Keselamatan kuasa dua

Pengesahan dua faktor boleh membantu pengguna untuk melindungi diri mereka dalam talian dengan lebih baik. Google Account menawarkan beberapa pilihan

Apabila data berjaya digodam, akibatnya tidak menyenangkan. Terdapat kes penyerang tidak diketahui telah menggunakan akaun mangsa untuk melakukan hasut maya menggunakan nama pengguna pada media sosial atau menghantar e-mel penipuan. Orang lain mengalami kehilangan wang daripada akaun bank dalam talian mereka. Biasanya, orang tidak akan menyedari bahawa akaun mereka telah digodam sehingga kemudaratan telah berlaku.

Salah satu sebab kecurian data berlaku berulang kali ialah kerana kebanyakan pengguna terlalu bergantung pada kata laluan mereka untuk melindungi mereka di dunia dalam talian. Orang ramai tidak menyedari tentang kewujudan senarai dalam talian yang mengandungi berjuta-juta gabungan nama pengguna dan kata laluan. Senarai yang dipanggil “timbunan kata laluan” oleh pakar, dihimpunkan daripada data yang berjaya mereka ambil dalam pelbagai kejadian kecurian. Oleh kerana ramai orang menggunakan kata laluan mereka untuk beberapa perkara, data log masuk mereka untuk Google Accounts mereka juga boleh ditemui dalam “timbunan kata laluan” ini walaupun akaun mereka belum lagi digodam. Satu lagi ancaman biasa ialah daripada pancingan data – percubaan penipuan untuk mendapatkan kata laluan dan maklumat lain melalui e-mel atau laman web yang kelihatan seperti boleh dipercayai.

Itulah sebabnya syarikat seperti Google mengesyorkan pengguna untuk memastikan akaun dalam talian mereka selamat menerusi pengesahan dua faktor, yang memerlukan pengguna memberikan dua faktor yang berbeza untuk log masuk – seperti kata laluan serta kod yang dihantar melalui mesej teks. Kaedah pengesahan ini telah menjadi amalan lazim, terutamanya untuk bank dan syarikat kad kredit.

Pakar keselamatan membezakan tiga jenis asas faktor keselamatan. Jenis yang pertama ialah secebis maklumat (“sesuatu yang anda tahu”): contohnya, pengguna menerima kod melalui mesej teks dan memasukkan mesej teks, atau harus menjawab soalan keselamatan. Jenis kedua ialah objek fizikal (“sesuatu yang anda miliki”) yang boleh digunakan sebagai pengesahan, seperti kad kredit. Jenis ketiga ialah data biometrik (“sesuatu daripada diri anda”), seperti apabila pengguna telefon pintar membuka kunci skrin mereka dengan cap jari mereka. Semua strategi pengesahan dua faktor menggunakan gabungan dua daripada faktor berbeza ini.

Google menawarkan pelbagai jenis pengesahan dua faktor. Bersama dengan kata laluan tradisional, pengguna boleh memasukkan kod keselamatan satu kali yang mereka terima melalui mesej teks atau panggilan suara atau yang mereka boleh jana pada apl Google Authenticator, yang dijalankan pada Android dan pada sistem pengendalian mudah alih iOS Apple. Pengguna juga boleh menyediakan senarai peranti yang dipercayai dalam Google Account mereka. Jika pengguna cuba log masuk daripada peranti yang tiada dalam senarai, mereka akan menerima amaran keselamatan daripada Google.

Sepanjang tiga tahun yang lalu, Google juga telah menawarkan pilihan untuk menggunakan token keselamatan fizikal kepada pengguna, yang dipanggil kunci keselamatan. Ini ialah dongle USB, NFC, atau Bluetooth yang perlu disambungkan ke peranti tersebut. Proses ini berdasarkan standard pengesahan terbuka yang dipanggil Faktor Ke-2 Universal (U2F), yang dibangunkan oleh konsortium FIDO. Google ialah salah satu anggota konsortium ini yang turut disertai oleh syarikat seperti Microsoft, Mastercard dan PayPal. Token keselamatan yang berasaskan standard U2F boleh didapatkan daripada pelbagai pengeluar dengan sedikit bayaran. Ia terbukti sangat berjaya – sejak kunci keselamatan diperkenalkan, risiko kecurian data telah ketara berkurangan. Akaun dalam talian secara teorinya boleh digodam dari mana-mana tempat di dunia, tetapi token keselamatan fizikal perlu ada di tangan pencuri (yang juga perlu mengetahui butiran log masuk mangsa mereka untuk mengakses akaun). Beberapa syarikat selain daripada Google telah menyokong token keselamatan ini.

Sudah tentu, pengesahan dua faktor juga mempunyai kelemahan. Orang yang menggunakan kod teks mesti memastikan telefon bimbit mereka sentiasa berada dengan mereka apabila log masuk daripada peranti baharu. Selain itu, dongle USB dan Bluetooth boleh hilang. Tetapi ini bukanlah masalah yang sukar diatasi dan pastinya manfaat keselamatan tambahan daripada penggunaannya jauh lebih besar berbanding risiko yang mungkin dihadapi. Orang yang kehilangan kunci keselamatan mereka boleh mengalih keluar token yang hilang daripada akaun mereka dan menambahkan token yang baharu. Pilihan lain ialah dengan mendaftarkan kunci keselamatan kedua dari mula dan menyimpannya di tempat yang selamat.

Untuk mendapatkan maklumat lanjut, lawati:

g.co/2step

Ilustrasi: Birgit Henne