Apa itu autentikasi FIDO (Fast Identity Online)?

Kunci sandi disimpan di perangkat pengguna, seperti smartphone. Ini memungkinkan pengguna untuk masuk ke situs web atau aplikasi melalui metode yang sama yang mereka gunakan untuk membuka kunci perangkat mereka, seperti pengenalan wajah, pemindaian sidik jari, atau memasukkan PIN.

IBM® X-Force Threat Intelligence Index melaporkan bahwa pencurian kredensia adalah dampak paling umum yang dihadapi oleh korban pelanggaran. Aktor ancaman menggunakan serangan phishing dan malware infostealing untuk mendapatkan kredensial ini, yang dapat mereka jual di dark web atau digunakan untuk memperluas jangkauan mereka di dalam jaringan. Hampir sepertiga dari serangan siber melibatkan pembajakan akun pengguna yang valid.

Autentikasi FIDO membantu meminimalkan ancaman keamanan siber yang ditimbulkan oleh pencurian kredensial dan pembajakan akun. Kunci sandi tidak dapat dicuri semudah kata sandi. Untuk membobol akun yang diamankan dengan kunci sandi, penyerang harus mendapatkan akses ke perangkat pengguna dan berhasil memasukkan PIN atau melewati keamanan biometrik.

Aliansi FIDO adalah konsorsium lembaga pemerintah, bisnis dan perusahaan teknologi termasuk IBM, Apple, Amazon, Microsoft, PayPal dan banyak lainnya. Kelompok ini mengembangkan dan memelihara standar autentikasi FIDO dengan tujuan mengurangi ketergantungan pada kata sandi.

Aliansi FIDO merilis protokol FIDO pertama, FIDO 1.0, pada tahun 2014. Protokol terbaru, FIDO2, dikembangkan bekerja sama dengan Konsorsium World Wide Web dan dirilis pada tahun 2018.

Saat ini, jutaan orang menggunakan autentikasi FIDO untuk masuk ke situs web dan aplikasi. Protokol FIDO2 didukung oleh peramban web terkemuka, sistem masuk tunggal (SSO) , solusi manajemen identitas dan akses (IAM) , server web, dan sistem operasi termasuk iOS, MacOS, Android, dan Windows.

Autentikasi FIDO menggunakan kriptografi kunci publik (PKC) untuk menghasilkan pasangan kunci kriptografi unik yang terkait dengan akun pengguna. Pasangan kunci ini, yang disebut "kunci sandi", terdiri dari kunci publik yang tetap berada di penyedia layanan dan kunci privat yang berada di perangkat pengguna.

Ketika pengguna masuk ke akun mereka, penyedia layanan mengirimkan tantangan—biasanya berupa serangkaian karakter acak—ke perangkat pengguna. Perangkat prompt pengguna untuk mengautentikasi diri mereka sendiri melalui PIN atau autentikasi biometrik.

Jika pengguna berhasil melakukan autentikasi, perangkat menggunakan kunci pribadi untuk menandatangani tantangan dan mengirimkannya kembali ke penyedia layanan. Penyedia layanan menggunakan kunci publik untuk memverifikasi bahwa kunci privat yang tepat telah digunakan dan—jika demikian—memberikan pengguna akses ke akun mereka.

Kunci sandi yang disimpan di satu perangkat dapat digunakan untuk masuk ke layanan di perangkat lain. Misalnya, jika pengguna menyiapkan kunci sandi untuk akun email mereka di perangkat mobile mereka, mereka masih dapat masuk ke akun tersebut di laptop. Pengguna akan menyelesaikan tantangan autentikasi di perangkat mobile terdaftar.

FIDO juga mendukung penggunaan kunci keamanan, juga disebut "token perangkat keras", sebagai metode autentikasi. Kunci keamanan FIDO adalah perangkat fisik kecil dan khusus yang dapat membuat pasangan kunci dan menandatangani tantangan. Kunci ini terhubung ke perangkat lain melalui Bluetooth, protokol komunikasi lapangan dekat (near-field communication atau NFC) atau port USB. Kunci keamanan FIDO dapat menggantikan data biometrik atau PIN dalam proses autentikasi: kepemilikan kunci tersebut mengautentikasi pengguna.

Karena kunci pribadi disimpan di dalam—dan tidak pernah meninggalkan—perangkat pengguna, kemungkinan pelanggaran keamanan dapat diminimalkan. Peretas tidak dapat mencurinya dengan membobol basis data atau mencegat komunikasi. Kunci publik yang berada pada penyedia layanan tidak mengandung informasi sensitif dan tidak banyak berguna bagi peretas.

Untuk mengatur autentikasi FIDO pada akun email, pengguna dapat mengikuti langkah-langkah berikut:

1. Dalam pengaturan akun, pengguna memilih “kunci sandi” sebagai metode autentikasi.
   
   
2. Pengguna memilih perangkat tempat mereka ingin membuat kunci sandi. Sebagian besar sistem secara default membuat kunci sandi pada perangkat yang sedang digunakan, tetapi pengguna sering kali memiliki opsi untuk memilih perangkat lain yang mereka miliki.
     
3. Perangkat yang dipilih akan meminta pengguna untuk melakukan autentikasi melalui biometrik atau PIN.
   
   
4. Perangkat pengguna membuat pasangan kunci kriptografi. Kunci publik dikirim ke penyedia email, dan kunci pribadi disimpan di perangkat.
   
   
5. Pada saat pengguna masuk, penyedia email mengirimkan tantangan ke perangkat pengguna.
   
   
6. Pengguna menjawab tantangan dengan menjalankan autentikasi dengan biometrik atau PIN.
   
   
7. Perangkat mengembalikan tantangan yang ditandatangani ke penyedia email, yang menggunakan kunci publik untuk memverifikasi.
   
   
8. Pengguna diberikan akses ke akun email.

FIDO mendukung dua jenis kunci sandi: kunci sandi yang disinkronkan dan kunci sandi terikat perangkat.

Kunci sandi yang disinkronkan dapat digunakan di beberapa perangkat, sehingga membuatnya lebih nyaman. Manajer kredensial seperti Apple Passwords, Windows Hello, dan Google Password Manager dapat menyimpan kunci sandi yang disinkronkan dan membuatnya tersedia untuk pengguna di perangkat apa pun.

Misalnya, pengguna mungkin mendaftar untuk mendapatkan kunci sandi di smartphone untuk mengakses aplikasi perbankan. Kunci sandi yang sama tersedia melalui manajer kredensial ketika pengguna masuk ke aplikasi perbankan dengan laptop atau tablet mereka.

Jenis kunci sandi ini terikat pada satu perangkat, yang menawarkan tingkat keamanan tertinggi.

Kunci sandi terikat perangkat biasanya diakses dengan kunci keamanan fisik (physical security) yang terhubung ke satu perangkat tertentu. Kunci sandi tidak dapat meninggalkan perangkat, sehingga kurang rentan terhadap akses yang tidak sah.

Kunci sandi yang terikat pada perangkat sering kali digunakan untuk mengakses informasi yang sangat sensitif seperti data keuangan, kekayaan intelektual perusahaan, atau materi rahasia pemerintah.

Protokol FIDO telah berkembang dan ditingkatkan sejak diperkenalkannya FIDO 1.0 pada tahun 2014. Fungsionalitas dari protokol yang diperkenalkan pada FIDO 1.0 dimasukkan ke dalam protokol yang lebih baru dari autentikasi FIDO2.

FIDO UAF adalah salah satu protokol pertama yang dikembangkan oleh Aliansi FIDO. Ini menyediakan kemampuan untuk masuk ke layanan tanpa menggunakan kata sandi. Dengan UAF, pengguna dapat melakukan autentikasi langsung dari perangkat dengan menggunakan data biometrik seperti pengenalan wajah, atau PIN.

U2F dikembangkan untuk menyediakan autentikasi dua faktor (2FA) untuk sistem yang mengandalkan nama pengguna dan kata sandi. Metode 2FA memerlukan faktor kedua bagi pengguna untuk mengonfirmasi identitas mereka. U2F menggunakan kunci physical security sebagai faktor kedua.

Setelah perilisan FIDO2, U2F berganti nama menjadi “CTAP1”.

FIDO2 memperkenalkan dua protokol baru yang memperluas jangkauan dan kemampuan protokol sebelumnya.

WebAuthn meningkatkan kemampuan UAF dengan menyediakan antarmuka pemrograman aplikasi web (web API) yang membuat autentikasi tanpa kata sandi tersedia untuk pihak yang mengandalkan. "Pihak yang mengandalkan" adalah istilah untuk situs web dan aplikasi web yang menggunakan autentikasi FIDO.

Selain API, WebAuthn juga menyediakan standar FIDO yang menetapkan bagaimana interaksi seharusnya mengalir antara aplikasi web, peramban web, dan autentikator seperti kunci keamanan.

CTAP2 mendefinisikan bagaimana klien FIDO seperti peramban web atau sistem operasi berkomunikasi dengan autentikator. Autentikator adalah komponen yang memverifikasi identitas pengguna.

Di U2F (atau CTAP1), autentikator selalu merupakan kunci keamanan. CTAP2 menambahkan dukungan untuk autentikator tambahan yang berada di perangkat pengguna, seperti pengenalan suara dan wajah, sidik jari, atau PIN.

Kunci sandi FIDO menyediakan metode yang lebih cepat, lebih mudah, dan lebih aman untuk masuk pengguna. Untuk situs web e-commerce dan penyedia layanan global besar, FIDO dapat meningkatkan pengalaman pelanggan dan mengurangi kebutuhan untuk pemulihan akun karena kredensial yang hilang atau terlupakan.

Perusahaan menggunakan autentikasi FIDO untuk memberikan karyawan, pemasok, kontraktor, dan pemangku kepentingan lainnya akses cepat ke sumber daya perusahaan. Dibandingkan dengan autentikasi kata sandi, kunci sandi FIDO dapat menawarkan keamanan yang unggul dan kemudahan penggunaan.

FIDO sering digunakan untuk mengautentikasi pembeli di lingkungan e-commerce, seperti mengonfirmasi pembayaran melalui aplikasi mobile. Ini juga dapat digunakan untuk memverifikasi identitas pemegang kartu sebelum mengizinkan transaksi dilanjutkan.

FIDO tidak memproses pembayaran, tetapi membantu memastikan bahwa orang memiliki wewenang untuk melakukan transaksi, yang dapat mengurangi penipuan.

Beberapa lembaga pemerintah sekarang menggunakan autentikasi FIDO untuk kegiatan seperti memproses pengembalian pajak dan memverifikasi aplikasi untuk manfaat publik. Sebagai contoh, layanan login.gov yang menyediakan satu titik akses bagi warga negara untuk berbagai lembaga federal AS menggunakan autentikasi FIDO2.