Bagaimana Password Fisik Google Akan Melindungi Kata Sandi Anda

Nama-nama hewan peliharaan yang konyol, judul film atau tim olahraga yang dipakai banyak orang untuk masuk ke akun online mereka adalah titik lemah yang terus dijebol oleh peretas.

Namun kata sandi tetap menjadi cara utama kita masuk ke akun online yang berisi informasi pribadi dan keuangan kita. Google memiliki solusi pragmatis baru: Memakai kata sandi, tetapi kunci juga dengan keamanan fisik ekstra.

Perusahaan bulan ini merilis Program Perlindungan Lanjutan, yang dimaksudkan untuk membuat pencurian kata sandi Anda sia-sia. Untuk menggunakannya, Anda memerlukan dua kunci fisik murah untuk masuk ke akun Google di komputer dan ponsel cerdas Anda.

Dengan cara ini, bahkan jika peretas mencuri kata sandi Anda dalam pelanggaran data atau berhasil melakukan phishing untuk itu, dengan memancing Anda untuk menyerahkan kredensial Anda pada laman masuk palsu, mereka tidak dapat melakukan apa pun kecuali mereka mendapatkan kunci pada tangan juga. Dan meminimalkan risiko dengan sedikit usaha adalah anugerah bagi siapa saja yang peduli dengan keamanan online.

"Saya penggemar berat ini," kata John Sabin, mantan peretas untuk National Security Agency. "Ini mungkin multifaktor yang paling mudah dan aman untuk massa."

Kunci fisik adalah evolusi otentikasi dua faktor, lapisan keamanan ekstra untuk memastikan bahwa kata sandi dimasukkan oleh Anda. Google adalah salah satu perusahaan pertama yang mulai menawarkan otentikasi dua faktor pada tahun 2010, tidak lama setelah mengetahui bahwa itu telah diretas oleh peretas Cina yang disponsori negara.

Setelah serangan itu, tim keamanan Google muncul dengan motto: "Tidak pernah lagi." Perusahaan ini kemudian meluncurkan otentikasi dua faktor untuk akun Gmail pelanggan Google. Ini melibatkan pesan teks kode unik ke ponsel Anda yang harus Anda ketik setelah memasukkan kata sandi Anda untuk masuk.

Sayangnya, pesan teks itu dapat dibajak. Bulan lalu, para peneliti keamanan di Positive Technologies, sebuah perusahaan keamanan, menunjukkan bagaimana mereka dapat menggunakan kerentanan dalam jaringan seluler untuk mencegat pesan teks selama jangka waktu tertentu.

Gagasan Program Perlindungan Lanjutan Google adalah untuk menyediakan orang-orang dengan perangkat fisik yang jauh lebih sulit untuk dicuri daripada pesan teks. Google memasarkan program tersebut sebagai alat untuk sekumpulan kecil orang yang berisiko tinggi melakukan serangan online, seperti korban menguntit, pembangkang di dalam negara otoriter atau jurnalis yang perlu melindungi sumbernya.

Tapi mengapa keamanan ekstra-tangguh menguntungkan kelompok kecil semacam itu? Setiap orang harus dapat menikmati keamanan yang lebih kuat.

Jadi kami menguji Program Perlindungan Lanjutan Google dan memeriksanya dengan peneliti keamanan untuk melihat apakah program dapat digunakan oleh massa. Vonis: Banyak orang harus mempertimbangkan mendaftar untuk sistem keamanan dan membeli sepasang kunci. Tetapi jika Anda menggunakan dengan beberapa aplikasi non-Google yang belum kompatibel dengan password, Anda harus menunggu dan melihat apakah program tersebut matang.

Mengatur Perlindungan Tingkat Lanjut
Siapa pun yang memiliki akun Google dapat mendaftar untuk program keamanan di halaman web Advanced Protection Google. Untuk memulai, Anda harus membeli dua kunci fisik seharga sekitar $ 20 masing-masing. Google merekomendasikan untuk membeli satu dari Feitian dan lainnya dari Yubico.

Passwordd-password, yang terlihat seperti thumb drive dan dapat dipasang pada rantai password Anda, mengandung tanda tangan digital yang membuktikan bahwa Anda adalah Anda. Untuk memasangnya, Anda tancapkan password ke port USB komputer, ketuk tombol dan beri nama. (Tombol Feitian secara nirkabel berkomunikasi dengan ponsel cerdas Anda untuk mengotentikasi proses masuk.) Proses ini memerlukan waktu beberapa menit.

Di komputer dan ponsel cerdas, Anda harus masuk hanya dengan sekali password, dan Google akan mengingat perangkat untuk proses masuk selanjutnya. Itu lebih mudah daripada otentikasi dua faktor tradisional, yang mengharuskan memasukkan kode unik setiap kali Anda masuk.

Tapi ada trade-off. Perlindungan Lanjutan Google memotong semua akses pihak ketiga secara default, hanya mengizinkan aplikasi yang mendukung kunci keamanannya. Untuk saat ini, itu hanya berarti aplikasi email Gmail Google, aplikasi Cadangan dan Sinkronisasi Google, dan browser Chrome Google.

Di iPhone, misalnya, Anda harus menggunakan aplikasi Gmail atau Kotak Masuk Google untuk email, dan di komputer, Anda hanya dapat menggunakan browser Chrome saat masuk dengan browser. Jadi jika Anda mengandalkan Apple Mail untuk mendapatkan akses ke Gmail Anda di iPhone, atau jika Anda menggunakan Microsoft Outlook untuk masuk ke Gmail di PC, Anda kurang beruntung. Google mengatakan tujuannya adalah untuk akhirnya mengizinkan aplikasi pihak ketiga untuk bekerja dengan program ini, tetapi juga terserah kepada perusahaan lain untuk memperbarui aplikasi mereka untuk mendukung password.

Menguji Keamanan
Terlepas dari kelemahannya, peneliti keamanan setuju bahwa Program Perlindungan Tingkat Lanjut adalah bagian keamanan yang solid dan relatif tidak menyakitkan untuk digunakan, bahkan untuk penggunaan sehari-hari bagi orang di luar pekerjaan keamanan tinggi.

Mr. Sabin, mantan N.S.A. Hacker, yang sekarang menjadi direktur keamanan jaringan di GRA Quantum, sebuah perusahaan konsultan keamanan, mengatakan pasword fisik itu memiliki kelebihan dan kekurangan. Di satu sisi, jika Anda kehilangan password, seorang peretas akan mengalami kesulitan untuk mengetahui akun mana yang terkait dengannya.

Di sisi lain, jika Anda kehilangan password atau tidak memilikinya saat Anda harus masuk ke perangkat baru, dibutuhkan waktu lebih lama untuk mendapatkan kembali akses ke akun Anda. Google telah menempatkan langkah-langkah pemulihan yang lebih rumit untuk pengguna Perlindungan Lanjut, termasuk tinjauan dan permintaan tambahan untuk detail tentang mengapa pengguna kehilangan akses ke akun mereka. Dalam pengujian kami, kami menjawab pertanyaan keamanan untuk mencoba memulihkan akun, dan Google mengatakan akan meninjau permintaan pemulihan dan merespons dalam beberapa hari.

Runa Sandvik, direktur keamanan informasi di The New York Times, mengatakan password itu tidak banyak merepotkan. Dia mengatakan bahwa persyaratan Google untuk menggunakan dua password berarti Anda pada dasarnya memiliki cadangan: Jika Anda kehilangan satu, Anda dapat masuk ke akun Anda dengan password yang tersisa.

Namun dia mencatat bahwa password bisa mengganggu jika Anda menggunakan banyak perangkat dan terus-menerus diperlukan untuk membawanya di sekitar untuk masuk ke akun Anda. Itu mungkin menjadi masalah bagi orang yang bekerja di industri teknologi, tetapi kebanyakan orang mungkin hanya menggunakan satu komputer dan satu telepon.

Ms. Sandvik, yang telah menguji program Google untuk menilai apakah akan merekomendasikannya ke ruang berita, mengatakan bahwa dia belum menemukan kerentanan dalam sistem password keamanan di luar kemungkinan tipis bahwa seorang peretas mendapatkan kata sandi dan password Anda.

"Ini adalah sesuatu yang relatif mudah untuk disiapkan setelah Anda memiliki kedua password tersebut," kata Sandvik. “Saya tidak melihat alasan Anda tidak seharusnya menyalakan ini.”


Meskipun password keamanan mudah disiapkan dan memberikan keamanan ketat, mereka mungkin mengganggu produktivitas Anda jika Anda mengandalkan aplikasi yang tidak kompatibel.

Butuh beberapa menit bagi kami untuk bermigrasi ke aplikasi Google dari Apple dan mengintegrasikannya ke alur kerja ruang berita kami, yang telah mengandalkan layanan email, pesan, dan penyimpanan cloud Google. Tetapi menggunakan password yang diperlukan untuk mengorbankan fitur penting - Apple V.I.P. peringatan, yang memberi tahu Anda ketika orang yang Anda anggap penting mengirim email kepada Anda. Aplikasi iOS Google untuk Gmail dan Inbox tidak memiliki fitur serupa. Untuk orang-orang dengan inbox yang membanjiri, tidak memiliki V.I.P. peringatan membuat memilah-milah email memakan waktu.

Contoh lain tentang bagaimana password dapat menghambat produktivitas: Banyak perusahaan masih memerlukan menggunakan aplikasi Microsoft Outlook untuk email, yang tidak akan berfungsi dengan password.

Jika menggunakan program keamanan Google akan mengganggu pekerjaan Anda, Anda mungkin ingin menunggu lebih banyak perusahaan untuk memperbarui aplikasi mereka untuk mendukung password, yang bergantung pada standar yang disebut FIDO, untuk Fast Identity Online. Mr. Sabin memprediksi bahwa banyak aplikasi akan mengikuti jejak Google.

Jika Anda memutuskan untuk menunggu, jangan menunda untuk mengaktifkan autentikasi dua faktor tradisional yang bergantung pada pesan teks. Meskipun dapat diretas, itu masih jauh lebih aman daripada mengandalkan kata sandi saja untuk melindungi Anda.

Pertanyaannya adalah berapa lama peneliti keamanan akan mencari cara untuk meretas password fisik juga. Ketika ditanya apakah dia telah melewati perangkat pengesah multifaktor fisik seperti password Google, Mr. Sabin hanya akan menawarkan: "Tidak ada komentar."(Sumber; new york times)

Foto
New york times

0 komentar:

Post a Comment