Autentikasi multi-faktor (MFA)-atau penggunaan lebih dari satu faktor pengenal saat seseorang meminta akses ke sumber daya yang aman-sangat penting untuk menggagalkan serangan yang berhubungan dengan kredensial, mematuhi peraturan keamanan siber, dan menjaga sumber daya tetap aman. Dengan membutuhkan faktor autentikasi tambahan (atau beberapa faktor) di luar kombinasi nama pengguna/kata sandi yang sederhana, MFA menciptakan rintangan lain bagi calon penyerang yang mencoba mendapatkan akses. MFA telah sangat efektif sejak diadopsi secara luas selama beberapa dekade terakhir; dalam sebuah penelitian, MFA terbukti berhasil dalam menjaga keamanan lebih dari 99,99% akun.
Efektivitas MFA dalam menghentikan serangan terus-menerus menginspirasi penyerang untuk merancang taktik yang semakin kompleks dan menciptakan jalan serangan baru yang akan menghindari pertahanan organisasi. Kabar baiknya, MFA juga terus beradaptasi untuk memenuhi tantangan yang muncul. Dalam artikel ini, kita akan melihat tren MFA yang kita lihat di masa depan, termasuk tantangan yang harus diperhitungkan oleh MFA, metode MFA baru, dan pertimbangan yang perlu dipertimbangkan oleh organisasi saat mengevaluasi inovasi MFA.
1. Autentikasi adaptif
Otentikasi adaptif berevolusi dari MFA tradisional sebagai cara untuk meningkatkan keamanan tanpa menambah beban pengguna. Ini adalah bentuk lanjutan dari MFA yang secara dinamis merespons seseorang yang memberikan kredensial untuk akses, berdasarkan tingkat risiko yang terkait dengan upaya akses. Sebagai contoh, jika Anda masuk ke perangkat yang biasa Anda gunakan dari lokasi yang biasa Anda gunakan, MFA adaptif akan mengenali hal ini dan memberikan akses tanpa memerlukan faktor autentikasi tambahan.
Namun, jika Anda masuk dari perangkat yang tidak dikenal di lokasi yang tidak dikenal, atau menggunakan peramban atau jaringan yang berbeda dari biasanya, MFA adaptif dapat meminta Anda untuk memberikan faktor autentikasi tambahan. Terkadang faktor tambahan ini disebut sebagai "peningkatan autentikasi," karena persyaratan autentikasi sistem meningkat secara real time seiring dengan meningkatnya risiko. Karena ancaman terus berkembang, kami berharap lebih banyak organisasi menerapkan autentikasi adaptif untuk memastikan bahwa keamanan mereka mengimbangi ancaman.
MFA adaptif memberikan keamanan yang lebih kuat daripada metode dan kebijakan autentikasi statis. Dengan beradaptasi secara dinamis terhadap ancaman secara real time, MFA adaptif dapat mendeteksi dan memblokir serangan canggih seperti pengisian kredensial dan phishing, dan dapat mengurangi Kelelahan MFA yang terkait dengan penyerang yang membombardir pengguna dengan permintaan autentikasi untuk mengizinkan upaya masuk yang berbahaya. Selain meningkatkan keamanan, autentikasi adaptif juga meningkatkan pengalaman pengguna, dengan mengurangi jumlah permintaan verifikasi yang harus dihadapi pengguna dalam autentikasi.
2. Autentikasi yang sadar konteks
Autentikasi sadar konteks adalah komponen autentikasi adaptif yang juga diharapkan menjadi andalan MFA. Tidak seperti autentikasi adaptif, autentikasi sadar konteks menganalisis berbagai titik data untuk membuat keputusan autentikasi, termasuk:
- Jenis perangkat: Apakah login berasal dari perangkat yang dikenal?
- Lokasi: Apakah pengguna masuk dari lokasi yang diketahui?
- Alamat IP: Apakah IP terkait dengan VPN?
- Waktu akses: Apakah login terjadi pada waktu yang tidak biasa?
- Perilaku: Apakah kecepatan mengetik atau gerakan mouse mencerminkan perilaku yang biasa?
Meskipun autentikasi sadar konteks dan autentikasi adaptif menganalisis informasi log masuk, ada satu perbedaan besar yang membedakan keduanya: Autentikasi yang memahami konteks memeriksa dan melaporkan kondisi login, tetapi tidak selalu menyesuaikan keamanan secara dinamis berdasarkan konteks yang dideteksi, sehingga menyerahkannya kepada respons manusia untuk bertindak berdasarkan informasi tersebut. Otentikasi adaptif, di sisi lain, adalah kemampuan real-time berbasis AI yang dapat mengubah otentikasi dan melakukan penyesuaian risiko saat itu juga, termasuk memblokir login berisiko tinggi secara otomatis.
3. Autentikasi tanpa kata sandi
Sulit diingat oleh pengguna dan mudah ditebak oleh penyerang, kata sandi telah menjadi mata rantai yang lemah dalam autentikasi, terutama dengan jumlah sumber daya yang membutuhkan akses aman yang meroket. Autentikasi tanpa kata sandi mengatasi dilema ini dengan memverifikasi identitas tanpa mengandalkan kata sandi; proses autentikasi tanpa kata sandi menggunakan berbagai faktor berbasis non kata sandi, termasuk token perangkat keras yang sudah teruji, kode sandi sekali pakai (OTP) yang dibuat, dan tindakan berbasis aplikasi seperti push-to-approve. Semakin banyak opsi tanpa kata sandi, semakin besar peluang bagi perusahaan untuk menyesuaikan lingkungan tanpa kata sandi dengan kebutuhan spesifik mereka atau kelompok pengguna tertentu.
Otentikasi tanpa kata sandi berkembang dalam hal kecanggihan dan efektivitas. Satu tren yang kami lihat memengaruhi evolusi MFA adalah semakin banyak organisasi yang menggunakan metode tanpa kata sandi untuk meningkatkan pengalaman pengguna. Sebagai contoh, perhatikan perusahaan yang semakin beralih ke login tanpa kata sandi melalui biometrik sebagai cara untuk mengamankan sistem internal dengan lebih baik, memerangi phishing, dan mematangkan postur Zero Trust mereka.
Passkeys memberikan jalan lain untuk meningkatkan keamanan perusahaan melalui metode autentikasi tanpa kata sandi. Setelah sebelumnya hanya dikaitkan dengan pengalaman konsumen, mereka semakin menjadi bagian dari masa depan MFA, terutama dalam penggunaan perusahaan. Kunci bagi organisasi yang berhasil menerapkan kunci sandi adalah memanfaatkan solusi yang sesuai untuk penggunaan perusahaan dan memaksimalkan keamanan.
Untuk itu, organisasi biasanya harus menggunakan kunci sandi yang terikat pada perangkat daripada kunci sandi yang disinkronkan secara bebas di beberapa perangkat.
4. Identitas terdesentralisasi (DID)
Kombinasi dari identitas terdesentralisasi (DID) dan teknologi blockchain diatur untuk mempengaruhi evolusi MFA. Dalam lingkungan DID, pengguna memiliki dan mengontrol identitas mereka sendiri daripada bergantung pada otoritas terpusat, seperti database atau platform teknologi besar. Sebagai contoh, daripada masuk ke dalam sebuah sumber daya menggunakan akun organisasi, seorang pengguna dapat menambahkan kredensial yang terverifikasi ke dalam sebuah dompet yang terdesentralisasi, menggunakan blockchain sebagai sebuah buku besar yang anti-rusak untuk catatan otentikasi.
Pendekatan DID + blockchain memiliki potensi untuk meningkatkan MFA dalam beberapa cara. Dengan menghilangkan keberadaan otoritas pusat yang mengontrol data otentikasi, hal ini mengurangi risiko pelanggaran data. Pendekatan ini juga mendukung otentikasi tanpa kata sandi, dengan memverifikasi identitas melalui kunci kriptografi yang tersimpan di blockchain. Dan karena menggunakan kunci pribadi yang tersimpan dengan aman untuk otentikasi, ia dapat membuat serangan phishing menjadi tidak berguna.
5. Teknologi yang sedang berkembang di MFA
Beberapa teknologi yang muncul memiliki potensi luar biasa untuk mempengaruhi MFA-baik untuk hal yang baik maupun buruk. Sisi positifnya, AI membantu memungkinkan deteksi ancaman secara proaktif, adaptif, dan otomatis; seiring dengan berkembangnya ancaman siber, sistem yang digerakkan oleh AI akan memegang kunci pertahanan ancaman secara real-time. Namun, ada sisi lain dari koin tersebut: penyerang siber juga dapat menggunakan AI untuk menciptakan mekanisme ancaman yang baru dan lebih kuat. Namun, yang perlu dicatat, sebagian besar profesional keamanan siber dalam Survei RSA (80%) melaporkan bahwa mereka berharap AI dapat berbuat lebih banyak untuk memberdayakan keamanan siber daripada bersekongkol dengan penjahat siber dalam beberapa tahun ke depan.
Penggunaan IoT dan perangkat yang terhubung sebagai faktor MFA juga memberikan potensi manfaat dan potensi ancaman terhadap autentikasi. Perangkat IoT memiliki peran penting dalam memungkinkan autentikasi berbasis kedekatan (bayangkan jam tangan pintar yang membuka kunci laptop); akses yang sadar konteks (di mana sensor IoT memverifikasi pengguna berdasarkan lokasi dan faktor lainnya); dan autentikasi tanpa sentuhan, di mana perangkat secara otomatis mengenali pengguna yang sah. Namun, di saat yang sama, karena keterhubungannya dengan berbagai perangkat dan sumber daya, IoT juga bisa membuka lebih banyak jalan untuk menimbulkan risiko autentikasi.
Salah satu area teknologi yang sedang berkembang yang jelas merupakan masalah potensial untuk MFA adalah komputasi kuantum, yang merupakan ancaman serius terhadap teknik enkripsi yang mengamankan sistem MFA. Untungnya, bagaimanapun juga, tidak ada penggunaan komputasi kuantum yang dapat diverifikasi untuk memecahkan enkripsi atau MFA. Dan, mengingat bahwa komputasi kuantum membutuhkan lebih banyak sumber daya daripada yang tersedia saat ini, teknologi ini masih dalam tahap awal - dan segala risiko yang ditimbulkannya terhadap MFA atau enkripsi masih bersifat teoritis. NIST telah mengatakan bahwa kunci 2048-bit harus terus menawarkan perlindungan yang cukup sampai setidaknya tahun 2030, dan sebagian besar peramban web modern dapat mendukung kunci 4096-bit jika diperlukan.
Selain itu, pekerjaan sedang dilakukan untuk membuat MFA tahan kuantum, termasuk langkah-langkah yang diambil NIST untuk menstandarkan algoritma enkripsi tahan kuantum yang menciptakan protokol MFA yang aman secara kuantum. Badan ini telah merilis standar enkripsi FIPS pasca-kuantum yang baru (FIPS 203, FIPS 204, dan FIPS 205). Organisasi harus meninjau panduan ini dan mulai menerapkannya hari ini.
Bagaimana Anda memastikan kemampuan autentikasi Anda mampu menghadapi tantangan yang dihadapi MFA saat ini-dan risiko-risiko baru yang terus berkembang untuk melewatinya?
Pertahanan Anda dimulai dengan menyadari dan tetap mengikuti tren tersebut-dan dilanjutkan dengan mengambil langkah yang tepat untuk tetap menjadi yang terdepan. Hal ini berarti mengadopsi kemajuan MFA seperti autentikasi adaptif, beralih ke autentikasi tanpa kata sandi, dan mengeksplorasi teknologi terkait MFA yang sedang berkembang untuk memahami manfaat yang dapat diberikan dan risiko yang dapat ditimbulkannya. Seperti biasa, RSA siap membantu.
