Keselamatan kuasa dua

.
Godaman data yang berjaya akan memberikan akibat yang tidak menyenangkan. Terdapat kes yang melibatkan penyerang yang tidak diketahui telah menggunakan akaun mangsa untuk melakukan hasut maya menggunakan nama pengguna pada media sosial atau menghantar e-mel penipuan. Orang lain telah kehilangan wang daripada akaun bank dalam talian mereka. Biasanya, orang tidak menyedari bahawa akaun mereka telah digodam sehingga kerosakan telah berlaku.

Satu daripada sebab kecurian data berlaku berulang kali berpunca daripada kebanyakan pengguna yang terlalu bergantung pada kata laluan mereka untuk melindungi mereka di dunia dalam talian. Orang ramai tidak menyedari tentang kewujudan senarai dalam talian yang mengandungi berjuta-juta gabungan nama pengguna dan kata laluan. “Timbunan kata laluan”, yang pakar panggil sebagai senarai, dihimpunkan daripada data yang diambil dalam pelbagai kejadian kecurian data yang berjaya. Oleh sebab ramai orang menggunakan kata laluan mereka untuk beberapa perkara, data log masuk mereka untuk Google Account mereka juga boleh ditemukan dalam “timbunan kata laluan” ini walaupun akaun mereka belum lagi digodam. Satu lagi ancaman biasa ialah pancingan data – percubaan penipuan untuk mendapatkan kata laluan dan maklumat lain melalui e-mel atau laman web yang kelihatan seperti boleh dipercayai.

Itulah sebabnya syarikat seperti Google mengesyorkan supaya pengguna memastikan akaun dalam talian mereka selamat menerusi pengesahan dua faktor, yang termasuk memberikan dua faktor yang berbeza untuk log masuk – seperti kata laluan serta kod yang dihantar melalui mesej teks. Kaedah pengesahan ini telah menjadi perkara biasa, terutamanya untuk bank dan syarikat kad kredit.

Pakar keselamatan telah memberikan perbezaan antara tiga jenis asas faktor keselamatan. Jenis yang pertama ialah secebis maklumat (“sesuatu yang anda tahu”): contohnya, pengguna menerima kod melalui mesej teks dan memasukkan mesej teks atau perlu menjawab soalan keselamatan. Jenis kedua ialah objek fizikal (“sesuatu yang anda miliki”) yang boleh digunakan sebagai pengesahan, seperti kad kredit. Jenis ketiga ialah data biometrik (“sesuatu daripada diri anda”), seperti apabila pengguna telefon pintar membuka kunci skrin mereka dengan cap jari mereka. Semua strategi pengesahan dua faktor menggunakan gabungan dua daripada faktor berbeza ini.

Google menawarkan pelbagai jenis pengesahan dua faktor. Bersama-sama dengan kata laluan tradisional, pengguna boleh memasukkan kod keselamatan satu kali yang diterima oleh mereka melalui mesej teks atau panggilan suara atau yang boleh dijana oleh mereka pada apl Google Authenticator, yang dijalankan pada Android dan pada sistem pengendalian mudah alih iOS Apple. Pengguna juga boleh memberikan senarai peranti yang dipercayai dalam Google Account mereka. Jika pengguna cuba log masuk daripada peranti yang tiada dalam senarai, mereka akan menerima amaran keselamatan daripada Google.

Sepanjang tiga tahun yang lalu, Google juga telah menawarkan pilihan untuk menggunakan token keselamatan fizikal kepada pengguna mereka, yang dipanggil kunci keselamatan. Kunci keselamatan ini ialah anak kunci USB, NFC, atau Bluetooth yang perlu disambungkan pada peranti tersebut. Proses ini berdasarkan standard pengesahan terbuka yang dipanggil Faktor Ke-2 Universal (U2F), yang dibangunkan oleh konsortium FIDO. Google ialah sebahagian daripada konsortium bersama dengan syarikat seperti Microsoft, Mastercard dan PayPal. Token keselamatan yang berasaskan standard U2F tersedia daripada pelbagai pengeluar untuk sedikit bayaran. Ia terbukti sangat berjaya – sejak pengenalan kepada kunci keselamatan, risiko kecurian data telah berkurangan secara ketara. Memandangkan akaun dalam talian secara teorinya boleh digodam dari mana-mana tempat di dunia, token keselamatan fizikal perlu berada dengan pencuri (yang juga perlu mengetahui butiran log masuk mangsa mereka untuk mengakses akaun). Beberapa syarikat selain Google telah menyokong token keselamatan ini.

Sudah tentu, pengesahan dua faktor juga memiliki kelemahan. Orang yang menggunakan kod teks harus memastikan telefon bimbit mereka sentiasa berada dengan mereka apabila log masuk daripada peranti baharu. Selain itu, anak kunci USB dan Bluetooth boleh hilang. Tetapi ini bukanlah masalah yang sukar diatasi dan pastinya risiko yang berbaloi untuk diambil selepas mengambil kira keselamatan tambahan yang ditawarkan oleh mereka. Orang yang kehilangan kunci keselamatan mereka boleh mengalih keluar token yang hilang daripada akaun mereka dan menambahkan token yang baharu. Pilihan lain adalah dengan mendaftarkan kunci keselamatan kedua daripada mula dan menyimpan kunci tersebut di tempat yang selamat.

Untuk mendapatkan maklumat lanjut, lawati: g.co/2step

Ilustrasi: Birgit Henne