Apa yang dimaksud dengan Autentikasi Tanpa Kata Sandi?

Autentikasi tanpa kata sandi memverifikasi identitas pengguna tanpa kata sandi atau faktor atau informasi berbasis pengetahuan lainnya. Sebaliknya, tim keamanan memverifikasi identitas pengguna dengan menggunakan jenis faktor autentikasi "sesuatu yang Anda miliki", yang merupakan objek yang secara unik mengidentifikasi pengguna (misalnya, kunci sandi ponsel atau kunci keamanan perangkat keras) atau jenis faktor "sesuatu yang Anda miliki" (misalnya, biometrik, termasuk pemindaian sidik jari atau wajah). Ketika digunakan untuk menyelesaikan otentikasi multi-faktor (MFA) dan dengan persyaratan sistem masuk tunggal (SSO), autentikasi tanpa kata sandi dapat meningkatkan pengalaman pengguna, memperkuat keamanan, serta mengurangi biaya dan kerumitan operasi TI. Selain itu, dengan menghilangkan kebutuhan untuk mengeluarkan, memutar, mengingat, atau mengatur ulang kata sandi, autentikasi tanpa kata sandi mengurangi volume meja bantuan, meningkatkan produktivitas dengan mempercepat waktu masuk, dan membebaskan tim TI untuk tugas-tugas yang bernilai lebih tinggi.

Baik MFA maupun autentikasi tanpa kata sandi meningkatkan keamanan dengan mengharuskan pengguna memberikan lebih dari sekadar kata sandi untuk memverifikasi identitas mereka. Tetapi keduanya berbeda dalam satu hal penting: MFA meningkatkan keamanan dengan mengharuskan pengguna memberikan dua atau lebih faktor independen untuk memverifikasi identitas mereka-tetapi salah satu dari faktor tersebut kemungkinan besar adalah kata sandi.

Di sisi lain, autentikasi tanpa kata sandi menghindari kata sandi sama sekali, dengan demikian sepenuhnya menghilangkan kerentanan yang ditimbulkan oleh kata sandi, bersama dengan kerepotan manajemen dan beban meja bantuan yang sering kali ditimbulkannya.

Mudah diretas

Tidak seperti kepemilikan dan faktor bawaan, autentikasi tradisional hanya didasarkan pada sesuatu yang diketahui pengguna, seperti kata sandi, yang pada dasarnya rentan terhadap penggunaan ulang, pencurian, dan phishing. The Laporan Investigasi Pelanggaran Data Verizon tahun 2025 menemukan bahwa 2,8 juta kata sandi bocor atau disusupi secara publik pada tahun 2024, dan 54% ransomware terkait langsung dengan kata sandi.

Manajemen yang konstan

Baik staf TI maupun pengguna harus terus menerus mengelola kata sandi. Bagi rata-rata pengguna, melacak kata sandi yang terus bertambah banyak dengan berbagai tingkat kerumitan merupakan hal yang merepotkan, dan sering kali menjadi tantangan. Kata sandi yang terlupakan dapat menunda pekerjaan atau memicu penguncian akun. Untuk membantu ingatan, pengguna sering menggunakan ulang kata sandi di beberapa akun atau menuliskannya, yang semakin membahayakan sistem yang sudah lemah. Penggunaan ulang kata sandi juga dapat melipatgandakan dampak pembajakan, phishing, dan pembobolan data, sehingga memungkinkan penyerang untuk membuka beberapa akun dengan satu kata sandi yang dicuri.

Mahalnya biaya kata sandi

Bagi staf TI, mengelola pengaturan ulang kata sandi bahkan untuk pengguna yang sah bisa menjadi aktivitas yang mahal dan memakan waktu. Pada bisnis yang lebih besar, sebanyak 50 persen dari biaya meja bantuan TI dialokasikan untuk pengaturan ulang kata sandi; yang bisa mencapai lebih dari $1 juta untuk staf tahunan, hanya untuk membantu karyawan mengatur ulang kata sandi mereka. Pengaturan ulang juga mengalihkan perhatian dari agenda transformasi digital yang bernilai lebih tinggi atau mempertahankan diri dari serangan siber yang canggih.

Keamanan

Kredensial yang lemah atau dicuri adalah salah satu vektor ancaman yang paling sering dan paling merusak yang dihadapi organisasi. The Biaya IBM atas Laporan Pelanggaran Data menemukan bahwa phishing adalah salah satu penyebab paling sering dari pelanggaran data, dengan kerugian rata-rata $4,88 juta dan membutuhkan waktu rata-rata 261 hari untuk mengatasinya. Mengingat bahwa serangan phishing menargetkan kredensial secara umum dan kata sandi secara khusus, statistik ini menggarisbawahi risiko keamanan siber yang signifikan yang ditimbulkan oleh kata sandi bagi organisasi, serta pentingnya menerapkan solusi tanpa kata sandi.

Ketika kata sandi dibobol, organisasi menghadapi risiko serius yang dapat menyebabkan pencurian data, kerugian finansial, dan kerusakan reputasi. Memprioritaskan kebijakan kredensial yang aman dan beralih ke tanpa kata sandi merupakan langkah penting untuk melindungi dari kerentanan yang sering terjadi dan dapat dihindari ini.

Pengalaman Pengguna

Di sisi pengalaman pengguna, rata-rata pengguna korporat mengelola 87 kata sandi untuk akun yang berhubungan dengan pekerjaan, menciptakan beban dan risiko keamanan. The Laporan IQ RSA ID 2025 menemukan bahwa lebih dari 51% dari semua responden harus memasukkan kata sandi mereka enam kali atau lebih untuk bekerja setiap hari. Mengingat dan mencatat banyak kata sandi dapat mengarah pada praktik yang buruk, seperti menggunakan ulang kata sandi atau menyimpannya dengan tidak aman, yang selanjutnya meningkatkan risiko keamanan siber organisasi. Menyederhanakan autentikasi pengguna tidak hanya meningkatkan keamanan, tetapi juga meningkatkan pengalaman sehari-hari bagi karyawan, mengurangi rasa frustrasi, dan mendorong kebersihan kata sandi yang lebih baik.

Total biaya kepemilikan

Total biaya kepemilikan untuk manajemen kata sandi cukup tinggi, dengan permintaan pengaturan ulang kata sandi mencapai hingga 50% dari volume panggilan meja bantuan TI. Setiap permintaan pengaturan ulang menghabiskan waktu dan sumber daya yang seharusnya dapat digunakan untuk inisiatif TI yang lebih strategis. Mengurangi jumlah pengaturan ulang kata sandi melalui metode autentikasi yang lebih aman dan efisien dapat memangkas biaya dan meningkatkan efisiensi operasional, sehingga staf TI dapat melakukan pekerjaan yang lebih berdampak.

Autentikasi tanpa kata sandi memberikan jaminan tunggal yang kuat atas identitas pengguna. Bagi organisasi, ini berarti:

• Pengalaman pengguna yang lebih baik: Pengguna tidak perlu lagi mengingat dan memperbarui kombinasi kata sandi dan nama pengguna yang rumit hanya untuk menjadi produktif. Dengan autentikasi yang disederhanakan, pengguna dapat masuk lebih cepat dan tidak mudah frustrasi.
• Postur keamanan yang lebih kuat: Tanpa kata sandi yang dikendalikan pengguna, tidak ada kata sandi yang dapat diretas, sehingga menghilangkan seluruh kelas kerentanan dan sumber utama pembobolan data.
• Pengurangan total biaya kepemilikan (TCO): Kata sandi itu mahal, membutuhkan pemantauan dan pemeliharaan yang konstan oleh staf TI. Menghapus kata sandi menghilangkan kebutuhan untuk menerbitkan, mengamankan, merotasi, mengatur ulang, dan mengelolanya; hal ini mengurangi volume tiket meja bantuan dan dukungan dan membebaskan TI untuk menangani masalah yang lebih mendesak.
• Kontrol dan visibilitas TI: Phishing, penggunaan ulang, dan berbagi adalah masalah umum dalam sistem yang dilindungi kata sandi. Dengan autentikasi tanpa kata sandi, TI mendapatkan kembali visibilitas penuh ke dalam manajemen identitas dan akses.
• Manajemen siklus hidup kredensial dalam skala besar: Solusi tanpa kata sandi tingkat perusahaan sering kali menyertakan alat untuk mengelola siklus hidup autentikator secara menyeluruh-seperti kunci sandi FIDO dan kredensial seluler-di berbagai kelompok pengguna. Hal ini memungkinkan proses penerimaan, pencabutan, dan pemulihan yang aman bagi karyawan, kontraktor, dan pengguna dengan hak istimewa.

Penegakan kebijakan di seluruh lingkungan hibrida

Salah satu manfaat utama autentikasi tanpa kata sandi adalah kemampuannya untuk mendukung kontrol akses terpusat di seluruh aplikasi cloud, hibrida, dan lokal. Daripada mempertahankan beberapa sistem identitas atau menduplikasi kebijakan, organisasi dapat menerapkan tanpa kata sandi dalam arsitektur identitas terpadu. Hal ini memungkinkan tim TI dan keamanan untuk menentukan dan menerapkan kebijakan akses granular-seperti izin berbasis peran, penilaian risiko kontekstual, dan otentikasi yang sadar lokasi- Selain itu, memiliki satu vendor yang menyediakan perangkat keras dan perangkat lunak untuk berbagai kasus penggunaan juga membantu memastikan pengalaman pengguna yang konsisten.

Seperti namanya, autentikasi tanpa kata sandi, atau autentikasi tanpa kata sandi, meniadakan kata sandi yang dihafalkan sebagai persyaratan untuk verifikasi. Sebagai gantinya, pengguna mengautentikasi identitas mereka dengan metode yang lebih aman seperti:

• Kode sandi sekali pakai (OTP) yang dihasilkan
• Kunci sandi ponsel
• Kode QR
• Pencocokan kode
• Kunci keamanan FIDO2
• Biometrik untuk menyelesaikan proses autentikasi

Autentikasi tanpa kata sandi menggunakan berbagai protokol autentikasi dan enkripsi. Satu perbedaan utama antara autentikasi tanpa kata sandi dan autentikasi tradisional adalah, tidak seperti autentikasi tradisional, kredensial tanpa kata sandi tidak diperbaiki atau digunakan kembali. Sebaliknya, data autentikasi baru dibuat pada awal setiap sesi.

Standar dan peraturan keamanan siber sangat penting dalam memvalidasi pendekatan autentikasi modern. Mereka dapat membantu tim menentukan metode autentikasi atau proses masuk mana yang layak untuk diinvestasikan, dibangun, dan diluncurkan. Di lembaga pemerintah, bank, dan lingkungan yang sangat diatur dan kompleks lainnya, standar ini juga dapat memandu desain sistem dan daftar periksa audit.

Organisasi yang ingin menerapkan autentikasi tanpa kata sandi dengan sukses dapat melihat berbagai kerangka kerja untuk memandu pengadaan, arsitektur, dan implementasi di lingkungan yang diatur atau yang mengutamakan keamanan. Tahap optimal dan lanjutan Zero Trust, misalnya, membutuhkan autentikasi tanpa kata sandi yang tahan phishing, seperti kunci sandi atau kunci keamanan.

Kepatuhan NIST 800-63

• NIST SP 800-63-3 menguraikan Panduan Identitas Digital untuk badan-badan federal AS dan sektor infrastruktur penting.
• Autentikasi tanpa kata sandi mendukung Tingkat Jaminan Autentikasi (AAL2 dan AAL3).
• RSA mendukung autentikasi multi-faktor dengan autentikator tahan phishing yang memenuhi AAL3.
• Metode seperti FIDO2, biometrik, token kriptografi dapat dipetakan ke rekomendasi NIST.

FIDO2 dan Resistensi Phishing

• RSA mendukung standar FIDO2 dan WebAuthn untuk pengautentikasi perangkat keras dan perangkat lunak.
• FIDO2 menghilangkan rahasia bersama (tidak ada kata sandi yang tersimpan)
• Perangkat keras bersertifikasi FIDO (misalnya, RSA iShield Key 2) memenuhi persyaratan tingkat perusahaan.
• Kasus penggunaan yang didukung termasuk login stasiun kerja, aplikasi web, dan SSO cloud.

Penyelarasan Arsitektur Nol Kepercayaan (Zero Trust Architecture (ZTA))

• Zero Trust mengasumsikan tidak ada kepercayaan implisit pada pengguna atau perangkat-identitas diverifikasi secara terus menerus.
• Tanpa kata sandi yang tahan phishing (kunci sandi dan kunci keamanan yang terikat pada perangkat) mendukung autentikasi berkelanjutan, pengikatan perangkat, dan akses kontekstual.
• RSA mengintegrasikan penilaian risiko, analisis perilaku, dan otentikasi adaptif untuk menerapkan keputusan akses Zero Trust.
• ZTA terkait dengan strategi keamanan IAM/GRC dan titik akhir yang lebih luas.

Kesiapan Tata Kelola, Risiko, dan Kepatuhan (GRC)

• Otentikasi yang kuat merupakan persyaratan di seluruh rezim HIPAA, PCI-DSS, CJIS, dan rezim kepatuhan lainnya.
• Tanpa kata sandi membantu mengurangi cakupan audit dan overhead kontrol dengan menghilangkan rotasi kata sandi, mengatur ulang log, dan kebijakan penyimpanan.
• RSA menyediakan jejak audit dan metrik jaminan identitas.

Untuk beralih dari pendekatan kata sandi untuk semua ke masa depan tanpa kata sandi, lakukan satu langkah demi satu langkah, dengan menggunakan ini praktik terbaik untuk implementasi:

1. Lakukan pendekatan bertahap yang mudah bagi pengguna. Mulailah dengan satu titik akses atau grup pengguna, lalu kembangkan dari sana untuk memberi waktu bagi pengguna mempelajari sistem.
2. Berfokuslah pada kenyamanan seperti halnya keamanan. Semakin mudah suatu metode autentikasi digunakan, semakin besar kemungkinan pengguna untuk mematuhi panduannya.
3. Terapkan autentikasi yang kuat pada titik-titik yang lemah terlebih dahulu. Di mana otentikasi tradisional membuat Anda paling rentan? Mulailah dari sana.
4. Tetaplah fokus pada tujuan Anda. Peningkatan yang stabil terus bertambah.

Organisasi yang bekerja di lingkungan TI yang kompleks yang mencakup infrastruktur cloud, hybrid, lokal, dan infrastruktur lama harus mengajukan pertanyaan-pertanyaan berikut saat mengevaluasi solusi tanpa kata sandi:

Bagaimana autentikasi tanpa kata sandi dapat diterapkan di seluruh lingkungan hibrida dan multi-cloud tanpa harus membangun ulang infrastruktur yang sudah ada?

Untuk meningkatkan keamanan dan mengendalikan biaya, organisasi yang menjangkau lingkungan yang kompleks harus memprioritaskan solusi tanpa kata sandi yang mampu mendukung setiap pengguna di mana pun mereka bekerja. Tanpa solusi tingkat perusahaan, organisasi perlu mengimplementasikan kemampuan tanpa kata sandi untuk masing-masing kelompok pengguna dan lingkungan. Solusi khusus ini meninggalkan celah keamanan, tidak praktis untuk dikelola pengguna, dan tidak efisien untuk dikelola oleh tim keamanan dan keuangan.

Solusi tanpa kata sandi tingkat perusahaan menghilangkan inefisiensi ini. Dengan menerapkan satu solusi tanpa kata sandi di seluruh lingkungan, organisasi meningkatkan keamanan mereka dengan mendapatkan visibilitas komprehensif ke semua autentikasi dan menerapkan kebijakan dalam skala besar. Solusi tanpa kata sandi terbaik akan memungkinkan organisasi untuk mempertahankan investasi lama dan investasi lokal tanpa inisiatif "sobek-dan-ganti".

Dapatkah solusi tanpa kata sandi memberikan keamanan dan pengalaman pengguna yang konsisten di seluruh tenaga kerja jarak jauh dan di lokasi?

Untuk memberikan keamanan dan pengalaman pengguna yang konsisten, organisasi membutuhkan solusi tingkat perusahaan yang mampu mendukung setiap pengguna di setiap lingkungan. Tidak adanya solusi lintas perusahaan akan mengakibatkan organisasi perlu menerapkan kapabilitas titik untuk masing-masing kelompok pengguna dan lingkungan. Solusi titik ini tidak akan memberikan pengalaman pengguna yang konsisten dan akan menciptakan celah keamanan.

Kontrol kebijakan yang dapat disesuaikan untuk tata kelola dan kepatuhan

Strategi tanpa kata sandi yang sukses tidak hanya bergantung pada penggunaan metode autentikasi yang kuat yang mengidentifikasi siapa yang memiliki akses, tetapi juga menyesuaikan kebijakan akses dengan kebutuhan organisasi, untuk memastikan pengguna memiliki akses ke sumber daya yang tepat. Banyak solusi tanpa kata sandi menawarkan mesin kebijakan yang dapat dikonfigurasi yang memungkinkan tim keamanan dan kepatuhan untuk menentukan izin berbasis peran, menerapkan pemisahan tugas, dan menyesuaikan kontrol akses dengan persyaratan tata kelola tertentu. Kontrol-kontrol ini sangat penting dalam lingkungan yang diatur di mana kemampuan audit, akses dengan hak istimewa, dan autentikasi bersyarat harus selaras dengan kebijakan internal dan standar eksternal.

Banyak organisasi yang mengandalkan infrastruktur yang sangat penting yang terkait dengan penyedia identitas lokal seperti Active Directory atau LDAP. Solusi tanpa kata sandi yang fleksibel harus dapat berintegrasi dengan sistem lama ini sekaligus mendukung direktori cloud. Interoperabilitas ini memastikan transisi yang lebih lancar dengan memperluas otentikasi modern ke infrastruktur yang ada, sehingga meminimalkan gangguan dan memungkinkan tim TI untuk menyatukan akses identitas tanpa penggantian sistem secara penuh.

Ketahanan sangat penting untuk solusi tanpa kata sandi, untuk memastikan solusi tersebut dapat terus beroperasi dengan andal bahkan ketika terancam oleh serangan atau gangguan potensial lainnya terhadap operasi. Kerangka kerja regulasi seperti DORA dan NIS2 menetapkan panduan untuk hal ini di berbagai bidang seperti pelaporan insiden, kelangsungan bisnis, dan keamanan pihak ketiga.

RSA menawarkan kemampuan MFA yang paling banyak digunakan di dunia, dipercaya di lokasi dan di cloud oleh organisasi yang mengutamakan keamanan di seluruh dunia. MFA dari RSA meliputi:

• Berbagai macam otentikasi tanpa kata sandi pilihan, termasuk seri RSA iShield Key 2 yang bersertifikasi FIDO dan RSA Authenticator App 4.5 untuk perangkat seluler iOS dan Android; push-to-approve, pencocokan kode; sidik jari dan biometrik wajah; "bawa autentikator Anda sendiri"; serta token perangkat keras yang mewakili standar emas untuk Masing-masing solusi ini memberikan kemampuan anti-penghindaran terhadap phishing yang memungkinkan pengguna untuk masuk ke cloud/SaaS atau aplikasi berbasis web, serta mesin Windows dan macOS.
• Hubungan mitra RSA Siap dengan Pemimpin otentikasi FIDO, memastikan interoperabilitas di luar kebiasaan dengan solusi tanpa kata sandi berbasis FIDO.
• Penilaian risiko diinformasikan oleh AI canggih dan pembelajaran mesin yang menghitung risiko akses berdasarkan berbagai sinyal seperti konteks bisnis, atribut perangkat, dan analitik perilaku, kemudian meningkatkan atau memblokir otentikasi yang sesuai. Lingkungan tanpa kata sandi RSA juga terintegrasi dengan alat SOC seperti Splunk.
• Opsi manajemen kredensial swalayan yang terlindungi yang menghilangkan alur kerja yang bergantung pada kata sandi untuk menopang keamanan dalam proses penerimaan, pemulihan kredensial, dan akses darurat.
• Otentikasi kuat yang selalu aktif, dengan ketersediaan 99,99%+ dan multi-platform yang unik kegagalan hibrida yang memastikan akses yang aman dan nyaman bahkan ketika konektivitas jaringan terganggu

Apa yang dimaksud dengan tanpa kata sandi?

Menuju tanpa kata sandi berarti menghilangkan kata sandi sebagai metode autentikasi dan memverifikasi identitas pengguna melalui faktor yang lebih aman seperti biometrik (sesuatu yang Anda miliki) atau faktor berbasis kepemilikan (sesuatu yang Anda miliki) seperti perangkat seluler yang terdaftar atau token perangkat keras. Autentikasi tanpa kata sandi menghilangkan kebutuhan pengguna untuk mengingat, mengatur ulang, atau mengelola kata sandi, sekaligus memberikan pertahanan yang lebih kuat terhadap serangan phishing dan serangan berbasis kredensial. Dengan RSA, organisasi bisa menerapkan autentikasi tanpa kata sandi secara bertahap, dimulai dari area yang berisiko tinggi dan meluas ke cakupan seluruh perusahaan.

Teknologi apa yang biasanya digunakan dalam autentikasi tanpa kata sandi?

Solusi autentikasi tanpa kata sandi menggunakan kombinasi teknologi yang aman, termasuk kunci keamanan FIDO2, biometrik (sidik jari atau pengenalan wajah), notifikasi push seluler, kredensial yang terikat pada perangkat, dan kode sandi sekali pakai (OTP). Opsi tanpa kata sandi RSA termasuk RSA iShield Key 2 Series untuk otentikasi perangkat keras yang tahan phishing, serta kode sandi seluler melalui Aplikasi RSA Authenticator. Teknologi-teknologi ini selaras dengan kerangka kerja seperti NIST 800-63, FIDO2, dan Zero Trust Architecture untuk memastikan penerapan yang aman dan dapat diskalakan di seluruh lingkungan hibrida.

Apakah tanpa kata sandi benar-benar lebih aman?

Ya, autentikasi tanpa kata sandi secara signifikan lebih aman daripada metode berbasis kata sandi tradisional. Kata sandi sering kali merupakan tautan terlemah dalam keamanan, karena kata sandi dapat dibobol, dicuri, digunakan kembali, atau dipaksakan. Dengan meniadakan kata sandi sama sekali, RSA solusi tanpa kata sandi menghapus vektor serangan utama, melindungi dari serangan phishing, pengisian kredensial, dan serangan man-in-the-middle. Autentikator yang tahan phishing, kredensial yang terikat pada perangkat, dan verifikasi biometrik memastikan bahwa akses hanya diberikan kepada pengguna yang terverifikasi, sehingga secara dramatis mengurangi risiko pembobolan berbasis kredensial.