Tidak ada lagi kata sandi — bagaimana kunci sandi akan menggantikan kata sandi Anda

May 15 2023
Untuk menghindari ambiguitas istilah berikut akan digunakan; Pengautentikasi; Ponsel yang digunakan untuk membuat situs web login; Situs web atau aplikasi yang digunakan pengguna untuk membuat Layanan permintaan login; Vendor menyediakan layanan yang diberikan misalnya

Untuk menghindari ambiguitas istilah berikut akan digunakan;

Pengautentikasi ; Ponsel yang digunakan untuk melakukan login

Situs web ; Situs web atau aplikasi yang digunakan pengguna untuk membuat permintaan login

Layanan ; Vendor yang menyediakan layanan tertentu misalnya Google Mail, Microsoft Outlook

Apa masalah dengan Kata Sandi?

Kata sandi identik dengan penggunaan internet kami, kami menggunakannya untuk masuk ke email kami, akun media sosial atau untuk memeriksa saldo bank kami. Kami diingatkan untuk menyetel kata sandi rumit yang 'baik' dengan setiap situs memiliki definisinya sendiri tentang seperti apa tampilan yang bagus.

Terlepas dari upaya ini, kata sandi tetap menjadi kelemahan karena banyak yang menggunakan kata sandi lemah dan/atau kata sandi yang sama di seluruh akun. Seringkali beberapa menjadi korban situs web yang berpura-pura menjadi layanan asli, yang dikenal sebagai phishing. Di sinilah pengguna mengklik tautan yang mereka yakini asli tetapi sebenarnya adalah situs web palsu yang dibuat untuk mencuri kata sandi pengguna.

Situs web 'phishing' palsu yang sangat bagus juga dapat mengelabui pengguna agar melakukan autentikasi multi-faktor (MFA) jika jenis MFA tidak dirancang untuk tahan terhadap serangan phishing. Namun, memiliki MFA lebih baik daripada tidak memiliki MFA sama sekali.

Apa itu Kunci Pas

Kunci sandi menggantikan kata sandi dan dirancang agar tahan terhadap serangan phishing. Mereka juga membuat proses login lebih mudah bagi pengguna serta lebih aman.

Mari kita ambil Batool sebagai contoh, dia telah menggunakan kata sandi untuk masuk ke akun Gmailnya. Dengan pindah ke Passkey dia bisa login dengan menggunakan sidik jari atau wajahnya. Kata sandi menjadi metode alternatif jika dia tidak dapat menggunakan Kunci Sandi (kata sandi pada akhirnya akan dihentikan di beberapa titik).

Kunci sandi menggunakan konsep kunci privat dan publik , alih-alih frasa sandi, Batool sekarang memiliki kunci pribadi yang dibuat, disimpan, dan dikelola dengan mulus oleh ponselnya. Ini bisa melalui Aplikasi otentikasi atau di dalam sistem operasi.

Ponsel Batool mengetahui cara mengunggah kunci publik barunya secara otomatis ke Gmail, sebagai bagian dari pembuatan Kunci Pasnya dengan Gmail.com.

Gmail sekarang mengetahui tentang kunci publik Batool dan karena itu akan memintanya untuk mengonfirmasi bahwa itu adalah miliknya dengan meminta Batool untuk membuka kunci ponselnya dan menandatanganinya menggunakan kunci pribadinya.

Semua ini terjadi di latar belakang antara Gmail.com dan ponselnya, Batool hanya perlu khawatir menggunakan sidik jari atau membuka kunci biometrik wajah seperti biasanya. Dia mungkin harus memilih Kunci Sandi mana yang akan digunakan jika dia memiliki banyak akun Gmail.com yang berbeda.

Situs web palsu sekarang tidak lagi menjadi ancaman karena mereka tidak memiliki kunci publik Batool sehingga dia tidak dapat masuk. Ingat kunci pribadi tidak pernah meninggalkan ponselnya.

Jadi bagaimana Batool berpindah dari kata sandi ke kunci sandi?

Diagram di bawah ini menunjukkan bagaimana Batool berpindah dari menggunakan kata sandi menjadi kunci sandi untuk akun Gmailnya.

Batool membuat kunci sandi

1- Batool masuk ke layanan (Gmail) menggunakan nama pengguna dan kata sandinya.

2- Gmail sekarang mendukung Kunci Sandi, permintaan dikirim ke Batool untuk membuat Kunci Sandi atau dia mungkin perlu menjelajahi g.co/passkeys .

3- Muncul pemberitahuan untuk membuat Kunci Sandi.

4- Batool memilih untuk membuat Passkey dan diminta untuk membuka kunci ponselnya dengan menggunakan opsi biometrik, ini memungkinkan ponselnya membuat Passkey baru dengan aman untuk Gmail.com dan menyimpannya dengan aman untuknya.

5- Kunci pribadi terikat ke profil penggunanya, yaitu disinkronkan ke perangkatnya. Dalam contoh ini, Batool menggunakan iPhone sehingga dapat disinkronkan menggunakan iCloud. Namun, metode alternatif dapat digunakan oleh vendor yang berbeda yaitu Microsoft Authenticator atau Google Password Manager.

6 - Kunci publik yang sesuai dikirim ke Gmail.

7- Google HANYA menyimpan kunci publik ini dan digunakan dalam upaya login di masa mendatang untuk memvalidasi tanda tangan yang ditandatangani dari Batool.

Saat Batool menggunakan sidik jari atau wajahnya untuk menggunakan Kunci Pas, ini seperti membuka kunci perangkat atau masuk ke perbankan online — representasi digital dari sidik jari atau wajahnya TIDAK PERNAH meninggalkan ponsel , disimpan terenkripsi di ponsel, dan tidak dapat diakses oleh Gmail atau siapa pun yang membuat perangkat tersebut, seperti Apple atau Android.

Sekarang Batool memiliki Passkey, bagaimana proses loginnya?

Diagram di bawah menunjukkan bagaimana Batool akan masuk ke akun Gmailnya menggunakan kunci sandinya.

Batool masuk dengan kunci sandinya

1- Batool menjelajah ke situs web login dari layanan tertentu, Gmail dalam hal ini.

2- Batool sebelumnya telah membuat kunci sandi (lihat di atas) untuk Gmail, jadi tantangan dikirim dari layanan Gmail.

3- Tantangan diterima oleh ponsel Batool dan muncul sebagai daftar kunci sandi yang tersedia dari layanan yaitu jika Batool memiliki lebih dari satu akun Gmail maka dua kunci sandi akan muncul

4- Batool memilih Passkey untuk akun Gmailnya dan kemudian menggunakan biometrik untuk membuka kunci ponselnya, ini kemudian memungkinkan ponselnya menggunakan kunci pribadi.

5- Tantangan dari Google kemudian ditandatangani oleh kunci pribadi Batool.

6- Tantangan yang ditandatangani kemudian dikirim ke Google, yang memberikan keyakinan kuat bahwa Batool sedang masuk.

7 - Google menggunakan kunci publik untuk Batool untuk mengonfirmasi login yang berhasil.

Saat login ke Google mulai sekarang, Google akan meminta Passkey jika memungkinkan. Jika Passkey tidak tersedia, Batool masih bisa menggunakan password Google miliknya.

Ini adalah bagian dari perpindahan bertahap ke Kunci Sandi karena semakin banyak layanan yang menggunakan Kunci Sandi, semoga kita akan melihat masa depan tanpa kata sandi dan ketahanan yang lebih kuat terhadap phishing.

Apple, Google, dan Microsoft berkolaborasi untuk meningkatkan kesadaran dan adopsi Kunci Pas dengan informasi lebih lanjut tentang ini di sini .

Terima kasih banyak kepada Joel Samuel dan Ali Sarraf yang mengulas karya ini.