Andrew Brookes/Getty Images
Ada alasan mengapa mereka menyebutnya bleeding edge, kira-kira begitulah pelajaran yang saya pelajari setelah beberapa minggu menguji pengelola kata sandi Dashlane menggunakan opsi tanpa kata sandi yang baru diperkenalkan untuk membuat akun baru.
Tidak, saya tidak secara harfiah menumpahkan darah, tetapi saya berhasil menemui bug yang efektif memutuskan saya dari akses ke gudang kata sandi saya di beberapa perangkat selama beberapa hari. Keberhasilan perusahaan untuk mengakui bug tersebut dan memberikan perbaikan adalah hal yang patut diapresiasi, tetapi insiden ini menggambarkan betapa mudahnya bagi perusahaan keamanan apa pun untuk terhuyung dalam kejaran saat ini untuk menghilangkan kata sandi.
Juga: Apa itu kunci lulusan? Rasakan keajaiban yang mengubah hidup tanpa kata sandi
Mari kita mulai dengan berita baiknya. Secara keseluruhan, pengalaman saya dengan Dashlane sangat positif. Sangat mudah untuk membuat akun baru di perangkat seluler, mengimpor data yang sudah ada dari 1Password, dan mengatur perangkat lunak di perangkat baru menggunakan aplikasi Dashlane dan ekstensi browser. Saya juga menemukan proses pengisian kata sandi sangat mudah. Bonus: semua kredensial 2FA saya (kata sandi waktu terbatas seperti yang digunakan dalam Google Authenticator dan Authy) bermigrasi dengan lancar dari 1Password.
Semua berjalan dengan sempurna, sampai hari Jumat sebelum saya bersiap untuk pergi dalam perjalanan dua minggu dan mulai mengatur laptop yang akan saya bawa. Tantangan keamanan Dashlane berfungsi persis seperti yang diharapkan, dan saya menerima konfirmasi melalui email bahwa perangkat baru saya berhasil ditambahkan ke akun saya, tetapi mengklik tombol Akses Gudang tidak menghasilkan apa pun.
Juga: Layanan VPN terbaik: Diuji dan ditinjau oleh ahli
Mungkin ini masalah peramban, pikir saya, jadi saya mencoba menginstal peramban lain. Namun, itu juga gagal dengan cara yang sama. Saya juga tidak berhasil di PC Windows lain, di Chromebook, dan di MacBook. Meskipun perangkat ditambahkan ke akun saya, itu tidak dapat membuka gudang kata sandi saya.
Akhirnya, saya menghubungi dukungan Dashlane melalui email. Butuh sedikit pergantian pesan untuk membuat laporan bug, dan kemudian saya menunggu dua hari penuh untuk mendapatkan tanggapan ini:
Masalah ini telah diidentifikasi oleh tim teknik kami dan kami akan segera merilis perbaikan. Sementara itu, kami menyarankan Anda untuk terus mengakses akun Anda melalui perangkat yang sebelumnya telah diautentikasi.
Kami menghargai kesabaran dan pengertian Anda.
Keesokan harinya, dukungan Dashlane memberi tahu saya bahwa versi baru ekstensi peramban sudah tersedia. Menginstal pembaruan tersebut mengembalikan semuanya normal.
Juga: Amazon menambahkan passkey agar Anda bisa masuk tanpa kata sandi yang merepotkan
Sebagai insiden dukungan, ini memang merepotkan, tetapi tidak berbahaya. Data yang saya simpan tidak pernah berisiko diakses oleh pihak luar (kunci dekripsi hanya ada di perangkat saya), dan saya memiliki beberapa salinan cadangan, serta kunci pemulihan akun yang akan memungkinkan saya mengembalikan data jika saya tidak dapat mendapatkan kembali akses ke akun.
Saya masih memiliki akses ke gudang kata sandi di perangkat seluler saya, tetapi akan sangat menyebalkan jika saya harus mencari kata sandi yang panjang dan acak di perangkat seluler saya dan kemudian mengetikkannya secara manual di laptop saya, itulah sebabnya saya sementara beralih kembali ke 1Password saat insiden ini terjadi.
Jadi, apa yang terjadi? Senior Product Manager Dashlane, Jordan Aron, menjelaskan bahwa masalah ini terjadi karena upgrade teknis yang dilakukan oleh para insinyur perusahaan pada kode ekstensi peramban yang secara tidak sengaja mempengaruhi pengguna tanpa kata sandi. (Pelanggan Dashlane yang menggunakan akun yang diamankan oleh kata sandi master tidak terpengaruh.)
Juga: Melampaui kata sandi: 4 langkah keamanan kunci yang mungkin Anda lupakan
Perbaikannya relatif sederhana, tetapi membutuhkan tinjauan dan persetujuan dari toko ekstensi peramban sebelum dapat mencapai pelanggan yang terpengaruh. Aron memperkirakan bahwa sekitar 5% pelanggan yang menggunakan opsi tanpa kata sandi baru terpengaruh.
Dalam tanggapan melalui email, Aron menunjukkan, “Ini adalah solusi yang sangat baru yang terus kami inovasikan dan tingkatkan, dan peristiwa terisolasi ini seharusnya tidak mengurangi penggunaan akun Dashlane tanpa kata sandi yang mudah digunakan dan memberikan manfaat keamanan yang lebih baik.”
“Untuk lebih cepat meredakan masalah yang mungkin terjadi di masa depan, kami telah memperluas cakupan pemantauan detektif kami dan visibilitas untuk tidak hanya meliputi pengaturan perangkat tanpa kata sandi yang berhasil, tetapi juga langkah terakhir akses gudang yang berhasil. Dalam hal pencegahan, kami juga sedang menerapkan tinjauan tambahan untuk pembaruan kode kami dan mengevaluasi peningkatan dalam deteksi proaktif dan pencegahan dengan fokus pada fitur login tanpa kata sandi kami.”
Juga: 6 aturan keamanan sederhana yang dapat Anda terapkan sekarang juga
Ironisnya, ini bukan satu-satunya masalah yang saya hadapi dengan opsi keamanan tanpa kata sandi minggu ini.
Beberapa bulan yang lalu, saya membuat akun Microsoft utama saya tanpa kata sandi. Untuk mengatur perangkat baru, saya menggunakan aplikasi Microsoft Authenticator atau kunci keamanan, tanpa opsi otentikasi SMS. Opsi-opsi itu membuatnya sangat sulit bagi penyerang untuk membobol akun saya. Sayangnya, itu juga membuat saya tidak bisa menggunakan utilitas Remote Desktop Microsoft untuk mengakses sistem di mana saya sudah masuk menggunakan akun tersebut. Saya juga tidak dapat terhubung ke mesin virtual Hyper-V menggunakan Enhanced mode. Mungkin suatu hari nanti Microsoft akan memperluas dukungannya untuk passkey agar mencakup masuk Remote Desktop, tetapi saya tidak berharap terlalu banyak.
Juga: Kunci keamanan terbaik untuk melindungi diri dan bisnis Anda
Sementara itu, pada laptop yang sama di mana saya sementara beralih kembali ke 1Password, saya menemukan bahwa saya masih terhubung ke akun uji yang saya buat menggunakan opsi tanpa kata sandi 1Password (yang masih dalam beta publik). Tidak masalah, pikir saya, saya akan menggunakan fitur Kelola Akun untuk menghapusnya. Namun, pilihan itu meminta saya untuk memberikan kata sandi master yang tidak ada. Akhirnya, saya berhasil memecahkan masalah dengan menghapus dan menginstal ulang ekstensi peramban.
Moral dari cerita ini? Bagus untuk mengetahui bahwa perusahaan keamanan sedang bekerja keras untuk opsi tanpa kata sandi. Suatu hari nanti, ketika mereka telah menyelesaikan semua masalahnya, solusi-solusi itu akan membuat dunia menjadi tempat yang lebih baik. Tetapi sampai saat itu tiba, mungkin ide yang baik untuk tetap mempertahankan kata sandi master Anda.