Keamanan berlapis

Autentikasi 2 langkah dapat membantu pengguna melindungi diri sendiri dengan lebih baik di internet. Akun Google menawarkan sejumlah opsi.

Data yang berhasil diretas dapat menimbulkan konsekuensi yang tidak menyenangkan. Telah banyak kasus akun diretas dan digunakan oleh orang tidak dikenal untuk melakukan trolling atas nama pemilik aslinya di media sosial atau untuk mengirim email penipuan. Beberapa orang lainnya mengalami kasus kehilangan uang dari rekening bank online mereka. Sering kali, orang baru menyadari bahwa akunnya telah diretas setelah semuanya terjadi.

Alasan pencurian data terus terjadi adalah karena sebagian besar pengguna terlalu mengandalkan sandi sebagai pelindung diri di dunia online. Orang-orang tidak tahu adanya daftar berisi jutaan pasang nama pengguna dan sandi yang tersedia secara online. Daftar yang disebut para pakar dengan istilah “password dump” atau salinan sandi ini dikumpulkan dari data yang diambil dalam banyak kasus pencurian data yang berhasil. Karena banyak orang menggunakan sandi untuk beberapa hal, data login untuk Akun Google mereka juga dapat ditemukan di salinan sandi ini meskipun akun mereka sebenarnya belum diretas. Ancaman lain yang selalu ada adalah phishing, yakni upaya penipuan untuk mendapatkan sandi dan informasi lainnya melalui email atau situs yang terkesan kredibel.

Karena itulah perusahaan seperti Google merekomendasikan agar pengguna mengamankan akun online miliknya melalui autentikasi 2 langkah, yaitu cara login dengan dua langkah terpisah. Misalnya, menggunakan sandi ditambah kode yang dikirim melalui SMS. Metode autentikasi ini sudah sangat umum digunakan, terutama untuk bank dan perusahaan kartu kredit.

Pakar keamanan mengelompokkan langkah keamanan ke dalam tiga jenis mendasar. Yang pertama adalah potongan informasi (“sesuatu yang Anda ketahui”): misalnya, pengguna menerima kode melalui SMS dan memasukkannya, atau harus menjawab pertanyaan keamanan. Yang kedua adalah objek fisik (“sesuatu yang Anda miliki”) yang dapat digunakan untuk autentikasi, seperti kartu kredit. Yang ketiga adalah data biometrik (“sesuatu tentang Anda”), seperti saat pengguna smartphone membuka kunci layar dengan sidik jarinya. Semua strategi autentikasi dua langkah menggunakan kombinasi dua langkah dari tiga jenis langkah keamanan ini.

Google menawarkan berbagai jenis autentikasi 2 langkah. Selain sandi biasa, pengguna dapat memasukkan kode keamanan sekali pakai yang diterima melalui SMS atau panggilan suara atau yang pengguna buat di aplikasi Google Authenticator, yang tersedia baik di Android maupun di sistem operasi seluler Apple, iOS. Pengguna juga dapat memberikan daftar perangkat dipercaya dalam Akun Google miliknya. Jika pengguna mencoba login dari perangkat yang tidak termasuk dalam daftar, pengguna akan menerima peringatan keamanan dari Google.

Selama tiga tahun terakhir, Google juga telah memberi pengguna opsi untuk menggunakan token keamanan fisik yang disebut kunci keamanan. Kunci ini berupa dongle USB, NFC, atau Bluetooth yang harus dihubungkan ke perangkat yang dimaksud. Proses ini didasarkan pada standar autentikasi terbuka yang disebut Universal 2nd Factor (U2F), yang dikembangkan oleh konsorsium FIDO. Google menjadi bagian dari konsorsium tersebut bersama dengan perusahaan seperti Microsoft, Mastercard, dan PayPal. Token keamanan berbasis standar U2F tersedia dengan biaya rendah dari berbagai produsen. Metode ini telah terbukti sangat berhasil. Sejak diperkenalkannya kunci keamanan, risiko pencurian data telah menurun secara signifikan. Akun online secara teoretis dapat diretas dari mana saja di seluruh dunia, sedangkan token keamanan fisik harus benar-benar berada di tangan pencuri untuk diretas (yang juga membutuhkan detail login korban untuk mengakses akunnya). Selain Google, beberapa perusahaan sudah mendukung penggunaan token keamanan ini.

Tentu saja, autentikasi 2 langkah juga memiliki kekurangan. Pengguna yang menggunakan kode yang diterima melalui SMS harus mengakses ponselnya saat login dari perangkat baru. Selain itu, dongle USB dan Bluetooth dapat hilang. Namun, ini bukan masalah yang tidak dapat diatasi dan tentu saja metode ini layak dipertimbangkan mengingat banyaknya keamanan tambahan yang ditawarkannya. Siapa pun yang kehilangan kunci keamanan miliknya dapat menghapus token yang hilang dari akunnya dan menambahkan yang baru. Pilihan lainnya adalah mendaftarkan kunci keamanan kedua sejak awal dan menyimpannya di tempat yang aman.

Untuk informasi lebih lanjut, buka:

g.co/2step

Ilustrasi: Birgit Henne