Praktik Terbaik Tanpa Kata Sandi yang Tahan Phishing: Baca Laporan Gartner®

Kita banyak mendengar tentang kebutuhan mendesak untuk ketahanan terhadap phishing, dan yang pasti, phishing memang menimbulkan ancaman yang signifikan-seperti serangan baru-baru ini terhadap Ubah Perawatan Kesehatan dan Fidelity Investments mendemonstrasikan.

Phishing adalah jenis serangan siber di mana penyerang mengelabui pengguna untuk mengungkapkan kredensial atau informasi sensitif, sering kali melalui email, situs web, atau pesan yang menipu. Metode autentikasi yang tahan terhadap phishing, termasuk pendekatan tanpa kata sandi, dirancang untuk mencegah pencurian kredensial dengan mengikat autentikasi ke perangkat atau asal dan menghilangkan rahasia bersama.

Autentikasi tanpa kata sandi: tunggu apa lagi?

Kita juga banyak mendengar tentang pentingnya autentikasi tanpa kata sandi dalam membuat organisasi menjadi tahan terhadap phishing, dengan arahan seperti M-22-09, Perintah Eksekutif 14028, dan M24-14 yang membutuhkan lebih dari sekadar autentikasi multi-faktor (MFA). OMB - M-22-09 menyatakan: "Instansi didorong untuk mengejar penggunaan otentikasi multi-faktor tanpa kata sandi yang lebih besar saat mereka memodernisasi sistem otentikasi mereka."

Tetapi kebutuhan akan tanpa kata sandi lebih dari sekadar memerangi phishing, tetapi lebih luas lagi, yaitu menciptakan lingkungan autentikasi yang menawarkan perlindungan dunia nyata untuk menangkis segala jenis serangan siber. Seperti yang dilaporkan oleh laporan Gartner®. Beralih ke Otentikasi Tanpa Kata Sandi untuk Meningkatkan Keamanan dan Mengoptimalkan UX menunjukkan:

"Organisasi yang terus mengandalkan kata sandi-bahkan sebagai bagian dari autentikasi multifaktor (MFA)-kurang aman dibandingkan dengan organisasi yang telah bermigrasi ke metode tanpa kata sandi."

Di RSA, kami sering bertanya-tanya mengapa lebih banyak organisasi yang belum mengambil langkah yang lebih besar untuk mengadopsi autentikasi tanpa kata sandi. Laporan Gartner mengupas lebih dalam tentang faktor-faktor yang menghambat organisasi, membagikan rekomendasi praktis untuk melangkah maju, dan menetapkan pendekatan bertahap untuk mengambil setiap kesempatan untuk beralih ke autentikasi tanpa kata sandi.

Mengingat penyesuaian terhadap budaya dan sistem yang perlu dipertimbangkan ketika beralih ke tanpa kata sandi, mungkin masuk akal jika organisasi terlihat ragu-ragu. Tetapi mengingat risiko pencurian kredensial yang telah terbukti, mengambil tindakan lebih cepat daripada terlambat adalah hal yang masuk akal. Semakin banyak kata sandi yang dimiliki pengguna di lingkungan Anda, semakin besar risikonya.

Jika para pemimpin CISO atau manajemen identitas dan akses (IAM) khawatir untuk berinvestasi pada teknologi tanpa kata sandi yang baru terlalu cepat, maka sementara itu mereka akan menghadapi risiko yang sangat nyata yaitu menjadi korban serangan berbasis kredensial. Risiko keamanan siber tersebut tampaknya lebih besar daripada keraguan sebagian besar organisasi.

Aliansi FIDO melaporkan bahwa 87% perusahaan menerapkan atau berencana menerapkan kunci sandi untuk meningkatkan keamanan dan UX. Dan bukan hanya bisnis: konsumen semakin beralih ke autentikasi tanpa kata sandi, dengan lebih dari 175 juta pelanggan Amazon sekarang menggunakan kata sandi untuk masuk.

Taktik phishing umum yang mem-bypass MFA yang lemah

Bahkan organisasi yang menggunakan MFA tradisional pun bisa menjadi rentan jika metode autentikasi tidak tahan terhadap phishing:

• Intersepsi kredensial: OTP yang dikirim melalui SMS, email, atau aplikasi autentikator dapat ditangkap.
• Serangan man-in-the-middle: Penyerang mengelabui pengguna untuk memberikan kredensial melalui portal login palsu.
• Keylogger malware: Perangkat lunak merekam penekanan tombol, termasuk kata sandi dan OTP.
• Perangkat phishing: Kerangka kerja serangan otomatis menargetkan metode MFA yang tidak terikat secara kriptografis ke perangkat atau asal.

Laporan Gartner mencatat bahwa organisasi dapat berhasil menerapkan tanpa kata sandi secara bertahap: "Para pemimpin IAM harus mengikuti pendekatan bertahap."

Laporan ini mengusulkan empat langkah spesifik yang harus diambil oleh organisasi:

1. Identifikasi kasus penggunaan, dimulai dengan menginventarisir di mana saja kata sandi digunakan.
2. Setujui status target berdasarkan tujuan keamanan dan UX.
3. Mengidentifikasi preferensi di antara berbagai metode dan aliran.
4. Buat peta jalan untuk kasus penggunaan tenaga kerja dan pelanggan.

Di Konferensi RSAC 2025, Saya menjelaskan bahwa tanpa kata sandi adalah perjalanan yang membutuhkan banyak audit terhadap metode autentikasi saat ini dan penerapan MFA serta perencanaan untuk masa depan. Organisasi mungkin mendapati bahwa jika saat ini mereka sudah memiliki autentikasi yang kuat, mereka mungkin sudah setengah jalan menuju tanpa kata sandi.

MFA yang tahan phishing bekerja dengan mengikat autentikasi ke perangkat dan asal pengguna dan menghilangkan rahasia bersama melalui jaringan. Metodenya meliputi:

• Tombol sandi dan pemberitahuan push berbasis aplikasi: Pengguna dapat menyetujui atau menolak permintaan autentikasi dari perangkat seluler tanpa mengirim kata sandi melalui jaringan.
• Faktor berbasis perangkat: Verifikasi identitas terkait dengan perangkat tertentu, bukan kredensial bersama.
• Autentikasi berbasis perangkat keras: Autentikator RSA iShield Key 2 Series dan RSA DS100 mendukung autentikasi tanpa kata sandi FIDO2.
• Biometrik: Pengenalan sidik jari dan wajah pada perangkat Android, iOS, dan Windows.
• Kartu pintar / sertifikat PKI: Umum digunakan oleh pemerintah dan industri yang sangat diatur.

Mengapa perusahaan membutuhkan MFA yang tahan phishing

• Meningkatnya kecanggihan serangan phishing yang menargetkan OTP dan MFA tradisional
• Pendorong peraturan (NIST 800-63B, Perintah Eksekutif 14028, panduan CISA Zero Trust)
• Risiko pencurian kredensial di dunia nyata
• Keamanan dan pengalaman pengguna yang lebih baik dibandingkan MFA tradisional

Laporan Gartner menyatakan bahwa “para pemimpin IAM harus menerapkan metode tanpa kata sandi jika metode tersebut sudah didukung dan mengambil tindakan lebih lanjut untuk memperluas autentikasi tanpa kata sandi ke kasus penggunaan lainnya.”

Untuk organisasi yang ingin menerapkan solusi tanpa kata sandi, RSA menawarkan berbagai macam kemampuan dan sumber daya tanpa kata sandi yang spesifik, semuanya tersedia dalam Platform Identitas Terpadu RSA yang didukung oleh AI.

• Kunci sandi: RSA mendukung kunci sandi melalui Aplikasi Otentikator RSA, yang memungkinkan pengguna mendaftarkan perangkat sebagai kunci sandi dan menggunakannya untuk autentikasi tanpa kata sandi.
• Notifikasi push berbasis aplikasi: RSA menawarkan notifikasi push berbasis aplikasi yang memungkinkan pengguna untuk menyetujui atau menolak permintaan autentikasi dari perangkat seluler mereka.
• Faktor berbasis perangkat: RSA verifikasi identitas Kemampuannya termasuk menautkan identitas ke perangkat tertentu, bukan sekumpulan kredensial yang bisa menjadi target phishing dan serangan lainnya.
• Autentikasi berbasis perangkat keras: The (Otentikasi berbasis perangkat keras). Seri RSA iShield Key 2 pengesah dan RSA DS100 keduanya menawarkan otentikasi tanpa kata sandi berbasis FIDO2 untuk kasus penggunaan di mana biometrik atau ponsel mungkin tidak cocok, seperti ketika profesional kesehatan perlu mengenakan sarung tangan plastik dan masker, atau di ruangan bersih yang tidak mengizinkan perangkat yang terhubung ke internet.
• Biometrik: RSA mendukung pengenalan sidik jari dan wajah pada perangkat Android dan iOS. Kami juga mendukung Windows Hello sebagai metode autentikasi biometrik untuk pengguna Windows.

Di luar solusi tanpa kata sandi dan berbasis perangkat dari RSA, organisasi bisa memanfaatkan teknologi MFA tambahan yang tahan phishing untuk meningkatkan keamanan:

• Kartu Pintar / Sertifikat PKI: Sertifikat yang disimpan di perangkat yang aman, sering digunakan di pemerintahan dan industri yang sangat teregulasi untuk otentikasi yang kuat.
• Tombol Sandi untuk Seluler dan Desktop: Kredensial terikat perangkat yang memungkinkan login tanpa kata sandi di seluruh platform.
• MFA adaptif: Autentikasi yang sadar konteks yang menggabungkan sinyal perangkat, geolokasi, dan perilaku pengguna untuk menerapkan verifikasi yang lebih kuat ketika risiko terdeteksi.
• Token Keamanan Perangkat Lunak: Kunci yang dihasilkan secara kriptografis disimpan pada aplikasi aman yang memenuhi standar anti phishing (misalnya, aplikasi yang sesuai dengan FIDO2).

Teknologi-teknologi ini, jika digabungkan dengan strategi penerapan bertahap, membantu perusahaan membangun kerangka kerja autentikasi berlapis dan tahan phishing yang melindungi identitas tenaga kerja dan pelanggan.

Manfaat MFA yang tahan phishing

• Menghentikan serangan phishing kredensial dan pemutaran ulang
• Memenuhi mandat kepatuhan dan standar peraturan
• Meningkatkan pengalaman pengguna dibandingkan dengan MFA berbasis OTP
• Mengurangi risiko kompromi akun di seluruh sistem perusahaan dan pelanggan

Untuk organisasi yang mencari otentikasi perangkat keras tingkat perusahaan, fitur Seri RSA iShield Key 2 menawarkan solusi yang aman, patuh, dan ramah pengguna. Dikombinasikan dengan rangkaian lengkap opsi MFA tanpa kata sandi dan tahan phishing dari RSA, produk ini membantu melindungi organisasi Anda dari serangan kredensial modern sekaligus menyederhanakan akses pengguna.

Pelajari lebih lanjut tentang kemampuan tanpa kata sandi tersedia sebagai bagian dari RSA ID Plus, dan daftar untuk uji coba gratis untuk melihat sendiri bagaimana RSA dapat membantu mempercepat perjalanan Anda menuju autentikasi tanpa kata sandi.

Gartner, Inc. Bermigrasi ke Otentikasi Tanpa Kata Sandi untuk Meningkatkan Keamanan dan Mengoptimalkan UX. Ant Allan, James Hoover. Pertama kali diterbitkan pada 30 Agustus 2024

GARTNER adalah merek dagang terdaftar dan merek layanan dari Gartner, Inc. dan/atau afiliasinya di A.S. dan internasional dan digunakan di sini dengan izin. Semua hak dilindungi undang-undang.