Mari kita hadapi kenyataan—kata sandi itu merepotkan, terutama bagi karyawan dan kontraktor yang harus menghadapinya setiap hari. Kita semua tahu bahwa kata sandi kita yang disebut “aman” sering kali berakhir menjadi sesuatu seperti “Password123,” “qwerty” atau kombinasi lain yang mudah dilupakan—dan kata sandi yang sama itu sering digunakan di antara akun pribadi dan akun perusahaan. Bahkan ketika kita mencoba untuk lebih bijak, kata sandi tetap menjadi cara termudah bagi peretas untuk masuk.
Menurut CyberArk 2024 Identity Security Threat Landscape Report, dalam 12 bulan sebelum laporan tersebut diterbitkan, sembilan dari sepuluh organisasi mengalami pelanggaran keamanan akibat serangan phishing atau vishing. Serangan ini sering kali menyamar sebagai kontak atau organisasi terpercaya, menipu karyawan agar mengungkapkan informasi sensitif atau mengklik tautan berbahaya. Menurut Verizon’s 2024 Data Breach Investigations Report (DBIR), selama dekade terakhir, phishing dan kredensial yang dikompromikan secara langsung bertanggung jawab atas lebih dari 70% pelanggaran keamanan yang diumumkan secara publik, dengan pencurian kredensial sering menjadi metode paling umum yang digunakan penyerang untuk mendapatkan akses awal ke sistem.
Kata sandi adalah hadiah utama bagi penyerang. Jadi, bagaimana cara menghentikan salah satu vektor serangan yang paling sering dieksploitasi? Ubah paradigmannya—kurangi penggunaan kata sandi. Tanpa kata sandi, tidak ada hadiah. Di sinilah otentikasi tanpa kata sandi mengubah permainan dengan menghilangkan cara masuk yang paling mudah.
Buzz tentang teknologi tanpa kata sandi telah terdengar selama tiga hingga empat tahun terakhir, tetapi adopsinya berjalan lebih lambat dari yang diharapkan. Apakah ini karena hambatan teknologi? Atau karena risiko yang dirasakan dari hal yang sudah dikenal? Atau karena ketakutan terhadap sesuatu yang belum sepenuhnya kita pahami? Semua jawaban di atas mungkin benar.
Namun, hal itu akan segera berubah dengan rilis terbaru dari berbagai teknologi, standar, dan integrasi baru.
Perjalanan dari Kata Sandi ke Otentikasi Tanpa Kata Sandi
Era Kata Sandi: Tantangan dan Risiko
Dulu, kata sandi adalah standar. Kata sandi itu sederhana, dan untuk beberapa waktu, cukup efektif. Namun, seiring dengan pertumbuhan perusahaan dan kemajuan teknologi, kelemahan dari kata sandi mulai terlihat jelas: jumlahnya terlalu banyak. Karyawan sering kali menggunakan ulang kata sandi yang sama di berbagai sistem atau memilih kata sandi yang lemah dan mudah ditebak.
Konsekuensi dari kebiasaan ini sangat berat, menyebabkan pelanggaran besar dan pengambilalihan akun yang mengekspos informasi sensitif perusahaan. Dalam pelanggaran SolarWinds pada tahun 2020, penyerang mendapatkan akses awal melalui akun yang telah dikompromikan, memungkinkan mereka menyusup ke perusahaan besar dan lembaga pemerintahan.
Insiden-insiden ini menyoroti bahwa kata sandi, bahkan jika dipasangkan dengan langkah-langkah keamanan dasar, sering kali gagal melindungi dari ancaman modern. Inilah sebabnya mengapa organisasi bergerak cepat menuju metode otentikasi tanpa kata sandi untuk menghilangkan kerentanan ini.
Langkah Awal: Dari SSO ke MFA
Single sign-on (SSO) adalah pengubah permainan bagi banyak organisasi. SSO secara drastis mengurangi jumlah kata sandi yang harus diingat oleh karyawan dengan memungkinkan mereka mengakses beberapa aplikasi hanya dengan satu set kredensial. Kehadiran SSO menyederhanakan pengalaman pengguna dan membantu meminimalkan risiko keamanan akibat penggunaan kata sandi yang lemah atau digunakan ulang.
Dibangun di atas dasar tersebut, multi-factor authentication (MFA) menambahkan lapisan keamanan tambahan dengan mengharuskan verifikasi lebih lanjut, seperti kode, pemindaian biometrik, atau token keamanan di atas login SSO. Saat ini, MFA telah berkembang lebih jauh dengan kemampuan kontekstual, artinya sistem dapat mempertimbangkan faktor-faktor seperti lokasi, perangkat, dan perilaku pengguna untuk menyesuaikan langkah keamanan secara dinamis. Hal ini memastikan bahwa setiap upaya akses diperiksa berdasarkan tingkat risiko, menjadikan proses otentikasi lebih aman dan tetap mulus.
Kebangkitan Otentikasi Tanpa Kata Sandi
Otentikasi tanpa kata sandi sepenuhnya menghilangkan kata sandi dari proses, jika memungkinkan. Alih-alih mengingat rangkaian karakter, karyawan dapat menggunakan sidik jari, kunci perangkat keras yang aman, atau bahkan passkey yang tersimpan di perangkat seluler mereka. Metode ini jauh lebih sulit dibobol oleh penyerang dan mempercepat proses masuk, memungkinkan tim Anda langsung bekerja tanpa penundaan yang tidak perlu.
Passkey: Masa Depan Login yang Aman?
Passkey dengan cepat menjadi pengubah permainan yang mewujudkan login tanpa kata sandi. Passkey menggunakan kriptografi kunci publik yang kuat dan melekat pada perangkat Anda, menjadikannya lebih aman. Teknologi ini dibangun berdasarkan standar FIDO2, yang berarti mengikuti protokol terbuka seperti WebAuthn dan CTAP untuk memastikan kompatibilitas yang lancar di berbagai perangkat dan platform. Perusahaan besar seperti Apple, Google, dan Microsoft sudah mulai menerapkannya, sehingga proses masuk bisa semudah pemindaian sidik jari atau satu ketukan. Passkey bukan hanya ide futuristik—mereka mendorong kesadaran dan adopsi tanpa kata sandi serta mengubah cara kita memandang keamanan.
Menjawab Keraguan: Apakah Otentikasi Tanpa Kata Sandi Realistis?
Meskipun manfaat otentikasi tanpa kata sandi sudah jelas, adopsi luasnya berjalan lebih lambat dari yang diharapkan karena berbagai alasan:
- Sistem lama (legacy systems). Salah satu tantangan utama adalah banyaknya sistem lama yang dibangun berdasarkan protokol otentikasi berbasis kata sandi tradisional, seperti HTTP header dan RADIUS, yang tidak dirancang untuk metode modern tanpa kata sandi. Protokol usang ini tidak mendukung standar berbasis token yang lebih aman seperti SAML dan OIDC, sehingga integrasi dengan solusi identitas modern menjadi kompleks, mahal, dan dalam beberapa kasus, tidak memungkinkan. Akibatnya, beberapa sistem akan tetap mengandalkan kata sandi untuk waktu yang lama, menyoroti perlunya solusi yang menjembatani pendekatan otentikasi lama dan modern.
- Lingkungan yang kompleks. Organisasi beroperasi di lingkungan yang kompleks, di mana berbagai jenis pengguna mengakses berbagai aplikasi dan layanan—dari platform berbasis web dan aplikasi cloud hingga sistem lama di berbagai perangkat. Lingkungan ini bersifat dinamis dan terus berubah dengan adanya aplikasi, pengguna, dan perangkat baru. Keberagaman ini sering kali membutuhkan solusi yang disesuaikan untuk mengakomodasi peran pengguna, perangkat, dan persyaratan keamanan yang berbeda-beda.
- Keraguan tim keamanan dalam mengadopsi. Banyak organisasi tetap berhati-hati untuk beralih ke teknologi baru karena risiko keamanan dan anggapan bahwa metode tanpa kata sandi masih belum matang, sehingga mereka mengambil pendekatan “tunggu dan lihat”.
- Preferensi pengguna terhadap status quo. Banyak pengguna merasa nyaman dengan sistem kata sandi tradisional yang telah mereka gunakan selama bertahun-tahun dan mungkin menganggap metode baru sebagai hal yang asing atau menakutkan. Keraguan ini dapat memperlambat adopsi dan memerlukan edukasi tambahan.
Manfaat otentikasi tanpa kata sandi semakin terlihat jelas, namun hal ini tidak membuat implementasinya menjadi mudah. Meski begitu, semakin banyak perusahaan yang mengejar jalur tanpa kata sandi karena memberikan keseimbangan antara keamanan dan pengalaman pengguna, bahkan meningkatkannya keduanya. Mencapai keseimbangan antara keamanan dan kenyamanan pengguna jarang terjadi dalam proyek keamanan biasa.
Berbalik Arah: Merangkul Solusi Tanpa Kata Sandi
Meskipun sempat mengalami tantangan, otentikasi tanpa kata sandi kini berkembang pesat. Perusahaan kini menggunakan alat manajemen identitas dan akses (IAM) serta pengelola kata sandi untuk karyawan yang terintegrasi dengan sistem yang ada, memungkinkan penerapan solusi tanpa kata sandi secara bertahap.
Pengembangan lebih lanjut dari FIDO2 dan fitur keamanan yang ditingkatkan seperti biometrik, kunci keamanan, passkey, dan otentikasi berbasis konteks menawarkan perlindungan yang lebih baik terhadap ancaman siber modern. Di saat yang sama, teknologi ini juga menyederhanakan pengalaman pengguna, mengurangi biaya helpdesk, dan meningkatkan produktivitas.
Karyawan pun mulai terbiasa dengan opsi otentikasi tanpa kata sandi (karena kita semua juga konsumen). Perusahaan yang berfokus pada konsumen kini mengutamakan keseimbangan antara keamanan dan pengalaman pengguna dalam hal akses. Artinya, jika proses login terasa menyebalkan, pelanggan tidak akan kembali lagi. Pengalaman pengguna yang membaik ini kini juga mulai dituntut di lingkungan kerja.
Manfaat Otentikasi Tanpa Kata Sandi
Otentikasi tanpa kata sandi menawarkan beberapa keuntungan utama yang secara signifikan dapat meningkatkan keamanan dan pengalaman pengguna. Tiga manfaat besarnya adalah:
- Keamanan yang Lebih Baik
Kata sandi setara dengan meninggalkan pintu kantor Anda dalam keadaan tidak terkunci. Kata sandi yang lemah atau dicuri menyebabkan 81% pelanggaran, menurut laporan Verizon DBIR 2024. Bahkan jika Anda sudah menambahkan lapisan keamanan tambahan, penggunaan kata sandi yang mudah ditebak dapat merusak semua perlindungan tersebut. Dengan metode tanpa kata sandi, Anda secara efektif menutup pintu itu. Teknologi canggih seperti biometrik dan kunci keamanan perangkat keras menggunakan kriptografi kuat yang membuat peretasan jauh lebih sulit dilakukan, sehingga meningkatkan tingkat keamanan.
- Pengalaman Pengguna yang Lebih Lancar
Pernahkah Anda terkunci dari akun kerja karena lupa kata sandi? Ini tidak hanya membuat frustrasi, tetapi juga membuang waktu dan mengganggu produktivitas. Dengan otentikasi tanpa kata sandi, tim Anda bisa masuk hanya dengan satu ketukan atau pandangan. Tak perlu lagi repot mengingat kata sandi rumit atau menghadapi prosedur pengaturan ulang yang menyusahkan, sehingga mengurangi waktu henti yang bisa mengganggu produktivitas secara keseluruhan.
- Penghematan Waktu dan Biaya
Masalah terkait kata sandi menjadi beban nyata bagi sumber daya TI. Setiap kali karyawan lupa kata sandi, hal itu menyebabkan panggilan ke helpdesk, yang menghabiskan waktu dan uang. Setelah perusahaan beralih ke solusi tanpa kata sandi, jumlah panggilan ke helpdesk pun menurun, memungkinkan tim TI fokus pada tugas yang lebih penting alih-alih terus-menerus mengatur ulang kata sandi.
Pendekatan Terpadu untuk Otentikasi Karyawan
Solusi tanpa kata sandi yang holistik memastikan konsistensi di seluruh titik akses, memudahkan pengelolaan kebijakan keamanan dan merampingkan operasi TI. Namun, seperti yang disebutkan sebelumnya, hal ini sering kali tidak dapat dilakukan sekaligus. Pendekatan bertahap berdasarkan use case dan kebutuhan yang teridentifikasi biasanya menjadi cara terbaik, tetapi memiliki visi yang jelas ke arah mana tujuan Anda tetap penting.
Artinya, segera setelah Anda membuka laptop atau workstation, pengalaman tanpa kata sandi harus langsung mengotentikasi Anda. Lalu, saat Anda membuka browser dan aplikasi web melalui SSO, metode otentikasi tanpa kata sandi harus menyambut Anda. Setelah login, otentikasi berkelanjutan harus dilakukan dengan memantau tindakan dan akses pengguna. Jika risiko meningkat, penyedia identitas (IdP) akan meminta autentikasi ulang.
Bagaimana dengan aplikasi kustom, on-premise, dan sistem lama yang masih bergantung pada kata sandi? Di sinilah pengelola kata sandi untuk karyawan menjadi solusi ideal, karena dapat memberikan pengalaman mirip passwordless dengan cara mengelola kata sandi untuk aplikasi-aplikasi tersebut. Solusi manajemen kata sandi ini pada akhirnya menghadirkan pengalaman seperti tanpa kata sandi untuk seluruh aplikasi di lingkungan perusahaan Anda, sehingga memberikan cakupan penuh tanpa harus memaksa semua sistem untuk langsung berubah.
Kebanyakan organisasi memiliki berbagai jenis pengguna, bukan hanya pengguna umum dari kalangan karyawan. Penting untuk mempertimbangkan juga skenario penggunaan oleh tim TI dan pengembang, karena mereka sering kali memiliki hak akses yang lebih tinggi—yang berarti risiko terhadap organisasi juga lebih besar—serta membutuhkan pengalaman pengguna yang lebih optimal dan efisien.
Merangkul Otentikasi Tanpa Kata Sandi
Beralih dari kata sandi tradisional bukan sekadar mengikuti tren, melainkan langkah nyata untuk mengatasi tantangan besar dalam hal keamanan dan pengalaman pengguna. Kata sandi adalah salah satu kerentanan terbesar dalam dunia digital saat ini. Dengan menerapkan otentikasi tanpa kata sandi, organisasi dapat meraih keamanan yang jauh lebih kuat, pengalaman pengguna yang lebih mulus, serta pengurangan biaya operasional dengan mengurangi ketergantungan pada jenis sumber daya yang paling sering diserang: kredensial pengguna.
Unduh eBook kami, “Streamline Your Passwordless Journey,” untuk mempelajari lebih lanjut tentang berbagai metode otentikasi dan mendapatkan panduan dalam perjalanan Anda menuju sistem tanpa kata sandi.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. CyberArk menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di cyberark.ilogoindonesia.com dan konsultasikan kebutuhan IT Anda dengan kami!