Apa itu autentikasi?

Pertimbangkan skenario otentikasi umum: memberikan ID pengguna dan kata sandi untuk masuk ke akun email. Ketika pengguna memasukkan ID pengguna mereka (yang kemungkinan besar adalah alamat email mereka dalam situasi ini), mereka memberi tahu sistem email, "Ini saya."

Tapi itu tidak cukup untuk memverifikasi identitas pengguna akhir. Siapa pun dapat memasukkan ID pengguna apa pun yang mereka inginkan, terutama ketika ID pengguna adalah sesuatu yang publik seperti alamat email. Untuk membuktikan bahwa mereka benar-benar orang yang memiliki alamat email tersebut, pengguna memasukkan kata sandi mereka, sebuah pengetahuan rahasia yang (secara teori) tidak boleh dimiliki oleh orang lain. Sistem email kemudian mengidentifikasi pengguna ini adalah pemegang akun nyata dan mengizinkan mereka masuk.

Proses autentikasi juga dapat mengonfirmasi identitas pengguna bukan manusia seperti server, aplikasi web, dan mesin serta beban kerja lainnya.

Otentikasi adalah komponen fundamental dari strategi keamanan informasi. Hal ini sangat penting untuk manajemen identitas dan akses (IAM), disiplin keamanan siber yang berkaitan dengan bagaimana pengguna mengakses sumber daya digital. Autentikasi memungkinkan organisasi untuk membatasi akses jaringan ke pengguna yang sah, dan ini merupakan langkah pertama dalam menerapkan izin pengguna individual.

Saat ini, identitas pengguna adalah target utama bagi aktor ancaman. Menurut IBM® X-Force Threat Intelligence Index, membajak akun pengguna yang valid adalah cara paling umum yang dilakukan penyerang untuk membobol jaringan, yang mencapai 30% dari serangan siber. Peretas mencuri kredensial dan kemudian menyamar sebagai pengguna yang sah, memungkinkan mereka untuk menyelinap melewati pertahanan jaringan untuk menanam malware dan mencuri data.

Untuk memerangi serangan berbasis identitas ini, banyak organisasi beralih dari metode autentikasi berbasis kata sandi. Sebagai gantinya, mereka menerapkan autentikasi multifaktor, autentikasi adaptif, dan sistem autentikasi lainnya yang kuat, di mana kredensial pengguna lebih sulit untuk dicuri atau dipalsukan.

Autentikasi dan otorisasi adalah proses yang terkait tetapi berbeda. Otentikasi memverifikasi identitas pengguna, sementara otorisasi memberikan pengguna yang terverifikasi tingkat akses yang sesuai ke sumber daya.

Autentikasi dan otorisasi dapat dipandang sebagai jawaban atas dua pertanyaan yang saling melengkapi:

• Autentikasi: Siapa Anda?
  
  
• Otorisasi: Apa yang dapat Anda lakukan dalam sistem ini?

Autentikasi biasanya merupakan prasyarat untuk otorisasi. Sebagai contoh, ketika seorang administrator jaringan masuk ke sistem yang aman, mereka harus membuktikan bahwa mereka adalah admin dengan memberikan faktor autentikasi yang tepat. Hanya setelah itu, sistem IAM akan membenarkan pengguna untuk melakukan tindakan administrasi seperti menambah dan menghapus pengguna lain.

Pada tingkat tinggi, autentikasi didasarkan pada pertukaran kredensial pengguna, yang juga disebut faktor autentikasi. Seorang pengguna memberikan kredensialnya ke sistem otentikasi. Jika itu cocok dengan apa yang dimiliki sistem pada file, sistem akan mengautentikasi pengguna.

Untuk menggali lebih dalam, seseorang dapat memecah proses otentikasi menjadi serangkaian langkah:

1. Pertama, pengguna baru harus membuat akun dalam sistem otentikasi. Sebagai bagian dari pembuatan akun ini, pengguna mendaftarkan serangkaian faktor autentikasi, yang dapat berkisar dari kata sandi sederhana hingga token keamanan fisik dan pemindaian sidik jari. (Untuk informasi lebih lanjut, lihat ”Faktor autentikasi”.)
   
   Faktor-faktor ini harus menjadi hal-hal yang hanya dimiliki atau diketahui pengguna. Dengan begitu, sistem autentikasi dapat cukup yakin bahwa jika seseorang dapat menyediakan faktor-faktor ini, mereka pasti adalah pengguna.
   
   
2. Sistem autentikasi menyimpan kredensial pengguna dalam direktori atau basis data, di mana kredensial tersebut dikaitkan dengan ID pengguna dan atribut penting lainnya.
   
   Untuk tujuan keamanan, sistem autentikasi biasanya tidak menyimpan kredensial sebagai teks biasa. Sebaliknya, mereka menyimpan versi yang telah di-hash atau dienkripsi, yang akan kurang berguna bagi peretas jika berhasil mencurinya.
   
   
3. Ketika pengguna ingin masuk ke sistem, mereka memberikan ID pengguna dan faktor autentikasi terdaftar mereka. Sistem autentikasi memeriksa entri direktori untuk ID pengguna ini untuk melihat apakah kredensial mereka cocok dengan kredensial yang disimpan dalam direktori. Jika ya, sistem autentikasi akan memverifikasi identitas pengguna.
   
   Apa yang dapat dilakukan pengguna terverifikasi selanjutnya tergantung pada proses otorisasi yang terpisah, tetapi terkait.

Sementara contoh ini mengasumsikan pengguna manusia, autentikasi umumnya sama untuk pengguna bukan manusia. Misalnya, saat pengembang menghubungkan aplikasi ke antarmuka pemrograman aplikasi (API) untuk pertama kalinya, API mungkin menghasilkan kunci API. Kuncinya adalah nilai rahasia yang hanya diketahui oleh API dan aplikasi. Sejak saat itu, setiap kali aplikasi melakukan panggilan ke API itu, itu harus menunjukkan kuncinya untuk membuktikan panggilan itu asli.

Ada empat jenis faktor otentikasi yang dapat digunakan pengguna untuk membuktikan identitas mereka:

Biasanya, setiap aplikasi, situs web, atau sumber daya lainnya memiliki sistem IAM sendiri untuk menangani autentikasi pengguna. Dengan meningkatnya transformasi digital dan menjamurnya aplikasi perusahaan dan konsumen, sistem yang terfragmentasi ini menjadi tidak praktis dan merepotkan.

Organisasi berjuang untuk melacak pengguna dan menegakkan kebijakan akses yang konsisten di seluruh jaringan. Pengguna mengadopsi kebiasaan keamanan yang buruk, seperti menggunakan kata sandi sederhana atau menggunakan kembali kredensial di seluruh sistem.

Sebagai respons, banyak organisasi memperkenalkan pendekatan yang lebih terpadu terhadap identitas, di mana satu sistem dapat mengautentikasi pengguna untuk berbagai aplikasi dan aset.

• Sistem masuk tunggal (SSO) adalah skema autentikasi di mana pengguna dapat masuk sekali menggunakan satu set kredensial dan mengakses beberapa aplikasi di dalam domain tertentu.

• Arsitektur identitas terfederasi adalah pengaturan autentikasi yang lebih luas di mana satu sistem dapat mengautentikasi pengguna untuk sistem lainnya. Login sosial, seperti menggunakan akun Google untuk masuk ke situs web lain, adalah bentuk umum identitas terfederasi.

• Identity Orchestration menghapus identitas dan autentikasi dari sistem individual, memperlakukan identitas sebagai lapisan jaringan dalam dirinya sendiri. Solusi orkestrasi identitas memperkenalkan lapisan integrasi, yang disebut identity fabric, yang memungkinkan organisasi untuk membuat sistem autentikasi khusus yang dapat mengintegrasikan aplikasi dan aset apa pun.

Sistem autentikasi yang berbeda menggunakan skema autentikasi yang berbeda. Beberapa jenis yang paling umum meliputi:

• Autentikasi satu faktor
• Autentikasi multifaktor dan autentikasi dua faktor
• Autentikasi adaptif
• Otentikasi tanpa kata sandi

Dalam proses autentikasi faktor tunggal (SFA), pengguna hanya perlu menyediakan satu faktor autentikasi untuk membuktikan identitas mereka. Umumnya, sistem SFA mengandalkan kombinasi nama pengguna dan kata sandi.

SFA dianggap sebagai jenis autentikasi yang paling tidak aman karena ini berarti peretas hanya perlu mencuri satu kredensial untuk mengambil alih akun pengguna. Badan Keamanan Siber dan Infrastruktur AS (CISA) secara resmi menolak SFA sebagai “praktik buruk.”

Metode autentikasi multifaktor (MFA) memerlukan setidaknya dua faktor dari setidaknya dua jenis yang berbeda. MFA dianggap lebih kuat dari SFA karena peretas harus mencuri beberapa kredensial untuk mengambil alih akun pengguna. Sistem MFA juga cenderung menggunakan kredensial yang jauh lebih sulit dicuri daripada kata sandi.

Autentikasi dua faktor (2FA) adalah jenis MFA yang menggunakan tepat dua faktor autentikasi. Ini mungkin bentuk MFA yang paling umum digunakan saat ini. Contohnya, sebuah situs web memerlukan pengguna untuk memasukkan kata sandi dan kode yang dikirim ke nomor telepon mereka, itu adalah skema 2FA dalam aksi.

Terkadang disebut autentikasi berbasis risiko, sistem autentikasi adaptif menggunakan kecerdasan buatan (AI) dan machine learning (ML) untuk menganalisis perilaku pengguna dan menghitung tingkat risiko. Sistem autentikasi adaptif secara dinamis mengubah persyaratan autentikasi berdasarkan seberapa berisiko perilaku pengguna saat ini.

Misalnya, jika seseorang masuk ke akun dari perangkat dan lokasi mereka umumnya, mereka mungkin hanya perlu memasukkan kata sandi mereka. Jika pengguna yang sama masuk dari perangkat baru atau mencoba mengakses data sensitif, sistem autentikasi adaptif mungkin meminta lebih banyak faktor sebelum mengizinkan mereka melanjutkan.

Autentikasi tanpa kata sandi adalah sistem otentikasi yang tidak menggunakan kata sandi atau faktor pengetahuan lainnya. Contohnya, standar autentikasi Fast Identity Online 2 (FIDO2) mengganti kata sandi dengan kunci sandi berdasarkan kriptografi kunci publik.

Dengan FIDO2, pengguna mendaftarkan perangkat mereka untuk bertindak sebagai autentikator dengan aplikasi, situs web, atau layanan lainnya. Selama pendaftaran, pasangan kunci publik-pribadi dibuat. Kunci publik dibagikan dengan layanan dan kunci pribadi disimpan di perangkat pengguna.

Ketika pengguna ingin masuk ke layanan, layanan mengirimkan tantangan ke perangkat mereka. Pengguna merespons dengan memasukkan kode PIN, memindai sidik jari, atau melakukan tindakan lain. Tindakan ini memungkinkan perangkat menggunakan kunci privat untuk menandatangani tantangan dan membuktikan identitas pengguna.

Organisasi semakin banyak mengadopsi autentikasi tanpa kata sandi untuk mempertahankan diri dari pencuri kredensial, yang cenderung berfokus pada faktor pengetahuan karena betapa mudahnya mereka mencuri.

• Security assertion markup language (SAML) adalah standar terbuka yang memungkinkan aplikasi dan layanan berbagi informasi autentikasi pengguna melalui pesan XML. Banyak sistem SSO menggunakan pernyataan SAML untuk mengautentikasi pengguna ke aplikasi terintegrasi.
  
  
• OAuth dan OpenID Connect (OIDC): OAuth adalah protokol otorisasi berbasis token yang memungkinkan pengguna untuk memberi satu aplikasi akses ke data di aplikasi lain tanpa berbagi kredensial di antara aplikasi-aplikasi tersebut. Sebagai contoh, ketika pengguna mengizinkan situs media sosial mengimpor kontak email mereka, proses ini sering kali menggunakan OAuth.
  
  OAuth bukanlah protokol autentikasi, tetapi dapat dikombinasikan dengan OpenID Connect (OIDC), lapisan identitas yang dibangun di protokol OAuth. ODIC menambahkan token ID bersama token otorisasi OAuth. Token ID ini dapat mengautentikasi pengguna dan berisi informasi tentang atribut mereka.
  
  
• Kerberos adalah skema otentikasi berbasis tiket yang biasa digunakan di domain Microsoft Active Directory. Pengguna dan layanan mengautentikasi ke pusat distribusi kunci pusat, yang memberikan mereka tiket yang memungkinkan mereka untuk mengautentikasi satu sama lain dan mengakses sumber daya lain dalam domain yang sama.

Ketika kontrol keamanan siber tumbuh lebih efektif, pelaku ancaman belajar untuk menyiasatinya alih-alih menanganinya secara langsung. Proses autentikasi yang kuat dapat membantu menghentikan serangan siber berbasis identitas di mana peretas mencuri akun pengguna dan menyalahgunakan hak istimewa mereka yang sah untuk menyelinap melewati pertahanan jaringan dan menimbulkan bencana.

Serangan berbasis identitas adalah vektor serangan awal yang paling umum menurut X-Force Threat Intelligence Index, dan para aktor ancaman memiliki banyak taktik untuk mencuri kredensial. Kata sandi pengguna, bahkan kata sandi yang kuat sekalipun, mudah dibobol melalui serangan brute-force di mana para peretas menggunakan bot dan skrip untuk menguji kemungkinan kata sandi secara sistematis hingga berhasil.

Pelaku ancaman dapat menggunakan taktik rekayasa sosial untuk mengelabui target agar memberikan kata sandinya. Mereka dapat mencoba metode yang lebih langsung, seperti serangan man-in-the-middle atau menanam spyware pada perangkat korban. Penyerang bahkan dapat membeli kredensial di web gelap, tempat peretas lain menjual data akun yang mereka curi selama pelanggaran sebelumnya.

Namun banyak organisasi masih menggunakan sistem otentikasi yang tidak efektif. Menurut X-Force Threat Intelligence Index, kegagalan identifikasi dan otentikasi adalah risiko keamanan aplikasi web kedua yang paling sering diamati.

Proses autentikasi yang kuat dapat membantu melindungi akun pengguna, dan sistem yang dapat mereka akses, dengan mempersulit peretas untuk mencuri kredensial dan menyamar sebagai pengguna yang sah.

Sebagai contoh, autentikasi multifaktor (MFA) membuat peretas harus mencuri beberapa faktor autentikasi, termasuk perangkat fisik atau bahkan data biometrik, untuk meniru pengguna. Demikian pula, skema autentikasi adaptif dapat mendeteksi ketika pengguna terlibat dalam perilaku berisiko dan memberikan tantangan autentikasi tambahan sebelum mengizinkan mereka untuk melanjutkan. Ini dapat membantu memblokir upaya penyerang untuk menyalahgunakan akun yang dicuri.

Dengan memperkuat keamanan siber, autentikasi juga dapat membantu mendorong manfaat tambahan. Misalnya, studi IBM Institute for Business Value menemukan bahwa 66% eksekutif operasi melihat keamanan siber sebagai pendorong pendapatan.

Sistem autentikasi juga dapat melayani contoh penggunaan tertentu di luar mengamankan akun pengguna individu, termasuk:

• Kontrol akses: Untuk menegakkan kebijakan akses granular dan memantau apa yang dilakukan pengguna dalam jaringan mereka, organisasi membutuhkan cara untuk mengidentifikasi pengguna dalam sistem mereka. Autentikasi memungkinkan organisasi untuk membatasi akses jaringan hanya untuk pengguna yang sah, memastikan bahwa setiap pengguna memiliki hak istimewa yang tepat dan mengaitkan aktivitas ke pengguna tertentu.
  
  
• Kepatuhan peraturan: Banyak peraturan keamanan data dan privasi yang mewajibkan kebijakan kontrol akses yang ketat dan pelacakan aktivitas pengguna yang komprehensif. Beberapa peraturan, seperti Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), secara khusus mengamanatkan penggunaan sistem MFA.¹
  
  
• Keamanan AI: Karena pelaku ancaman menggunakan alat AI untuk melancarkan serangan siber yang canggih, langkah-langkah autentikasi yang kuat dapat membantu menggagalkan bahkan ancaman tingkat lanjut. Misalnya, penipu dapat menggunakan AI generatif untuk membuat pesan phishing yang meyakinkan dan mencuri lebih banyak kata sandi, tetapi sistem autentikasi adaptif dapat membantu menangkap penipu ini saat mereka mencoba menyalahgunakan hak istimewa akun.