat fungsional dari kartu SIM ponsel pintar korban dan menggunakannya untuk menyadap pesan teks mereka.
Aplikasi otentikator dapat menghasilkan token tanpa koneksi jaringan. Pengguna memasangkan aplikasi dengan akun mereka, dan aplikasi ini menggunakan algoritme untuk terus menghasilkan kata sandi sekali pakai (TOTP) berbasis waktu. Setiap TOTP kedaluwarsa dalam 30-60 detik, sehingga sulit untuk dicuri. Beberapa aplikasi autentikator menggunakan notifikasi push daripada TOTP; ketika pengguna mencoba masuk ke akun, aplikasi mengirimkan notifikasi push ke ponsel mereka, yang harus mereka ketuk untuk mengonfirmasi bahwa upaya tersebut sah.
Aplikasi autentikator yang paling umum termasuk Google Authenticator, Authy, Microsoft Authenticator, LastPass Authenticator, dan Duo. Meskipun aplikasi ini lebih sulit dipecahkan daripada pesan teks, mereka tidak mudah. Peretas dapat menggunakan malware khusus untuk mencuri TOTP secara langsung dariautentikator1 atau meluncurkan serangan kelelahan MFA, di mana mereka membanjiri perangkat dengan notifikasi push palsu dengan harapan korban akan secara tidak sengaja mengonfirmasikannya.
Token perangkat keras adalah perangkat khusus — key fob, kartu ID, dongle — yang berfungsi sebagai kunci keamanan. Beberapa token perangkat keras dicolokkan ke port USB komputer dan mengirimkan informasi otentikasi ke halaman login; yang lainnya menghasilkan kode verifikasi untuk dimasukkan pengguna secara manual ketika diminta.
Meskipun token perangkat keras sangat sulit untuk diretas, token tersebut dapat dicuri—seperti halnya perangkat seluler pengguna yang berisi token perangkat lunak. Faktanya, perangkat yang hilang dan dicuri merupakan faktor penyebab sebanyak 6 persen dari pelanggaran data, menurut laporanBiaya Pelanggaran Data IBM.
Juga disebut "biometrik," faktor yang melekat adalah karakteristik fisik atau ciri-ciri yang unik bagi pengguna, seperti sidik jari, fitur wajah, dan pola retina. Banyak smartphone dan laptop yang diproduksi saat ini memiliki pembaca wajah dan sidik jari built-in, dan banyak aplikasi dan situs web dapat menggunakan data biometrik ini sebagai faktor autentikasi.
Sementara faktor inheren adalah yang paling sulit untuk dipecahkan, itu bisa menjadi bencana ketika mereka. Pada 2019, basis data biometrik yang berisi 1 juta sidik jari pengguna dilanggar.2 Secara teoritis, peretas dapat mencuri sidik jari ini atau menautkan sidik jari mereka sendiri ke profil pengguna lain di database.
Selain itu, kemajuan dalam pembuatan gambar AI membuat para ahli keamanan siber khawatir bahwa para peretas dapat menggunakan alat ini untuk menipu perangkat lunak pengenalan wajah.
Ketika data biometrik dikompromikan, itu tidak dapat diubah dengan cepat atau mudah, sehingga sulit untuk menghentikan serangan yang sedang berlangsung.
Faktor perilaku adalah artefak digital yang memverifikasi identitas pengguna berdasarkan pola perilaku. Contohnya termasuk rentang alamat IP khas pengguna, lokasi biasa dan kecepatan pengetikan rata-rata.
Sistem otentikasi perilaku menggunakan kecerdasan buatan untuk menentukan garis dasar bagi pola normal pengguna dan menandai aktivitas anomali seperti masuk dari perangkat, nomor telepon, atau lokasi baru. Beberapa sistem 2FA memanfaatkan faktor perilaku dengan memungkinkan pengguna mendaftarkan perangkat tepercaya sebagai faktor otentikasi. Meskipun pengguna mungkin perlu menyediakan dua faktor saat login pertama, penggunaan perangkat tepercaya akan secara otomatis bertindak sebagai faktor kedua di masa mendatang.
Faktor perilaku juga berperan dalam sistem autentikasi adaptif, yang mengubah persyaratan autentikasi berdasarkan tingkat risiko. Sebagai contoh, pengguna mungkin hanya memerlukan kata sandi untuk masuk ke aplikasi dari perangkat tepercaya di jaringan perusahaan, tetapi mereka mungkin perlu menambahkan faktor kedua untuk masuk dari perangkat baru atau jaringan yang tidak dikenal.
Meskipun faktor perilaku menawarkan cara yang canggih untuk mengautentikasi pengguna akhir, faktor ini membutuhkan sumber daya dan keahlian yang signifikan untuk diterapkan. Selain itu, jika seorang hacker mendapatkan akses ke perangkat tepercaya, mereka dapat menyamar sebagai pengguna.
Karena faktor pengetahuan sangat mudah disusupi, banyak organisasi mengeksplorasi sistem autentikasi tanpa kata sandi yang hanya menerima faktor kepemilikan, bawaan, dan perilaku. Misalnya, meminta pengguna untuk sidik jari dan token fisik akan merupakan konfigurasi 2FA tanpa kata sandi.
Sementara sebagian besar metode 2FA saat ini menggunakan kata sandi, para ahli industri mengantisipasi masa depan yang semakin tanpa kata sandi. Penyedia teknologi besar seperti Google, Apple, IBM, dan Microsoft telah mulai meluncurkan opsi autentikasi tanpa kata sandi.3
Menurut laporanCost of a Data Breach dari IBM , phishing dan kredensial yang dikompromikan merupakan salah satu vektor serangan siber yang paling umum. Secara keseluruhan, keduanya bertanggung jawab atas 31 persen pelanggaran data. Kedua vektor tersebut sering kali bekerja dengan mencuri kata sandi, yang kemudian dapat digunakan peretas untuk membajak akun dan perangkat sah guna menimbulkan kekacauan.
Peretas biasanya menargetkan kata sandi karena cukup mudah dibobol melalui kekerasan atau penipuan. Selain itu, karena orang menggunakan kembali kata sandi, peretas sering kali dapat menggunakan satu kata sandi curian untuk membobol banyak akun. Konsekuensi dari kata sandi yang dicuri dapat menjadi signifikan bagi pengguna dan organisasi, yang mengarah pada pencurian identitas, pencurian moneter, sabotase sistem, dan banyak lagi.
2FA membantu menggagalkan akses yang tidak sah dengan menambahkan lapisan keamanan ekstra. Bahkan jika peretas dapat mencuri kata sandi, mereka masih membutuhkan faktor kedua untuk masuk. Selain itu, faktor kedua ini biasanya lebih sulit untuk dicuri daripada faktor pengetahuan; peretas harus memalsukan biometrik, meniru perilaku, atau mencuri perangkat fisik.
Organisasi juga dapat menggunakan metode otentikasi dua faktor untuk memenuhi persyaratan kepatuhan. Sebagai contoh, Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS) secara eksplisit mensyaratkan MFA untuk sistem yang menangani data kartu pembayaran.4 Peraturan lain seperti Undang- Undang Sarbanes-Oxley (SOX) dan Peraturan Per lindungan Data Umum (GDPR) tidak secara eksplisit mewajibkan 2FA. Namun, 2FA dapat membantu organisasi memenuhi standar keamanan ketat yang ditetapkan undang-undang ini.
Dalam beberapa kasus, organisasi terpaksa mengadopsi autentikasi multi-faktor setelah terjadinya pelanggaran data. Misalnya, pada tahun 2023, Komisi Perdagangan Federal memerintahkan penjual alkohol online Drizly untuk menerapkan MFA menyusul pelanggaran yang memengaruhi 2,5 juta pelanggan.5
Memanfaatkan konteks mendalam, kecerdasan, dan keamanan guna memutuskan pengguna mana yang berhak mengakses data dan aplikasi organisasi Anda, baik secara on premises maupun di cloud.
Masukkan IAM cloud dengan konteks mendalam yang diperlukan untuk autentikasi berbasis risiko. Aktifkan akses aman yang rendah dan aman bagi konsumen dan tenaga kerja Anda dengan solusi IAM cloud Verify IBM Security Verify.
Melampaui autentikasi dasar dengan opsi autentikasi tanpa kata sandi atau multifaktor
IAM adalah disiplin keamanan siber yang berfokus pada pengelolaan identitas pengguna dan izin akses pada jaringan komputer.
MFA adalah metode verifikasi identitas yang mengharuskan pengguna memberikan dua atau lebih bukti untuk membuktikan identitas mereka.
Laporan Biaya Pelanggaran Data lebih mempersiapkan seseorang untuk pelanggaran dengan memahami penyebabnya dan faktor-faktor yang meningkatkan atau mengurangi biayanya.
Catatan kaki
Semua tautan berada di luar ibm.com
1 malware Android dapat mencuri kode Google Authenticator 2FA, ZDNET, 26 Februari 2020
2 Kebocoran data 'sidik jari 1m' menimbulkan keraguan atas keamanan biometrik, ScienceDirect, September 2019
3 Anda tidak lagi memerlukan kata sandi untuk masuk ke akun Google Anda, The Verge, 3 Mei 2023
4 PCI DSS: v4.0, Dewan Standar Keamanan, Maret 2022
5 Dalam Masalah Drizly, LLC, Komisi Perdagangan Federal, 10 Januari 2023