Gambar: Yuichiro Chino/Moment via Getty Images
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
Intisari ZDNET
- Dashlane kini memungkinkan login ke pengelola kata sandi tanpa kata sandi menggunakan passkey.
- Fitur ini didasarkan pada draf standar dari World Wide Web Consortium.
- Fitur ini belum diharapkan dapat berfungsi pada versi mobile Dashlane hingga awal tahun depan.
Sebagian besar pelanggaran keamanan siber — yang banyak berujung pada pencurian informasi rahasia atau kerugian finansial — berawal dari penipuan phishing kata sandi.
Penelitian menunjukkan bahwa 98% pengguna tetap menjadi korban phisher meskipun telah mendapat pelatihan keamanan siber. Satu-satunya solusi untuk wabah phishing ini adalah upaya seluruh industri untuk menghapus kata sandi (yang diperkuat dengan kode faktor kedua atau tidak) sebagai cara utama untuk autentikasi dengan situs web, aplikasi, dan layanan online lainnya (yang secara kolektif disebut sebagai "pihak pengandai").
Dan itulah inti dari standar passkey tanpa kata sandi FIDO Alliance: menawarkan cara login baru yang aman tanpa mengharuskan Anda memberikan rahasia seperti kata sandi sebagai bagian dari alur kerja autentikasi biasa. Logikanya begini: Jika tidak ada kata sandi yang dibagikan ke pihak penganda yang sah, maka tidak ada kata sandi yang tidak sengaja dibocorkan ke phisher dan para social engineer lainnya.
Masalah terpecahkan. Benar? Yah, kurang lebih.
Pengelolaan Kredensial di Tahap Akhir
Untuk menggunakan passkey, Anda juga memerlukan perantara — seperti pengelola kata sandi — untuk menangani pembuatan, penyimpanan aman, dan penyampaiannya (saat login). Secara historis, ini menciptakan paradoks ayam dan telur yang rumit dalam hal login ke pengelola kata sandi itu sendiri. Jika Anda perlu login ke pengelola kata sandi untuk bisa login ke yang lain tanpa kata sandi, lalu bagaimana login tanpa kata sandi ke pengelola kata sandi Anda mungkin dilakukan tanpa bantuan pengelola kata sandi tersebut? Bagaimanapun, Anda belum login ke dalamnya. Dan, jika ada satu kata sandi yang tidak ingin Anda jebol oleh phisher, itu adalah kata sandi ke pengelola kata sandi Anda — kunci utama untuk segalanya.
Meskipun masalah terakhir yang rentan ini secara teknis telah diatasi oleh ekstensi yang diusulkan (WebAuthn PRF) untuk standar World Wide Web Consortium (WebAuthn: salah satu blok bangunan kunci untuk standar passkey), draf standar ini belum banyak diadopsi sepenuhnya oleh pengelola kata sandi lintas platform pihak ketiga.
BitWarden adalah salah satu pendukung awal standar ini di pengelola kata sandinya, dan pengelola kata sandi di Google Chrome mendekati konsep ini ketika pengguna mengaktifkan Program Perlindungan Lanjutan Google.
Kini, Dashlane bermitra dengan Yubico untuk bergabung dalam daftar pengelola kata sandi yang sesuai dengan WebAuthn PRF guna menghilangkan kebutuhan akan kata sandi utama saat login ke aplikasi pengelolaan kata sandinya.
Kedengarannya Ajaib. Bagaimana Cara Kerjanya?
Dalam konteks solusi manajemen kata sandi pihak ketiga (secara resmi disebut sebagai virtual authenticators oleh standar WebAuthn dan passkey), kata sandi pengguna ke pengelola kata sandinya sebenarnya memiliki tujuan ganda. Seperti halnya dengan banyak pihak penganda lain (terutama yang belum mendukung passkey), kata sandi berfungsi sebagai dasar untuk login ke akun manajemen kata sandi pengguna.
Selain itu, dalam kasus kebanyakan pengelola kata sandi, kata sandi utama pengguna adalah sepotong materi rahasia yang juga berperan dalam algoritma yang digunakan untuk mengenkripsi dan mendekripsi secara unik brankas manajemen kata sandi pengguna. (Ini adalah wadah perangkat lunak khusus yang menyimpan dengan aman berbagai kredensial situs web dan aplikasi pengguna — dan terkadang rahasia sensitif lainnya seperti nomor kartu kredit.) Di mana pun brankas itu berada — di perangkat Anda atau di cloud pengelola kata sandi — ia berada di sana dalam bentuk terenkripsi. Satu-satunya cara untuk mendekripsinya, terutama ketika perangkat Anda pertama kali menjalankan pengelola kata sandi sebagai semacam tugas latar belakang, adalah dengan kata sandi utama ke pengelola kata sandi Anda. Ini adalah salah satu alasan mengapa brankas Anda aman dari peretas ketika pengelola kata sandi Anda menyinkronkan brankas ke cloud-nya untuk tujuan menyinkronkannya ke perangkat lain Anda. Di mana pun ia berada dalam bentuk terenkripsi, ia tidak berguna bagi peretas.
Oleh karena itu, menghapus kata sandi Anda demi passkey tanpa kata sandi sebagai dasar untuk autentikasi dengan pengelola kata sandi Anda justru menghadirkan dua teka-teki teknis:
- Harus ada cara untuk mengingat passkey ke pengelola kata sandi tanpa perantaraan dari pengelola kata sandi itu sendiri.
- Rahasia unik dan tidak bisa di-phish lainnya harus menggantikan kata sandi Anda sebagai bahan rahasia untuk enkripsi dan dekripsi brankas.
Di sinilah Yubikey dari Yubico berperan. Gambar: Yuichiro Chino/Moment via Getty Images
Beberapa model dari kunci keamanan populer ini dapat terhubung ke perangkat Anda melalui USB atau, pada beberapa model, melalui standar komunikasi nirkabel near-field communication (NFC) (standar industri nirkabel jarak dekat yang sama yang memungkinkan Anda mengetuk terminal kartu kredit di titik penjualan dengan kartu kredit atau smartphone Anda).
Yubico’s YubiKey 5C NFC diaktifkan untuk konektivitas USB-C dan NFC nirkabel ke desktop, laptop, dan perangkat seluler.
Spesifikasi WebAuthn PRF menetapkan metode standar industri di mana kunci keamanan fisik yang sesuai dengan FIDO2 (secara resmi digambarkan sebagai roaming authenticator oleh standar WebAuthn) dapat mengambil alih kedua peran; pertama, sebagai wadah terpisah dan aman untuk passkey yang akan Anda gunakan untuk login ke pengelola kata sandi Anda (dengan demikian menyelesaikan paradoks ‘ayam dan telur’ utama), dan kedua, sebagai sumber materi unik dan rahasia dari mana passkey tersebut serta kunci untuk mengenkripsi dan mendekripsi brankas Anda diturunkan.
Mirip dengan Secure Enclave yang ditemukan di semua perangkat Apple dan Trusted Platform Module (TPM) yang ditemukan dalam perangkat keras yang menjalankan Windows, Linux, dan Android, setiap YubiKey dikodekan secara unik dengan informasi rahasia yang membedakannya dari YubiKey lain (serta dari roaming authenticator lain yang sesuai dengan FIDO2 seperti Google’s Titans). Dengan kata lain, tidak ada dua roaming authenticator yang persis sama.
Setelah Anda menghilangkan kata sandi ke pengelola kata sandi Anda, dan mengingat bagaimana passkey Anda ke pengelola kata sandi serta kunci untuk mengenkripsi dan mendekripsi brankas Anda diturunkan dari sedikit materi rahasia itu, Anda tidak dapat login ke pengelola kata sandi atau mendekripsi brankas Anda tanpa terlebih dahulu menghubungkan roaming authenticator fisik yang sama ke perangkat Anda. Untuk alasan ini, begitu Anda memilih untuk menggunakan roaming authenticator untuk login ke pengelola kata sandi Anda, ancaman aktor tidak dapat lagi melakukan phishing atau rekayasa sosial lainnya untuk mendapatkan kredensial ke pengelola kata sandi Anda. Tidak seorang pun—baik mereka maupun Anda—dapat login tanpa memiliki roaming authenticator Anda secara fisik.
Namun, ada satu atau dua kendala
Sementara pengelola kata sandi yang sesuai dengan WebAuthn PRF akhirnya menyelesaikan masalah ‘mil terakhir’ yang rentan tersebut, ada dua gotcha, salah satunya secara virtual menghilangkan kemungkinan Anda akan beralih hari ini.
Yang pertama dan paling jelas dari gotcha ini berkaitan dengan kemungkinan Anda kehilangan roaming authenticator Anda. Jika yang Anda miliki hanyalah satu roaming authenticator dan Anda kehilangannya, Anda juga akan kehilangan akses ke akun-akun yang sepenuhnya tanpa kata sandi—termasuk akun pengelola kata sandi Anda—yang passkey-nya disimpan di perangkat tersebut.
Untungnya, dengan cara kerja standar WebAuthn PRF, dimungkinkan untuk menggunakan roaming authenticator pertama untuk menginisialisasi satu atau lebih roaming authenticator cadangan untuk melindungi diri Anda dari kehilangan salah satunya. Inilah mengapa memiliki roaming authenticator cadangan tidak hanya disarankan. Itu sangat penting. Tanpa cadangan seperti itu, tidak ada rutinitas pemulihan otomatis seperti yang ada jika Anda kehilangan atau lupa kata sandi ke pengelola kata sandi Anda.
"Anda harus menyiapkan kunci tambahan," kata Direktur Inovasi Produk Dashlane, Rew Islam, kepada ZDNET. "Anda [menyimpan] kunci itu di mana pun Anda inginkan atau bahkan menggunakan beberapa [roaming authenticator]." Menurut Islam, jika Dashlane menawarkan alur kerja pemulihan yang melibatkan frasa rahasia atau email, itu akan sepenuhnya membatalkan sifat anti-phishing dari pendekatan sesuai WebAuthn yang menggunakan YubiKey.
"Jika kami menjamin ketersediaan 100% untuk akun Anda, maka secara harfiah tidak ada keamanan," kata Islam. Menyiratkan bahwa sebagian besar mekanisme pemulihan otomatis seperti itu rentan terhadap rekayasa sosial, Islam berkata, "Saya bisa mendapatkan akses ke akun Anda."
Namun, mengelola roaming authenticator cadangan lebih mudah diucapkan daripada dilakukan. Misalnya, katakanlah Anda akan bepergian dan Anda tidak bisa kehilangan akses ke pengelola kata sandi Anda saat Anda pergi. Berapa banyak roaming authenticator yang harus Anda bawa, dan apa strategi Anda untuk menyimpannya agar kehilangan satu tidak juga melibatkan kehilangan yang lain? Ini adalah hal-hal yang tidak perlu Anda pikirkan dengan kata sandi yang dapat dipulihkan, meskipun rentan terhadap phishing.
Jika itu belum cukup untuk membuat Anda berhenti sejenak, gotcha yang lain pasti akan.
Kesenjangan: Dukungan iOS dan Android
Gagasan di balik roaming authenticator adalah, setelah Anda menyiapkannya, Anda dapat "membawanya" ke mana saja ke perangkat apa pun. Misalnya, roaming authenticator yang sama harus memungkinkan Anda login ke pengelola kata sandi Anda dari smartphone maupun komputer notebook Anda. Bagaimanapun, Anda akan membutuhkannya untuk login ke semua akun berbeda Anda dari kedua perangkat tersebut. Sayangnya, saat ini, dalam hal kepatuhan WebAuthn PRF, ada kesenjangan dalam bagaimana draft standar ini didukung di iOS dan Android.
"Ketika ada standar-standar ini, kami harus menunggu platform memutuskan apa yang akan dilakukan terhadapnya. Passkey berhasil karena Microsoft, Google, dan Apple berkomitmen untuk mengimplementasikannya; mengimplementasikan hal-hal ini ke dalam sistem mereka, sistem operasi mereka, peramban mereka," kata Islam. "Tetapi itu tidak berarti mereka harus menerapkan setiap bagian spesifikasinya. Jadi, apa yang terjadi? Di [iOS] dan Android, beberapa ‘pipa’ untuk dukungan [roaming authenticator] hilang begitu saja."
Islam memperkirakan bahwa, dengan bantuan beberapa Software Development Kit (SDK) baru dari Yubico, kesenjangan tersebut akan terisi pada awal tahun depan. Tetapi untuk sementara waktu, jika Anda membutuhkan akses ke Dashlane di perangkat seluler Anda, sekarang bukanlah waktu yang tepat untuk beralih ke konfigurasi pengelola kata sandi yang sepenuhnya tanpa kata sandi. Prosesnya, setidaknya terkait Dashlane, tidak dapat diubah.
"Kami tahu bahwa ini menciptakan situasi yang tidak begitu nyaman," kata Islam, yang menyarankan bahwa langkah kecil tersebut masih diperlukan untuk mendorong adopsi standar WebAuthn PRF secara luas di industri. "Kami membutuhkan ketidaknyamanan itu untuk mendorong hal-hal tertentu [di industri maju]." Foto oleh Yuichiro Chino/Moment via Getty Images Jadi, itu merupakn keputusan strategis. Sekarang, kita tunggu saja bagaimana perkembangannya.
Ikuti perkembangan berita keamanan terbaru dengan Tech Today, yang dikirim ke inbox Anda setiap pagi.