Mari Mengenali Mekanisma Pengesahan Akaun Dwi-Faktor

Mari Mengenali Mekanisma Pengesahan Akaun Dwi-Faktor

Diterbitkan pada Sep 15, 2012 oleh .

Kata laluan sahaja tidak cukup

Pendapat “kata laluan sahaja tidak mencukupi” disokong dengan bertambahnya laporan terhadap aktiviti pecah masuk akaun web yang berlaku disebabkan oleh sebilangan kecil pengguna Internet yang menggunakan kata laluan yang tidak begitu kukuh, sama ada dari sudut pemilihan bilangan aksara sehinggalah struktur kata laluan itu sendiri. Adakah ia terbina dengan aksara-aksara unik ataupun gabungan abjad yang membentuk perkataan?

Mekanisma yang lebih kukuh diperlukan bagi memastikan para pengguna Internet selamat daripada sebarang pencerobohan data dan memastikan akaun web mereka selamat daripada jatuh ke tangan pihak yang tidak bertanggungjawab. Maka dengan itu, teknologi seperti pengesahan masuk 2 faktor ini merupakan satu jalan penyelesaian sekuriti yang baik ketika ini.

Pengesahan Masuk 2-faktor: Mekanisma Asas

Bagi menyelamatkan keadaan, pengesahan masuk 2 faktor (2-factors authentication) dilihat sebagai salah satu jalan selamat dalam usaha untuk memastikan akaun anda pada mana-mana laman web kekal selamat dan menjadikan proses untuk memecah masuk akaun web anda hampir kepada mustahil.

Secara asasnya, mekanisma ini menggunakan 2 atau lebih faktor pengesahan iaitu faktor “apa yang pengguna tahu” yang merujuk kepada kata laluan, faktor “apa yang pengguna miliki” seperti telefon bimbit, dan juga faktor “pengguna itu sendiri” yang menggunakan apa-apa yang ada pada badan pengguna seperti imbasan retina ataupun cap jari (data biometrik).

Dalam perbincangan kita hari ini, imbasan retina ataupun cap jari masih belum mampu untuk diwujudkan namun siapa tahu jika suatu hari nanti, kedua-dua kaedah di atas diperlukan untuk log masuk ke akaun Twitter ataupun Facebook.

Kesan Positif Penggunaan Teknologi 2-faktor Pengesahan

Pengguna yang mempunyai masalah ingatan… maksud saya, mereka tidak mampu menghafal kata laluan yang panjang akan mendapati bahawa cara ini antara yang terbaik selain daripada penggunaan pengurus kata laluan seperti KeePass ataupun LastPass.

Setelah mengisi ruang kata laluan, pengguna perlu menunggu notifikasi yang mungkin mengandungi kod atau nombor khas daripada laman berkenaan sama ada dalam bentuk SMS ataupun penggunaan aplikasi khas pada desktop mahupun pada telefon pintar. Ia berfungsi sama seperti penggunaan Transaction Authorization Code (TAC) pada laman perbankan Internet yang popular hari ini..

Satu kelebihan yang ada pada pengguna, mereka menerima kod atau nombor khas berkenaan melalui barang yang mereka miliki yang semestinya para penggodam tidak akan memilikinya (kecuali jika penggodam itu teman sebilik).

Persoalan Mengenai Teknologi 2-faktor pengesahan

Namun, penggunaan teknologi ini ada kelemahannya. Apakah yang akan berlaku sekiranya telefon anda dimasuki air? Bagaimana jika beg anda diragut atau dicuri? Bagaimana pula jika telefon anda rosak teruk sehingga anda tidak mampu mengaktifkannya? Bagaimana jika anda berada di luar negara untuk urusan kerja? Kalaulah kawasan itu terganggu isyarat gelombang komunikasi bagaimana pula?

Akaun anda mungkin berada dalam keadaan selamat, tapi adakah telefon atau peranti yang anda gunakan untuk proses pengaktifan akaun itu juga selamat? Adakah para penggodam keluar menggodam secara fizikal sehingga perlu berhadapan dengan mangsa semata-mata untuk mencuri telefon mereka?

Untuk menjawab sebahagian permasalahan di atas, terdapat beberapa faktor yang perlu ditekankan oleh pengguna. Pertama, keselamatan peranti pengguna adalah tanggungjawab pengguna itu sendiri. Kedua, mungkin tiba masanya nanti pengguna boleh menggunakan lebih daripada satu peranti untuk proses pengesahan dan mereka boleh memilih peranti yang aktif di sisi mereka pada waktu yang berkenaan.

Ketiga, gangguan isyarat gelombang komunikasi bukan masalah pengguna tersebut. Keempat, jika notifikasi yang mengandungi kod atau nombor unik itu dihantar melalui SMS, ia akan menjadi tidak berguna jika pengguna itu kerap ke luar negara namun ia berguna kembali sekiranya aplikasi berasaskan internet dipasang pada telefon itu.

Kesimpulan

Mungkin juga akan ada idea kreatif yang memanfaatkan teknologi kod QR untuk proses pengesahan 2-faktor ini. Tidak lama lagi mungkin juga akan muncul pelbagai cara untuk akaun anda kekal selamat daripada penggodam-penggodam. Mungkin juga pada masa hadapan, 3 faktor diperlukan untuk log masuk akaun Blogspot anda iaitu penggunaan kata laluan, kod atau nombor unik dan juga imbasan retina melalui kamera telefon bimbit ataupun imbasan cap jari pada skrin sentuh. Siapa tahu?

Dunia internet kini sememangnya memberi keutamaan yang tinggi pada keselamatan pengguna di dalam dunia maya. Apa yang tinggal kini sikap pengguna sahaja yang perlu diubah dalam menjayakan sistem pengesahan ini.

Jika anda mahu mendapatkan info tentang laman-laman yang sudah mula menggunakan pengesahan 2-faktor ini, artikel ini dan juga artikel berkenaan Google Authenticator mungkin berguna untuk anda.

Satu soalan daripada saya – Adakah anda masih ingat akan BrowserID, ataupun kini dikenali sebagai Mozilla Persona?

Artikel ditulis oleh saudara Aizan Fahri, salah seorang pelajar UiTM berumur 18 tahun. Ikuti nukilan beliau melalui blog peribadi, ataupun tegur beliau melalui Twitter di @ak4allz.


TIPS & ULASAN