• Beranda
  • Artikel
  • Umum
  • Keamanan Biometrik – Kunci Otentikasi Tanpa Kata Sandi Atau Iseng-iseng?

Keamanan Biometrik – Kunci Otentikasi Tanpa Kata Sandi Atau Iseng-iseng?

Diterbitkan: 2022-03-11

Otentikasi tanpa kata sandi telah menjadi Cawan Suci keamanan selama bertahun-tahun, tetapi kemajuannya sangat lambat. Ini tidak berarti bahwa langkah besar belum dibuat, tetapi sayangnya, sebagian besar perkembangan ini telah diturunkan ke laboratorium penelitian atau ceruk profesional. Sampai beberapa tahun yang lalu, teknologi untuk menerapkan otentikasi tanpa kata sandi dalam skala besar tidak tersedia.

biometrik dan keamanan biometrik

Namun, raksasa industri perlahan tapi pasti mengubah ini. Ada beberapa pertimbangan teknis, hukum, dan bahkan etika yang perlu dipertimbangkan, tetapi bagaimanapun juga, keamanan biometrik dan otentikasi tanpa kata sandi akan tetap ada.

Biometrik sudah mengubah permainan, dan mereka akan terus melakukannya.

Mengapa Harus Tanpa Kata Sandi?

Karena ini adalah blog teknik, saya tidak merasa perlu menjelaskan kepada sekelompok pengembang yang berpikiran keamanan tentang keuntungan login cepat. Kita tidak perlu melihat masalah dari perspektif konsumen – kita semua dipaksa untuk menggunakan segudang layanan online dan jumlah perangkat yang terus meningkat. Ini tidak akan berubah dalam waktu dekat, dan jika ada, jumlah layanan dan perangkat yang harus kita masuki akan terus meningkat.

Tentu saja, ada banyak cara untuk menghilangkan kata sandi, termasuk otentikasi biometrik. Dari sudut pandang pengguna, penggunaan akun Google, Microsoft, dan Facebook untuk masuk ke layanan pihak ketiga berfungsi, karena pengguna dapat menghindari penggunaan kata sandi yang berlebihan dan tidak perlu membuat akun untuk setiap layanan dan perangkat.

OAuth dan OpenID telah digunakan selama bertahun-tahun untuk mengkonsolidasikan identitas digital, dan standar tersebut digunakan oleh beberapa nama besar di industri teknologi.

Secara teknis, ini sebenarnya bukan pendekatan tanpa kata sandi, tetapi rata-rata pengguna mungkin tidak melihat perbedaannya.

Pro dan kontra menggunakan pendekatan ini adalah:

Kelebihan:

  • Kenyamanan
  • Mudah diimplementasikan
  • Keamanan yang baik
  • Nama merek ketenangan pikiran

Kontra:

  • Ketergantungan pada layanan terpusat
  • Semua telur dalam satu keranjang – dengan mengorbankan satu akun, penyerang dapat memperoleh akses ke akun lainnya
  • Potensi kerentanan keamanan, di luar kendali Anda, dapat digunakan untuk melawan Anda
  • Orang mungkin enggan menggunakan layanan tersebut karena masalah privasi

Sebagian besar dari ini berlaku untuk solusi alternatif, meskipun tidak berlaku untuk sertifikat keamanan yang biasanya diturunkan ke pengguna bisnis daripada konsumen. Pro lebih besar daripada kontra, oleh karena itu kami sudah dapat masuk ke layanan pihak ketiga yang tak terhitung jumlahnya menggunakan akun kami yang ada.

Bagaimana Biometrik dan Keamanan Biometrik Dapat Membantu?

Menggunakan sistem otentikasi biometrik mengatasi banyak masalah; tidak ada ketergantungan pada layanan terpusat, privasi tidak menjadi perhatian, dan pengalaman pengguna tidak terganggu – asalkan dilakukan dengan benar. Jadi, mari kita lihat pro dan kontra.

Kelebihan:

  • Pemindaian sidik jari cepat, murah, dan relatif aman
  • Pengenalan suara mudah digunakan dan sulit dimanipulasi
  • Pemindaian iris sangat aman dan berpotensi lebih nyaman daripada pemindaian sidik jari
  • Teknologi elektrokardiogram menawarkan otentikasi "selalu aktif"
  • Semua metode keamanan biometrik mengatasi masalah privasi sambil menawarkan keamanan yang baik

Kontra:

  • Biometrik tidak cocok untuk semua aplikasi
  • Biaya penerapan keamanan biometrik sering kali menjadi penghalang
  • Dukungan terbatas pada platform tertentu dan tidak tersedia di sebagian besar
  • Beberapa teknologi masih belum matang
  • Biometrik bukanlah peluru perak – keamanan masih dapat dikompromikan

Biometrik bukanlah konsep baru, atau teknologi baru. Keamanan biometrik telah digunakan di banyak industri selama beberapa dekade, dan telah menjadi bahan pokok penulis naskah Hollywood lebih lama lagi. Saya yakin banyak pembaca memiliki kesempatan untuk bermain-main dengan pengenalan wajah dan pemindai sidik jari di notebook mereka bertahun-tahun yang lalu – saya tahu saya melakukannya, dan saya juga tahu saya tidak terkesan; sebagian besar solusi awal ini adalah tipuan murah.

Namun, kami telah menempuh perjalanan jauh sejak saat itu. Lebih banyak kekuatan pemrosesan tersedia, bersama dengan sensor pencitraan yang jauh lebih unggul, dan semuanya didukung oleh perangkat lunak yang semakin canggih. Inilah sebabnya mengapa beberapa teknologi ini muncul kembali, yang mereka lakukan dengan sepenuh hati.

Industri Memberikan Jempol Untuk Pemindai Sidik Jari

Touch ID Apple mungkin merupakan solusi otentikasi sidik jari yang paling dikenal di pasaran, tetapi ini bukan satu-satunya. Apple membuka Touch ID untuk pengembang pihak ketiga di iOS 8 dan melanjutkan untuk mengintegrasikan teknologi di iPhone dan iPad baru, serta layanan Apple Pay-nya.

Inilah sebabnya mengapa iOS memiliki keunggulan yang jelas atas Android dan platform lainnya; setiap iPhone dan iPad baru akan dikirimkan dengan Touch ID hingga Cupertino menghasilkan sesuatu yang lebih baik.

keamanan biometrik sidik jari

Ini tidak berarti bahwa Android harus dihapuskan karena semakin banyak ponsel Android yang dikirimkan dengan pemindai sidik jari. Perangkat otentikasi biometrik pertama menampilkan pemindai kecil yang mengharuskan pengguna untuk menggesekkan jari mereka di atas pemindai, tetapi unit pemindai sentuh, mirip dengan Apple, menjadi semakin umum. Penting untuk dicatat bahwa fitur ini tidak disediakan untuk produk unggulan yang mahal – bahkan beberapa ponsel seharga $200 yang dipasarkan oleh vendor China memiliki fitur pemindai semacam itu.

Namun, masih ada pertimbangan; Google belum mengintegrasikan pemindai sidik jari pada salah satu perangkat Nexus-nya, meskipun dikabarkan bahwa itu awalnya dimaksudkan untuk memasukkannya ke dalam smartphone Nexus 6. Faktanya, Android Open Source Project (AOSP) memberikan bukti bahwa dukungan sidik jari telah dihapus dari perangkat. Ini bukan kabar baik bagi pengembang Android, karena Google biasanya menampilkan teknologi baru pada perangkat Nexus dan menindaklanjuti dengan dokumentasi dan API, seperti halnya dengan dukungan NFC pada Nexus S, atau sensor barometer pada Galaxy Nexus.

Namun, ini tidak mencegah vendor menggunakan kode mereka sendiri, dengan beberapa jenis pemindai. Tapi, ini adalah berita buruk bagi pengembang yang tangannya terikat karena tidak ada standar yang akan menghilangkan fragmentasi dan memastikan interoperabilitas. Samsung mencoba mengatasi masalah dengan mengizinkan pengembang untuk bermain-main dengan Pass API-nya, tetapi ini masih bukan solusi yang ideal. Motorola mencoba melakukan hal yang sama empat tahun lalu dengan perangkat Atrix lamanya.

Sejumlah produsen dan pengembang perangkat keras juga merilis SDK yang memungkinkan pengembang mengintegrasikan dukungan untuk berbagai pemindai sidik jari, tetapi kurangnya lingkungan standar yang akan mengurangi atau menghilangkan fragmentasi masih menjadi masalah besar.

Mungkin perlu beberapa saat sebelum kita melihat pemindai sidik jari di sebagian besar ponsel, tetapi banyak kemajuan sedang dibuat. Kami beralih dari tanpa pemindai pada ponsel andalan menjadi pemindai yang relatif andal pada ponsel seharga $200 dalam waktu beberapa tahun.

pemindai sidik jari

Tapi, seberapa berguna mereka? Apakah itu hanya tipuan seperti pemindai sidik jari generasi pertama pada notebook lama?

Teknologinya berfungsi, tidak ada keraguan tentang itu, tetapi untuk saat ini aplikasinya terbatas. Pengembangan perangkat lunak harus mengejar ketertinggalan dari perangkat keras, kami membutuhkan lebih banyak layanan yang dapat menggunakan solusi tersebut, dan kami membutuhkan lebih banyak API dan standar serta pedoman dari para pemimpin industri (yaitu, Google). Pada titik ini, pemindai sidik jari di banyak perangkat Android hanyalah tipuan, tidak lebih.

Secara keseluruhan, pemindai sidik jari memang nyaman, tetapi itu bukan solusi yang ideal. Meskipun setiap sidik jari unik, masih ada beberapa masalah keamanan. Banyak pemindai dapat ditipu, meskipun semakin sulit untuk melakukannya dengan gambar sederhana. Namun ada alternatif, termasuk pencetakan 3D, dan beberapa cara tidak wajar untuk melakukan ini, seperti yang ditunjukkan oleh seorang pakar keamanan beberapa tahun yang lalu.

Tak perlu dikatakan, Anda tidak dapat menggunakan pembaca sidik jari dengan sarung tangan, ibu jari yang terluka, atau dalam situasi ekstrem lainnya. Tapi, ini adalah kelemahan yang relatif kecil.

Microsoft Ingin Menatap Mata Anda

Jadi, mari kita simpulkan. Android dan iOS sudah dapat menggunakan pemindai sidik jari untuk keamanan biometrik, dan saat ini kurang dimanfaatkan. Tapi bagaimana dengan lingkungan desktop? Kami dapat membuka kunci ponsel dan mengautentikasi pembayaran menggunakan biometrik, tetapi kami masih bekerja di desktop, jadi bagaimana kalau membuatnya benar-benar tanpa kata sandi?

Microsoft baru-baru ini mengumumkan Windows Hello dan jika Anda melewatkannya, lihat blog resmi Windows untuk ikhtisar komprehensif tentang inisiatif ini.

Beginilah cara Microsoft menjelaskan visinya untuk Windows Hello:

Alih-alih menggunakan rahasia yang dibagikan atau dibagikan seperti kata sandi, Windows 10 membantu mengautentikasi dengan aman ke aplikasi, situs web, dan jaringan atas nama Anda—tanpa mengirimkan kata sandi. Dengan demikian, tidak ada kata sandi bersama yang disimpan di server mereka untuk dikompromikan oleh peretas.

Windows 10 akan meminta Anda untuk memverifikasi bahwa Anda memiliki perangkat Anda sebelum diautentikasi atas nama Anda, dengan PIN atau Windows Hello pada perangkat dengan sensor biometrik. Setelah diautentikasi dengan 'Paspor', Anda akan dapat langsung mengakses serangkaian situs web dan layanan yang berkembang di berbagai industri – situs perdagangan favorit, layanan email dan jejaring sosial, lembaga keuangan, jaringan bisnis, dan banyak lagi._

Windows Hello adalah sistem otentikasi biometrik yang memungkinkan pengguna mengakses perangkat Windows 10 mereka secara instan, menggunakan pemindaian sidik jari, pemindaian iris, atau pengenalan wajah. Microsoft mengatakan "banyak" perangkat Windows 10 baru akan mendukung Windows Hello, tetapi, secara pribadi, saya menemukan satu teknik yang sangat menarik.

Pemindaian iris adalah salah satu metode yang didukung oleh Microsoft dan memiliki beberapa keunggulan dibandingkan alternatif lainnya. Ini harus lebih andal, dan berpotensi lebih nyaman, daripada pemindaian sidik jari. Jika Anda bertanya-tanya, ini tidak akan ditangani oleh webcam atau kamera ponsel kami – Microsoft ingin menggunakan "kombinasi perangkat keras dan perangkat lunak khusus" untuk memastikan sistem tidak dapat dikalahkan.

pemindaian iris dan biometrik

Pemindai iris akan mengandalkan teknologi inframerah (berpotensi, inframerah-dekat). Ini berarti akan dapat beroperasi di semua kondisi pencahayaan dan melihat iris mata Anda melalui kacamata, bahkan kacamata berwarna. Perancang perangkat keras tidak perlu menyisihkan banyak ruang pada perangkat untuk mengintegrasikan pemindai; itu bisa diintegrasikan tepat di sebelah kamera selfie di ponsel kita, atau sebagai tambahan untuk kamera web mandiri yang digunakan di banyak mesin kantor saat ini. Ini berarti dapat dengan mudah dipasang ke PC desktop yang ada.

Selain pemindai inframerah, Microsoft juga akan menggunakan langkah-langkah keamanan biometrik yang lebih tradisional seperti pengenalan wajah, dengan mengandalkan teknologi kamera Intel RealSense. Ini akan membantu membuat Windows Hello lebih produktif, terutama karena pengguna mengupgrade ke notebook dan hybrid baru berdasarkan platform Intel.

Di bagian depan ponsel, pemindaian iris menawarkan beberapa keunggulan dibandingkan otentikasi sidik jari; itu dapat bekerja dengan sarung tangan, cedera iris jauh lebih jarang daripada cedera ibu jari, dan seharusnya jauh lebih sulit untuk mengalahkan pemindai iris kelas konsumen daripada pemindai sidik jari.

Ada sudut lain dari pendekatan Microsoft – raksasa perangkat lunak tidak akan menyimpan data biometrik pengguna. Tanda tangan biometrik akan diamankan secara lokal di perangkat dan dibagikan kepada siapa pun kecuali pengguna. Tanda tangan hanya akan digunakan untuk membuka kunci perangkat dan Paspor, sehingga tidak akan digunakan untuk mengautentikasi pengguna melalui jaringan.

Juri masih belum mengetahui rencana biometrik Microsoft dan kami harus menunggu Windows 10 untuk melihatnya beraksi.

Bagaimana Dengan Otentikasi Selalu Aktif?

Sementara semua teknologi ini dapat melakukan pekerjaan yang baik untuk mengganti kata sandi tradisional, ada konsep yang muncul yang dapat memberi lebih banyak kebebasan kepada para insinyur. Bagaimana jika kita dapat mengabaikan proses sepenuhnya, tanpa kata sandi, tanpa pemindaian sidik jari – tidak ada apa-apa?

“Otentikasi yang selalu aktif” adalah batasan berikutnya, dan sejumlah cara untuk mencapainya telah diusulkan. Namun, perbedaan penting perlu dibuat. Otentikasi selalu aktif biasanya mengacu pada otentikasi mesin-ke-mesin, seperti sistem otentikasi SSL "selalu aktif", koneksi SHH, kredensial NFC, dan berbagai teknologi jaringan. Ini biasanya dikembangkan untuk memantau dan mengotentikasi transaksi keuangan, sehingga mengurangi risiko penipuan online.

Ada relatif sedikit solusi untuk otentikasi pengguna yang selalu aktif. Salah satu contohnya adalah gelang Nymi dari Bionym. Ini adalah perangkat yang dapat dikenakan yang sangat mirip dengan pelacak kebugaran rata-rata Anda, tetapi lebih pintar dari itu.

selalu di otentikasi

Nymi memindai elektrokardiogram (EKG) unik pengguna. Ini berarti Anda hanya perlu memiliki perangkat di pergelangan tangan Anda untuk memberikan autentikasi yang selalu aktif. Selama jantung Anda terus berdetak, Anda akan masuk.

Jika Anda berpikir untuk mencoba trik yang sama pada jam tangan Apple Watch atau Android Wear, sabarlah, kami belum sampai di sana. Nymi tidak hanya melacak detak jantung pengguna seperti jam tangan pintar, tetapi juga menganalisis bentuk gelombang EKG pengguna, yang membutuhkan sensor yang lebih sensitif. Jam tangan pintar terdengar seperti platform perangkat keras yang ideal untuk aplikasi ini dan, cepat atau lambat, mereka akan dapat melakukan hal yang sama.

Bayangkan membuka kunci ponsel, mobil, kantor, dan komputer Anda hanya dengan berada di sana dan memiliki pulsa? Masuk ke akun apa pun dengan mulus, lalu membayar makan siang, berbelanja dalam perjalanan pulang dan mungkin menarik uang tunai dari ATM, semuanya tanpa harus menyulap belanjaan dan kartu kredit Anda. Kami belum sampai di sana, tetapi kami perlahan-lahan sampai di sana.

Apa Arti Semua Ini Bagi Pengembang dan Pengguna Perangkat Lunak?

Untuk saat ini, pengembang perangkat lunak dapat menggunakan middleware dan tokenisasi yang tersedia untuk menyebarkan solusi tanpa kata sandi. Salah satu contohnya adalah Passwordless, framework open-source berbasis token untuk Node.js dan Express. Jika Anda tertarik dengan cara penerapannya, Mozilla memiliki posting blog komprehensif yang menjelaskannya.

Ini akan memakan waktu cukup lama, tetapi blok bangunan biometrik perlahan-lahan jatuh ke tempatnya. Tanaman teknologi tanpa kata sandi saat ini akan ditambah, dan akhirnya digantikan oleh otentikasi biometrik.

Banyak skeptis keamanan biometrik termasuk banyak rekan saya, tidak percaya ini akan terjadi dalam waktu dekat, tetapi saya seorang optimis yang tidak dapat diperbaiki; Saya pikir keamanan tanpa kata sandi akan menjadi standar pada akhir dekade ini, dan inilah alasannya: Jika kita hanya mengamati satu bidang tertentu, baik itu perangkat lunak atau perangkat keras, kita akan menemukan banyak masalah dengan biometrik, banyak di antaranya telah saya uraikan. Namun, jika kita mundur beberapa langkah dan melihat gambaran besarnya, jika kita melihat tren industri baru dan meningkatnya penekanan pada keamanan pribadi dan perusahaan, pelanggaran keamanan yang dipublikasikan secara luas, masalah privasi – kita pasti akan melihat hal-hal dari perspektif yang berbeda.

Meski begitu, gajah di ruangan itu bukan privasi atau keamanan B2B, itu pembayaran seluler.

Volume transaksi seluler di AS diperkirakan akan meningkat lebih dari dua kali lipat tahun ini menjadi $10 miliar. Pada 2018, Bloomberg memperkirakan volumenya akan mencapai $110 miliar. Pada basis per kapita, rata-rata konsumen Amerika akan menghasilkan sekitar $30 dalam transaksi tahun ini, tetapi pada tahun 2018 jumlahnya akan naik menjadi $330 per kapita, untuk setiap pria, wanita dan anak-anak. Dengan asumsi tingkat pertumbuhan tahunan gabungan yang sama pada tahun 2019 dan 2020, kita dapat melihat empat digit per kapita pada tahun 2021.

Dengan uang sebanyak itu, bagaimana menurut Anda?