Untuk siapa pun yang khawatir akun ChatGPT dan Codex mereka menjadi sasaran penyerang, OpenAI pada Kamis lalu mengumumkan bahwa mereka menambahkan lapisan perlindungan akun opsional baru yang memberikan keamanan ekstra. Fitur yang disebut Advanced Account Security ini menegakkan kontrol akses ketat yang akan menyulitkan upaya peretasan akun.
Langah-langkah seperti itu bukanlah ide baru dalam keamanan akun. Google, misalnya, telah menawarkan tingkatan perlindungan akun Advanced Protection selama hampir satu dekade. Namun, seiring menjamurnya layanan AI arus utama di seluruh dunia, ada kebutuhan mendesak untuk menyediakan serangkaian perlindungan dasar. OpenAI menyatakan peluncuran ini sebagai bagian dari strategi keamanan siber yang lebih luas yang diumumkan awal bulan ini.
Atas perkenan OpenAi
“Masyarakat beralih ke AI untuk pertanyaan-pertanyaan yang sangat pribadi dan pekerjaan yang kian beresiko tinggi,” ujar perusahaan tersebut pada hari Kamis dalam sebuah pos blog. “Seiring waktu, akun ChatGPT dapat menyimpan konteks pribadi dan profesional yang sensitif, serta menjadi pusat bagi berbagai perangkat dan alur kerja yang terhubung. Bagi sebagian orang, seperti jurnalis, pejabat terpilih, para pembangkang politik, peneliti, dan mereka yang sangat peduli keamanan, risikonya bahkan lebih besar.”
Pengguna yang mengaktifkan Advanced Account Security tidak dapat lagi menggunakan kata sandi biasa pada akun mereka. Sebagai gantinya, mereka harus menambahkan dua kunci keamanan fisik atau passkey untuk secara signifikan mengurangi risiko serangan phishing yang berhasil. Fitur ini juga menghilangkan jalur email dan pesan teks SMS untuk pemulihan akun. Sebagai gantinya, pengguna harus menggunakan kunci pemulihan, passkey cadangan, atau kunci keamanan fisik. OpenAI mengatakan telah bermitra dengan Yubico untuk menawarkan bundel YubiKey dengan harga lebih murah kepada pengguna Advanced Account Security.
Yang krusial, saat pengguna mengaktifkan Advanced Account Security, mereka tidak dapat lagi meminta bantuan tim dukungan OpenAI untuk pemulihan akun, karena bagian dukungan tidak lagi memiliki akses atau kendali atas opsi pemulihan mana pun. Dengan cara ini, penyerang tidak dapat mencoba membobol akun dengan menyerang portal dukungan menggunakan teknik social engineering.
Advanced Account Security juga memberlakukan jendela masuk dan sesi yang lebih singkat sebelum pengguna harus masuk lagi di suatu perangkat. Fitur ini juga menghasilkan peringatan setiap kali seseorang masuk ke akun yang terkunci, yang mengarahkan dasbor untuk meninjau sesi ChatGPT dan Codex yang aktif. Lebih lanjut, meskipun OpenAI menawarkan opsi bagi pengguna mana pun untuk memilih tidak menggunakan percakapan ChatGPT mereka untuk pelatihan model, pengecualian ini aktif secara bawaan untuk pengguna Advanced Account Security.
Anggota program Trusted Access for Cyber milik OpenAI, yang memberikan akses lanjutan tingkat tinggi kepada para profesional keaman siber, peneliti, dan lainnya ke model-model baru, akan diwajibkan untuk mengaktifkan Advanced Account Security mulai 1 Juni atau menyerahkan cara attestasi alternatif bahwa mereka menerapkan autentikasi yang tahan phishing melalui mekanisme single sign-on tingkat perusahaan.