September 29, 2022

Kata sandi bau sebagai sistem keamanan. Manusia sangat buruk dalam membuat kata sandi yang panjang, unik, dan aman. Sebagian besar dari kita menggunakan kembali rangkaian pendek informasi bermakna yang sama berulang kali—dan bahkan kata sandi yang aman pun tidak terlalu bagus. Serangan rekayasa sosial seperti phishing dapat menipu orang untuk memberikan kata sandi yang paling panjang sekalipun, atau dapat dibocorkan jika seluruh basis data yang tidak terenkripsi diretas. Ini adalah masalah besar bagi perusahaan teknologi yang ingin menjaga keamanan data Anda, belum lagi individu itu sendiri yang mengalami pelanggaran privasi. Jadi, Apple, Microsoft, Google, dan perusahaan lain di Aliansi FIDO telah menetapkan untuk mengembangkan solusi yang lebih baik yang disebut “kunci sandi.”

Pada Konferensi Pengembang Seluruh Dunia (WWDC) minggu ini, Apple mengumumkan penerapan standar kunci sandi yang baru disepakati. Ini akan diluncurkan dengan iOS 16 dan macOS Ventura, jadi ini adalah tampilan dunia nyata pertama yang kami miliki di masa depan tanpa kata sandi yang telah lama dijanjikan (FIDO Alliance, yang merupakan grup industri yang didedikasikan untuk “menyelesaikan masalah kata sandi Dunia ,” telah mengerjakan ini selama satu dekade).

Dalam keynote WWDC, wakil presiden teknologi internet Apple, Darin Adler, menyebut kunci sandi sebagai “kredensial generasi berikutnya yang lebih aman, lebih mudah digunakan, dan bertujuan untuk mengganti kata sandi selamanya.” Itu sebenarnya ringkasan yang cukup bagus—dan bahkan tidak menjualnya secara berlebihan.

Jadi bagaimana mereka akan bekerja? Kunci sandi dibangun di atas WebAuthentication, atau WebAuthn, standar. Ini menggunakan prinsip kriptografi yang disebut kriptografi kunci publik untuk mengamankan akun Anda. Ini adalah ide yang sama yang digunakan untuk enkripsi ujung ke ujung di iMessage, Signal, dan aplikasi komunikasi aman lainnya. Alih-alih membuat kata sandi untuk akun, perangkat Anda akan membuat sepasang kunci unik yang terkait secara matematis: kunci publik dan kunci pribadi. Kunci publik disimpan di server (karena, seperti namanya, ini bukan rahasia) dan akan memungkinkan situs web atau aplikasi memverifikasi akun Anda—selama Anda memiliki kunci pribadi yang cocok. Triknya adalah karena cara kerja matematika, kunci pribadi tidak perlu dibagikan dengan server. Perangkat Anda dapat melakukan semua otentikasi tanpa pernah mengungkapkannya. Ini teknologi yang rapi, dan memiliki implementasi keamanan yang serius.

See also  Apple berencana untuk mengganti CAPTCHA dengan pendekatan baru

Meskipun kunci sandi mungkin terdengar rumit (dan kriptografi yang mendasarinya memang rumit), dalam praktiknya, mereka akan membuat pendaftaran akun baru menjadi lebih sederhana. Anda hanya akan menggunakan Touch ID atau Face ID, dan iPhone, iPad, atau Mac Anda akan melakukan sisanya. Anda tidak perlu membuat kata sandi yang panjang, menambahkan beberapa $s dan &s, lalu mencoba mengingatnya. Anda bahkan tidak akan melihat kunci publik atau pribadi Anda. Semuanya dilakukan di latar belakang, yang menghilangkan elemen manusia yang licin dan tidak dapat diandalkan.

Juga, kunci sandi tidak dapat di-phishing. Kunci publik Anda untuk situs tertentu bukanlah informasi istimewa. Yang penting adalah kunci pribadi, yang tidak pernah meninggalkan perangkat Anda. Situs web palsu yang dirancang untuk meniru bank Anda, Ebay, atau akun lain tidak dapat menipu Anda untuk menyerah. Itu dapat mengatur prompt login, tetapi itu tidak akan melakukan apa-apa.

Implementasi kunci sandi Apple—setidaknya dalam dokumen pendukung dan pembicaraan WWDC—terdengar solid. Mereka akan disinkronkan di antara perangkat Anda menggunakan Rantai Kunci iCloud (yang dienkripsi ujung-ke-ujung sendiri). Bahkan Apple tidak akan memiliki akses ke kunci pribadi Anda.

Sistem telah dirancang agar login Anda aman, bahkan jika ID Apple Anda disusupi, Anda kehilangan semua perangkat Anda, atau karyawan Apple yang nakal mencoba meretas server Rantai Kunci iCloud. Ini mengharuskan Anda untuk menggunakan otentikasi dua faktor dengan ID Apple Anda, yang mempersulit penyerang, bahkan penyerang dengan kata sandi iCloud Anda, untuk mengatur segalanya di perangkat baru. Ada juga sistem yang disebut escrow Rantai Kunci iCloud yang menangani pemulihan kata sandi Anda jika Anda kehilangan perangkat. Ini tahan terhadap serangan brute force bahkan oleh Apple.

See also  Eksekutif pelatihan karyawan gudang baru Amazon digunakan untuk mengelola penjara pribadi

Sementara kami masih menunggu untuk melihat bagaimana Microsoft, Google, dan perusahaan teknologi besar lainnya meluncurkan kunci sandi, mereka semua berjanji untuk membuatnya dapat dioperasikan di sebanyak mungkin perangkat yang berbeda. Kami mendapat petunjuk tentang itu dalam pengumuman WWDC ketika Adler mendemonstrasikan menggunakan iPhone untuk masuk ke situs web dengan memindai kode QR. Ini akan memungkinkan Anda untuk melakukan hal-hal seperti memeriksa email Anda di komputer teman atau mencetak sesuatu di hotel tanpa kata sandi.

Singkatnya, ini terlihat seaman sistem yang dapat dirancang secara wajar. Akan selalu ada vektor serangan, dan peretas khusus yang menargetkan individu tertentu dapat menemukan dan menggunakannya, tetapi bagi orang biasa, sistem ini harus menyelesaikan tiga masalah terbesar: kata sandi yang lemah, kata sandi yang bocor, dan phishing.

Tonton bagian WWDC yang relevan, di bawah ini: