2FA Lapisi Keamanan Password

Menurut TroyHunt dalam studi mereka tahun 2018 secara total, ada 1.910.144 password dari 2.232.284 yang sudah ada dalam kumpulan password yang bocor. Dengan kata lain, 86% pengguna komputer menggunakan kata sandi yang sudah bocor dalam pelanggaran data lain dan bisa digunakan kapan saja oleh peretas untuk serangan brute force, seperti serangan kamus yang dapat langsung membongkar keamanan kata sandi pengguna.

Password sudah tidak lagi menjadi solusi perlindungan, meskipun selama beberapa dekade semua orang mengandalkan password untuk melindungi sistem komputer dari peretas, tapi kini itu semua tidak lagi memenuhi tujuan awalnya. sebaliknya malah menjadi masalah baru bagi keamanan pengguna komputer baik individu terutama perusahaan.

Dengan kata lain password sering jadi penyebab yang kerap merugikan perusahaan. Kelalaian karyawan/individu juga seringkali menambah risiko, karena mereka kerap kali menggunakan password pribadi untuk akun perusahaan menjadi pangkal kebocoran data. Ini adalah indikasi bahwa password lama adalah bentuk keamanan kuno yang tidak cukup kuat melindungi bila menyangkut komunikasi, akun, dan data sensitif. Ironisnya, sampai sekarang password yang sama masih sering digunakan hampir untuk semua hal, mulai dari akun perbankan dan sosial media hingga email.

Bagaimana pun password masih tetap dibutuhkan, tetapi untuk melengkapi dan memperkuat keamanannya diperlukan faktor lain sebagai pelapis, karena serangan siber tidak akan pernah berakhir dan akan terus membuat login Anda berisiko dan membuat pengelolaan keamanan akun online menjadi beban. Di sinilah otentikasi dua faktor (2FA) dapat membantu. Teknologi ini merupakan opsi keamanan ganda yang bisa membantu perusahaan dalam melindungi kebocoran data. Teknologi ini dapat diimplementasikan dalam keperluan digital sehari-hari, seperti:

  • Saat login komputer

  • Login ke applikasi internal perusahaan

  • Login ke Web Mail

  • Login ke VPN

  • Kode approval

Two Faktor Authentication (2FA) merupakan opsi terbaik untuk menyempurnakan perlindungan keamanan yang diberikan oleh password, ESET misalnya memiliki ESET Secure Authentication (ESA) sebagai solusi untuk memudahkan perusahaan dalam menjaga keamanan data mereka yang dilindungi oleh password.

Technical Consultant PT Prosperita – ESET Indonesia, Yudhi Kukuh berbicara tentang ESA mengatakan: “ESET Secure Authentication memvalidasi setiap kali melakukan login, menggunakan dua elemen yaitu terdiri dari kata sandi pengguna dan OTP (One Time Password) yang dengan mudah diimplementasikan di ponsel pintar. Dengan verifikasi ganda akan memberikan lapisan keamanan tambahan ke data penting perusahaan. Selain itu, ESET Secure Authentication lebih fleksibel, hemat biaya, mudah dalam penggunaan dan pengelolaannya.

ESET Secure Authentication

Gambar di atas menggambarkan alur karyawan menggunakan metode otentikasi dua faktor saat mengakses aplikasi perusahaan.

  • Username dan password tetap digunakan sebagai pengamanan lapis pertama.

  • Pengamanan lapis kedua, berupa Password Satu Kali atau One Time Password (OTP) di-generate di ponsel, melalui aplikasi yang sudah terpasang di ponsel.

  • Server akan memproses validitas otentikasi yang dilakukan, jika semua memenuhi syarat maka akses akan diberikan.

Secara umum, implementasi metode ini cukup mudah. Beberapa poin yang dapat menjadi pertimbangan:

  • Berupa Aplikasi yang tidak memerlukan akses Internet setiap menghasilkan nomor acak sekali pakai.

  • Tidak menggunakan pulsa.

  • Mudah diinstal di ponsel pintar.

  • Password yang muncul hanya dapat digunakan satu kali.

  • Mudah dan cepat diimplemtasikan.

  • Tersedia SDK dalam bahasa PHP, Micosoft .NET ataupun Java.

Otentikasi dua faktor tidak menghapus peran password sebagai bagian dari mekanisme perlindungan data, karena password masih memiliki peran jika dipraktekkan dengan cara yang tepat. Berikut ada beberapa tips untuk membuat kata sandi yang kuat sehingga akan makin mempersulit penjahat siber mengeksploitasi kata sandi.

  • Jangan gunakan login atau nama pengguna Anda (ditulis terbalik, huruf besar, ganda dan sebagainya).

  • Jangan gunakan nama depan, tengah, atau belakang Anda.

  • Jangan gunakan nama pasangan Anda, orang lain, anak-anak, teman, atau hewan peliharaan.

  • Jangan gunakan informasi lain yang mudah didapat tentang Anda, termasuk tanggal lahir, nomor plat, nomor telepon, alamat rumah, dan lain-lain.

  • Jangan gunakan kata sandi semua digit atau semua huruf yang sama.

  • Jangan menggunakan kata yang terkandung dalam kamus bahasa Inggris atau bahasa asing, daftar ejaan, akronim atau daftar singkatan, atau daftar kata lainnya.

  • Jangan gunakan kata sandi yang mengandung kurang dari 13 karakter.

  • Jangan berikan kata sandi Anda ke orang lain dengan alasan apa pun.

  • Gunakan kata sandi dengan karakter huruf kecil saja.

  • Gunakan kata sandi yang mengandung karakter non abjad (angka dan/atau tanda baca)

  • Gunakan kata sandi yang mudah diingat, sehingga tidak perlu menuliskannya.

  • Jangan gunakan kata sandi yang bisa Anda ketik dengan cepat, tanpa harus melihat keyboard.