Memperingati Hari Password Sedunia, sebuah konsorsium mengumumkan inisiatif penghapusan kata sandi di seluruh platform seluler, komputer, dan peramban dalam beberapa tahun ke depan.
Hari Password atau World Password Day, awalnya digagas pada 2013 oleh sekelompok profesional keamanan siber. Diperingati pada setiap Kamis pertama bulan Mei, setiap tahunnya.
Cita-citanya menumbuhkan kebiasaan membuat atau menggunakan kata sandi yang baik, membantu menjaga kehidupan daring tetap aman.
Namun, autentikasi hanya lewat kata sandi kini menjadi salah satu masalah keamanan terbesar di web. Pun, konsumen benci bila harus mengelola begitu banyak kata sandi.
Nekat menggunakan kata sandi yang sama untuk berbagai layanan, menimbulkan risiko keamanan lewat pengambilalihan akun, pelanggaran data, bahkan pencurian identitas.
Meskipun aplikasi pengelola kata sandi dan autentikasi dua faktor menawarkan peningkatan keamanan, upaya menciptakan inovasi baru yang lebih nyaman dan aman masih berlanjut.
Tahun ini, perusahaan raksasa teknologi penguasa jagat mayantara, mengumumkan inisiatif untuk menghapus kata sandi. Inisiatif ini dibuat FIDO (Fast Identity Online) dan World Wide Web Consortium (W3C).
Standar baru ini memungkinkan aplikasi dan situs web menawarkan cara terpadu serta aman saat diakses dari berbagai platform dan perangkat, termasuk sistem operasi Android dan iOS; Browser Chrome, Edge, dan Safari; serta desktop Windows maupun macOS.
Setidaknya Apple, Google, dan Microsoft telah disebut mendukung gagasan ini. Dalam pernyataan resmi FIDO menyambut Hari Password Sedunia, Kamis (5/5/2022), ketiganya akan memperluas dukungan terhadap standar login (masuk) tanpa kata sandi buatan FIDO dan W3C.
Pendekatan baru ini diklaim melindungi dari phishing dan prosesnya akan jauh lebih aman dibandingkan dengan kata sandi dan teknologi multi-faktor seperti sandi sekali-pakai yang dikirim melalui SMS.
“‘Autentikasi yang lebih sederhana dan lebih kuat’ bukan sekadar tagline bagi FIDO Alliance — ini juga prinsip yang memandu kerja kami,” ujar Andrew Shikiar, Direktur Eksekutif dan CMO FIDO Alliance.
Autentikasi tanpa password ala FIDO
Protokol FIDO menggunakan teknik kriptografi kunci publik (Public Key Cryptography Standards). Teknik ini membuat sepasang kunci pribadi atau privat (Private key) dan kunci publik (Public key).
Kunci privat menjadi tanda pengenal perangkat milik pengguna (klien), sedangkan kunci publik yang dipakai platform atau situs layanan untuk mengenali pengunjung lewat kunci privat masing-masing.
FIDO mengumumkan telah memperluas implementasi teknologi ini yang memberi pengguna dua kemampuan baru untuk masuk tanpa kata sandi secara lebih mulus dan aman:
- Mengizinkan pengguna secara otomatis mengakses kredensial ke FIDO (lazim disebut sebagai “kunci sandi”) di lebih dari satu perangkat—bahkan yang baru—tanpa harus mendaftarkan ulang setiap akun.
- Memungkinkan pengguna menggunakan autentikasi FIDO di perangkat seluler untuk masuk ke aplikasi atau situs web di perangkat terdekat, terlepas dari platform OS atau browser yang mereka jalankan.
Artinya, meski pengguna memiliki banyak perangkat (ponsel, komputer, atau tablet), atau saat membeli perangkat baru, kunci privat dapat digunakan.
Lazimnya, satu kunci privat unik terhadap satu perangkat sehingga membatasi akses. FIDO telah menemukan solusi terhadap isu barusan, yang jadi kendala pada versi sebelumnya.
Misalnya saat mendaftar di sebuah layanan daring, perangkat klien membuat pasangan kunci privat-publik baru. Kunci privat selalu disimpan di perangkat pengguna, sedangkan kunci publiknya akan didaftarkan ke layanan online yang dituju.
Autentikasi terjadi saat perangkat klien berusaha masuk atau login, dengan “mencocokkan” kunci privat di perangkat pengguna, dengan kunci publik yang tersimpan di situs layanan. Bila cocok, proses login pun berlanjut.
Kunci privat di perangkat klien ini hanya dapat digunakan setelah diaktifkan secara lokal di perangkat oleh pengguna. Pengaktifan dilakukan lewat autentikasi ramah pengguna tapi aman seperti yang biasa dilakukan.
Metode paling umum biasanya menggeser jari ke layar, memasukkan PIN, berbicara lewat mikrofon, memasukkan autentikasi dua faktor atau menekan tombol tertentu.
Berikut ilustrasi cara kerja autentikasi lewat FIDO yang ditawarkan:
Setelah teregistrasi, proses masuk atau login mirip menggunakan mekanisme yang hampir sama. Kali ini situs layanan daring akan “menantang” pengguna saat ingin login dengan perangkat yang telah terdaftar.
Pengguna membuka autentikator FIDO menggunakan metode yang sama seperti saat mendaftar, lalu perangkat akan menggunakan pengenal akun pengguna (sesuai layanan yang akan dikunjungi), dan memilih kunci yang sesuai lalu “menandatangani jawaban tantangan” dari situs layanan.
Perangkat klien mengirimkan tantangan yang telah ditandatangani itu ke situs layanan, yang memverifikasinya dengan kunci publik yang disimpan dan mencatat “kedatangan” pengguna.
Tanpa password tetap lindungi privasi
Protokol FIDO ini diklaim tetap melindungi privasi pengguna. Protokol tidak memberikan informasi yang dapat digunakan oleh layanan daring untuk melacak pengguna di seluruh layanan. Informasi biometrik, jika digunakan, datanya takkan pernah keluar dari perangkat pengguna.
Kredensial FIDO telah mendukung multi-perangkat, sehingga ia bisa berfungsi seperti kredensial FIDO cadangan (biasanya ke akun platform pengguna; misalnya, Akun Google atau AppleID). Dengan cara ini, akses dapat dipulihkan oleh pengguna ke dan dari perangkat lain.
Ini sangat mirip dengan aplikasi pengelola kata sandi (password manager) untuk membantu pengguna mendaftar dan masuk ke situs web secara aman. Hanya saja, protokol FIDO akan jauh lebih aman karena server mengeluarkan kunci publik daripada kata sandi.
FIDO Alliance berharap pengenalan kredensial FIDO multi-perangkat ini menjadi langkah penting menuju penerapan otentikasi FIDO yang anti-phishing pada skala yang lebih luas. Dalam banyak kasus, penggunaan kata sandi atau MFA seperti SMS OTP rentan serangan.
Andrew Shikiar menyatakan, “Kemampuan baru ini siap mengantarkan gelombang baru implementasi FIDO seiring pemanfaatan keamanan yang terus berkembang—memberi berbagai opsi untuk menerapkan autentikasi modern tahan phishing.”
“Pergeseran total ke dunia tanpa kata sandi akan dimulai,” demikian kata Alex Simons, Wakil Presiden Perusahaan, Manajemen Program Identitas di Microsoft.
“Solusi apa pun demi lebih aman, lebih mudah, dan lebih cepat sangat dibutuhkan daripada kata sandi dan metode autentikasi multi-faktor yang digunakan saat ini,” imbuhnya.
Ia sangat optimstis terhadap masa depan implementasi kredensial berbasis FIDO, menjanjikan dukungan di seluruh aplikasi dan layanan Microsoft.
Di luar FIDO, inisiatif untuk mengganti kata sandi sebenarnya sudah bergulir. Liberty Alliance pernah menggagas SAML 2.0; The Kantara Initiative meluncurkan “Identity Assurance Framework”; dan DMARC atau Domain-based Message Authentication, Reporting, and Conformance, metode autentikasi email untuk melindungi dari alamat email tidak sah atau email spoofing.
Solusi terhadap masalah keamanan kata sandi akan ditunggu banyak pengguna, mengingat aspek keamanan jadi pilar penting dalam literasi digital. Selama ini, pilar tersebut lemah di Indonesia.
*Photo by Mikhail Nilov