Friday 1st March 2024
Durbar Marg, Kathmandu

Melindungi diri Anda atau bisnis Anda dari serangan phishing dan ancaman dunia maya lainnya menjadi semakin sulit. Sementara beberapa telah beralih ke autentikasi dua faktor (2FA) sebagai sarana perlindungan, yang lain malah memilih untuk menggunakan kunci keamanan fisik untuk melakukannya dan dengan kesuksesan yang jauh lebih besar.

Untuk mempelajari lebih lanjut tentang kunci keamanan dan bagaimana mereka dapat membantu organisasi dan individu menjaga keamanan akun mereka, TechRadar Pro berbicara dengan chief product officer Yubico, Guido Appenzeller.

Bisakah Anda memberi tahu kami sedikit tentang asal-usul perusahaan Anda dan apa yang menyebabkan terciptanya YubiKey pertama?

Pada tahun 2007, Stina dan Jakob Ehrensvärd mendirikan Yubico dengan misi menjadikan internet sebagai tempat yang lebih aman bagi semua orang. Pada tahun 2008, YubiKey pertama diluncurkan — satu perangkat, terinspirasi oleh kata ‘ubiquity’, yang akan membuat proses masuk yang aman menjadi mudah dan dapat diakses oleh semua orang. Pada tahun 2011, Stina, Jakob, dan ketiga anak mereka pindah ke Silicon Valley, untuk bermitra dengan pemimpin pemikiran internet, mengembangkan YubiKey lebih lanjut, dan meningkatkan standar autentikasi terbuka baru secara global.

Kini, teknologi Yubico diterapkan dan disukai oleh 9 dari 10 merek internet teratas dan oleh jutaan pengguna di 160 negara. Perusahaan ini juga merupakan kontributor utama FIDO Universal 2nd Factor (U2F), FIDO2, dan standar terbuka WebAuthn.

(Kredit gambar: wk1003mike / Shutterstock )

Di mana autentikasi dua faktor gagal dalam hal menghentikan serangan phishing dan man-in-the-middle?

Segala bentuk autentikasi dua faktor (2FA) lebih aman daripada tidak sama sekali, tetapi penting untuk diperhatikan bahwa tidak semua 2FA dibuat sama.

Dua metode 2FA yang lebih populer adalah kode SMS (pesan teks) atau aplikasi autentikator seluler, yang keduanya mengandalkan pengetikan ulang atau penempelan kode sekali pakai dari satu perangkat atau aplikasi ke perangkat lain. Ini tidak hanya merepotkan bagi pengguna, tetapi juga rentan terhadap kesalahan. Metode ini juga bergantung pada akses seluler, menimbulkan masalah di lingkungan di mana perangkat seluler tidak berfungsi atau dilarang. Yang mungkin paling memprihatinkan adalah bahwa metode 2FA sandi satu kali masih rentan terhadap serangan phishing dan man-in-the-middle (MITM) modern. Dan baru-baru ini, kami telah melihat serangan berbasis malware yang mencuri kata sandi dari pengelola kata sandi ponsel pintar dan kode satu kali. Terhadap serangan semacam itu, telepon pada dasarnya adalah perangkat autentikasi faktor tunggal.

Kunci keamanan berbasis FIDO memberikan tingkat keamanan yang lebih tinggi sekaligus memberikan pengalaman pengguna yang lancar. Standar FIDO U2F dan FIDO2, serta kunci keamanan yang kompatibel, memanfaatkan kriptografi kunci publik untuk melindungi dari serangan phishing dan man-in-the-middle. Bahkan jika pengguna tertipu untuk memberikan informasi pribadinya, seperti dalam kasus serangan phishing, kunci keamanan FIDO tidak dapat dikelabui. Kredensial pengguna terikat pada asalnya, artinya hanya situs asli yang dapat mengautentikasi dengan kunci. Kunci keamanan juga dirancang untuk bekerja hanya dengan satu sentuhan, membuat login hingga empat kali lebih cepat daripada kode sandi satu kali.

Google berhasil memperkenalkan kunci keamanan di kantornya sendiri untuk menghentikan phishing pada tahun 2017 lalu. Apakah Anda mengetahui perusahaan lain yang memiliki kisah sukses serupa setelah mewajibkan karyawannya menggunakan kunci keamanan?

Statistik menarik Google seputar penggunaan internal YubiKeys mereka telah menjadi katalis lanjutan bagi banyak perusahaan besar lainnya yang ingin menghilangkan pengambilalihan akun dan mengurangi biaya dukungan. Bahkan, Google juga merilis tambahan riset (terbuka di tab baru) yang menunjukkan kunci keamanan perangkat keras adalah satu-satunya solusi autentikasi yang layak yang dapat mencegah serangan phishing 100% setiap saat.

Meskipun belum ada perusahaan lain yang merilis statistik yang sebanding dengan Google, Yubico telah melihat kesuksesan besar dengan penerapan YubiKey di lebih dari 4.000 perusahaan yang mencakup berbagai sektor teknologi, keuangan, perawatan kesehatan, manufaktur, pendidikan, dan pemerintahan. Pelanggan teratas termasuk Facebook, Virginia Tech, Dropbox, Salesforce, GitHub, Gov.UK, dan lainnya.

Lightning YubiKey

(Kredit gambar: Yubico)

Perusahaan Anda memperkenalkan kunci keamanan multi-OS pertama dengan YubiKey 5Ci. Bagaimana tanggapan pelanggan saat dapat menggunakan satu kunci keamanan untuk mengamankan semua perangkat mereka?

Sejauh ini, responnya positif. Kegunaan adalah pertimbangan utama untuk Yubico, dan penting bagi pelanggan kami untuk mendapatkan pengalaman terbaik dengan produk kami. Dengan semakin banyaknya individu yang menghabiskan waktu mereka di banyak perangkat seluler, YubiKey 5Ci adalah langkah alami berikutnya dalam peta jalan produk kami.

Pada saat peluncuran, Apple belum mendukung NFC terbuka di iPhone, sehingga menyulitkan pengguna iOS untuk berpindah secara mulus antar perangkat dengan YubiKey. YubiKey 5Ci adalah produk pertama yang memecahkan masalah ini, dan mendapat banyak pujian dari pers dan pelanggan.

Dengan NFC terbuka Apple dan dukungan WebAuthn baru-baru ini di iOS dan iPadOS Safari, kami sangat senang dengan peluncuran YubiKey 5C NFC yang akan datang. Sebagai pelengkap YubiKey 5 NFC — yang memiliki dukungan USB-A dan NFC — YubiKey 5C NFC akan menjadi form factor YubiKey berikutnya untuk bekerja dengan mulus di seluruh perangkat dengan koneksi near field communication (NFC) dan USB-C.

(Kredit gambar: Google)

Google sekarang mengizinkan ponsel cerdas untuk berfungsi sebagai kunci keamanan. Apa manfaat menggunakan kunci keamanan fisik daripada mengandalkan ponsel cerdas untuk autentikasi?

Ada manfaat besar menggunakan kunci keamanan fisik daripada mengandalkan smartphone untuk 2FA. Saat pengguna berpindah di antara berbagai platform dan perangkat komputasi, memiliki apa yang kami sebut “akar kepercayaan portabel” sangatlah penting. Misalnya, kunci keamanan eksternal yang tidak terikat ke perangkat komputasi serbaguna menurunkan vektor serangan, mudah berpindah antar perangkat atau dapat digunakan untuk masuk ke akun di perangkat baru, berfungsi di lingkungan yang dibatasi seluler seperti pusat panggilan atau rumah sakit, dan menawarkan jaminan keamanan tingkat tinggi yang tepercaya untuk operasi sensitif seperti mentransfer uang dalam jumlah besar di aplikasi perbankan.

Untuk perusahaan, keuntungan kedua adalah dengan YubiKey terdapat solusi autentikasi umum yang bekerja secara identik, dan memiliki properti keamanan yang sama untuk semua karyawan. Jika karyawan menggunakan ponsel mereka sendiri, ada berbagai vendor, sistem operasi, dan versi sistem operasi yang mungkin ditambal atau tidak dengan semua perbaikan keamanan. Tahun lalu, kami melihat lebih dari 100 kerentanan untuk iOS dan Android. Sangat sulit untuk mencapai tingkat keamanan yang tinggi di lingkungan seperti itu.

Ini adalah masa depan yang dibayangkan Yubico ketika kami membantu menciptakan standar terbuka FIDO2 dan WebAuthn yang baru. Kami bermaksud agar semakin banyak pilihan autentikasi yang kuat bagi pengguna, dan agar beberapa opsi autentikasi ini dibangun langsung ke dalam perangkat. Pilihan dan aksesibilitas yang lebih baik penting untuk mendorong dukungan luas untuk FIDO2 dan WebAuthn. Namun, kunci keamanan akan selalu berperan penting dalam lanskap autentikasi yang berkembang ini.

YubiKey Bio

(Kredit gambar: Yubico)

Adakah yang bisa Anda beri tahu tentang rencana Anda untuk merilis YubiKeys dengan pengenalan sidik jari?

Saat ini kami tidak memiliki banyak detail untuk dibagikan tentang Bio YubiKey, dan kami belum memiliki tanggal peluncuran. Apa yang dapat kami bagikan adalah bahwa ini akan memanfaatkan kemampuan multi-factor authentication (MFA) yang diuraikan dalam FIDO2 (terbuka di tab baru) dan WebAuthn (terbuka di tab baru) spesifikasi standar dengan dukungan untuk login berbasis biometrik dan PIN.

Bagaimana masa depan Yubico dan dapatkah Anda membagikan detail tentang produk atau pembaruan yang akan datang?

Selain peluncuran produk kami yang akan datang dari Yubikey Bio dan YubiKey 5C NFC, Yubico akan banyak berinvestasi dalam perluasan penawaran berbasis layanan baru kami: Layanan YubiEnterprise (terbuka di tab baru). YubiEnterprise Services saat ini terdiri dari YubiEnterprise Subscription, dan segera YubiEnterprise Delivery, untuk meningkatkan proses pengadaan, pengiriman, dan pengelolaan YubiKeys. Tujuan YubiEnterprise Services adalah agar Yubico menjadi mitra perusahaan yang lebih bernilai. Idenya adalah bahwa kami akan mengambil banyak kerumitan logistik atau hambatan sumber daya dari persamaan, memungkinkan pelanggan kami untuk fokus pada pengembangan bisnis inti mereka.

Kami juga mengantisipasi beberapa kemajuan menarik dengan FIDO2 dan WebAuthn. Kami tidak hanya akan melihat pertumbuhan dan adopsi yang berkelanjutan dari layanan dan aplikasi utama, tetapi kami juga akan mulai melihat standar ini digunakan untuk hal-hal seperti pembayaran elektronik, identifikasi dan transaksi elektronik, perangkat yang terhubung, dan banyak lagi.

Back To Top