Apakah pengesahan dua faktor atau 2FA?

Apakah pengesahan dua faktor atau 2FA?

Berkenaan soal keselamatan dalam talian organisasi anda, anda mestilah berhati-hati. Jumlah dan kecanggihan ancaman keselamatan siber semakin meningkat pada kadar yang cepat, dengan Malwarebytes melaporkan bahawa serangan pada perniagaan meningkat sebanyak 13% pada tahun 2019. Akibatnya, banyak syarikat mengukuhkan amalan keselamatan maklumat semasa mereka. Lagipun, sejumlah besar maklumat peribadi, kewangan dan sulit disimpan dalam akaun dalam talian perniagaan anda serta pelanggaran data dengan kerap menyebabkan kerugian pendapatan. Bagi kebanyakan organisasi, terdapat satu langkah ringkas yang boleh membantu meningkatkan disiplin keselamatan siber pekerja anda: pengesahan dua faktor atau 2FA.

Huraian pengesahan dua faktor

Apakah pengesahan dua faktor? Pengesahan ialah proses mengesahkan identiti pengguna untuk mewujudkan akses ke sistem komputer atau akaun dalam talian. Terdapat tiga "faktor" utama untuk pengesahan: faktor pengetahuan (sesuatu yang anda tahu, misalnya kata laluan atau PIN), faktor pemilikan (sesuatu yang anda ada, misalnya peranti mudah alih atau kad ID) dan faktor bawaan (seperti diri anda, contohnya cap jari atau suara anda). Terdapat juga "faktor lokasi" dan "faktor masa" tetapi ini jarang berlaku. Pengesahan dua faktor bermakna bahawa sistem keselamatan anda menggunakan dua faktor ini.

Dengan erti kata lain, pengesahan dua faktor ialah lapisan kedua keselamatan selain daripada kata laluan atau nombor PIN anda. Jika selepas melog masuk dengan kata laluan anda, anda diminta untuk memasukkan kod berangka yang dihantar kepada anda pada peranti mudah alih anda untuk membuktikan identiti, maka anda sudah biasa dengan 2FA. Walau bagaimanapun, mendapatkan kod melalui teks bukanlah satu-satunya kaedah pengesahan dua faktor. Terdapat pelbagai pilihan yang meluas, termasuklah apl pengesah, pemberitahuan tolak, token perisian, pengesahan berdasarkan suara dan banyak lagi. Walau bagaimanapun, dalam kebanyakan hal, lapisan keselamatan tambahan berkemungkinan merupakan kod pesanan teks SMS.

Apakah apl pengesah?

Walaupun anda mungkin sudah biasa dengan kebanyakan jenis pengesahan dua faktor seperti pesanan teks, pesanan berdasarkan suara dan pemberitahuan tolak, namun anda mungkin kurang biasa dengan apl pengesah. Sebenarnya, konsepnya agak mudah. Jadi, apakah apl pengesah? Pada dasarnya, ini merupakan apl pada telefon mudah alih anda yang menjana kod pengesahan digital yang boleh digunakan untuk mengesahkan identiti anda apabila melog masuk ke laman web atau aplikasi. Terdapat banyak apl pengesah yang berbeza untuk dipilih, termasuklah Apl Google Authenticator, Duo Mobile dan Authenticator—semua ini mengikuti prosedur yang hampir sama.

Apl pengesah secara lazimnya dianggap sebagai sejenis 2FA yang lebih selamat sedikit berbanding menerima kod laluan pesanan teks SMS. Ini kerana, dari segi teknikalnya, pesanan SMS bukanlah sesuatu yang anda miliki, tetapi sesuatu yang dihantar kepada anda. Oleh itu, terdapat kemungkinan kecil bahawa penggodam boleh memperdaya pembawa anda untuk memasukkan nombor telefon mudah alih anda ke dalam peranti yang berbeza (sejenis penipuan yang dirujuk sebagai "pertukaran SIM"). Dengan andaian mereka sudah memiliki kata laluan anda, maka ini membolehkan penyerang mendapatkan akses ke akaun anda. Sebaliknya, kod pengesahan untuk apl pengesah pula tamat tempoh dengan segera (lazimnya selepas 20 hingga 30 saat) dan kod kekal dalam apl.

Bagaimanakah 2FA berfungsi? Sebaik sahaja anda menetapkan pengesahan dua faktor pada sistem anda—sama ada anda menggunakan apl pengesah, pemberitahuan tolak atau pesanan SMS—mudah sahaja untuk menggunakannya. Berikut merupakan panduan langkah demi langkah tentang proses 2FA itu sendiri:

1. Pengguna diminta untuk log masuk ke laman web atau aplikasi.
   
2. Pengguna memasukkan nama pengguna dan kata laluan mereka, lantas memenuhi faktor keselamatan pertama.
   
3. Selepas laman mengecam pengguna, mereka akan diminta untuk memulakan langkah kedua proses log masuk. Pada peringkat ini, pengguna perlu membuktikan bahawa mereka memiliki sesuatu, seperti kad ID atau telefon pintar, lalu memenuhi faktor keselamatan kedua iaitu "pemilikan". Dalam kebanyakan hal, pengguna akan dihantar satu kod laluan keselamatan satu kali yang boleh mereka gunakan untuk mengesahkan identiti mereka.
   
4. Akhir sekali, pengguna memasukkan kunci keselamatan selepas laman mengesahkannya dan mereka diberikan akses.

Apakah sebab untuk menggunakan pengesahan dua faktor?

Dalam soal keselamatan dalam talian, faktor pengesahan paling lazim⁠ setakat ini ialah gabungan nama pengguna/kata laluan. Ini bermakna kebanyakan sistem hanya menggunakan pengesahan satu faktor. Walaupun kata laluan sudah menjadi standard keselamatan maklumat selama berdekad-dekad, tetapi terdapat beberapa sebab sudah tiba masanya untuk kita melepasi kata laluan. Pertama, mudah untuk memanipulasi kata laluan. Manusia tidak mempunyai daya ingatan yang baik dan lazimnya, kata laluan yang kita pilih sangat mudah untuk diteka: "katalaluan", "12345", "qwerty" dan banyak lagi.

Penting juga untuk kita ingat bahawa orang memiliki lebih banyak akaun dalam talian berbanding semasa kata laluan diperkenalkan buat pertama kali dahulu. Ini bermakna terlalu banyak kata laluan untuk diingat. Ini boleh menjurus kepada "mengitar semula kata laluan" yang melibatkan penggunaan kata laluan yang sama untuk pelbagai akaun, lantas memudahkan penggodam untuk mendapatkan akses. Apabila anda mengambil kira peningkatan jenayah siber dan pencerobohan data, seperti kecurian data Yahoo tahun 2013 yang mana sebanyak3 bilion akaun digodam—maka mudah untuk mengetahui sebab kata laluan bukan lagi menjadi bentuk perlindungan yang paling selamat.

Sesetengah laman web menggunakan soalan keselamatan sebagai faktor kedua dan bukan 2FA sepenuhnya. Misalnya, anda mungkin perlu menjawab soalan seperti "Apakah nama keluarga ibu anda?" atau "Apakah nama haiwan peliharaan zaman kanak-kanak anda?" Walau bagaimanapun, terdapat pelbagai kelemahan yang berkaitan dengan amalan ini. Dengan begitu banyak maklumat peribadi tersedia di laman web, penggodam seringkali dapat meneka jawapan kepada soalan yang agak asas ini. Selain itu, penting untuk anda mengambil tahu bahawa amalan ini bukanlah 2FA yang "sebenar" kerana soalan keselamatan hanyalah merupakan faktor pengetahuan kedua. Secara dasarnya, anda menyandarkan kata laluan anda dengan kata laluan yang lain. Dalam soal ini, amalan ini lebih serupa dengan pengesahan dua langkah (2SV), iaitu sejenis pengesahan yang tidak memerlukan berbilang faktor yang berbeza, cuma berbilang langkah.

Kesimpulannya: kata laluan ialah bentuk keselamatan yang paling rendah dan sebab itulah pengesahan dua faktor semakin menjadi standard bagi keselamatan asas perusahaan.

Melangkaui pengesahan dua faktor

Seperti yang dapat anda lihat, banyak manfaat yang dikaitkan dengan 2FA. Akan tetapi, pengesahan dua faktor bukanlah yang terbaik untuk keselamatan maklumat. Jauh panggang dari api. Lagipun, pengesahan dua faktor tidaklah sempurna. Jika penyerang mahu mendapatkan akses ke sistem komputer anda, carian fizikal pada premis anda boleh menyebabkan mereka mencari ID pekerja atau peranti simpanan yang dibuang dan mengandungi kata laluan. Selain itu, penggodam boleh memintas pesanan teks melalui e-mel pemancingan data, lalu berpotensi membolehkan mereka memintas faktor pengesahan kedua. Akhir sekali, 2FA hanya sekuat unsur yang paling lemah dalam proses keselamatan.

Jadi, apakah alternatif lain di luar sana? 2FA bukanlah sebahagian daripada konsep yang lebih besar: pengesahan berbilang faktor (MFA). Secara teorinya, anda boleh memiliki pengesahan tiga faktor, pengesahan empat faktor, pengesahan lima faktor dan banyak lagi secara berulang kali. Walaupun pengguna biasa tidak mungkin menggunakan pengesahan selain daripada pengesahan dua faktor, orang yang bekerja dalam persekitaran keselamatan tinggi mungkin perlu menggunakan sesuatu seperti pengesahan tiga faktor (3FA), yang lazimnya melibatkan penggunaan faktor bawaan seperti cap jari atau imbasan iris.

Melindungi fail anda dengan pengesahan dua faktor

Kepentingan melindungi fail dan kandungan perniagaan anda tidak boleh dipandang remeh. Kerosakan jenayah siber di seluruh dunia dianggarkan mencapai kira-kira $6 trilion setiap tahun menjelang tahun 2021. Kos yang berkaitan dengan jenayah siber termasuklah pemusnahan/penyalahgunaan data, wang dicuri, gangguan pasca serangan, kecurian harta intelek dan kehilangan produktiviti. Akan tetapi, anda juga perlu memikirkan tentang kemungkinan perbelanjaan yang berkaitan dengan pemulihan data/sistem yang digodam, penyiasatan forensik dan kerosakan reputasi. Apabila ancaman menjadi semakin canggih dan seluruh dunia melaksanakan pengesahan dua faktor sebagai standard, maka perniagaan yang tidak melaksanakan 2FA berisiko diserang oleh penggodam. Ini bukanlah seperti tidak memakai tali pinggang keledar kerana kereta mempunyai beg udara. Secara teknikalnya, anda dilindungi tetapi tidak pada tahap yang sepatutnya.

Cara untuk mendapatkan 2FA dengan Dropbox

Jelas sekali bahawa pendayaan pengesahan dua faktor boleh memberikan banyak manfaat kepada perniagaan anda tetapi proses menjalankan 2FA di seluruh syarikat anda kedengaran agak menakutkan. Nasib baiklah ini tidak terlalu mencabar. Dropbox menawarkan pengesahan dua faktor. Jika anda mendayakan 2FA, Dropbox memerlukan anda dan pasukan anda untuk menyediakan bentuk kedua pengesahan (misalnya, kod laluan enam angka atau kunci keselamatan) apabila anda melog masuk ke akaun anda atau memautkan ke tablet, komputer atau telefon baharu. Selain itu, Dropbox menawarkan beberapa ciri perlindungan kata laluan yang boleh membantu anda melindungi dan mengawal maklumat sensitif perniagaan anda. Sementara itu, anda juga boleh meletakkan tarikh luput untuk pautan kongsian dan kata laluan untuk melindungi PDF dan folder anda.

Terdapat langkah keselamatan siber lain yang boleh anda laksanakan dengan Dropbox untuk membantu melindungi fail anda dengan lebih berkesan.  Keselamatan awan Dropbox ialah pelengkap yang ideal untuk pengesahan dua faktor. Ringkasnya, perlindungan data awan ialah keutamaan Dropbox. Dengan pelbagai lapisan perlindungan di seluruh infrastruktur awan yang teragih, anda boleh memastikan agar semua fail dalam talian anda diberikan tahap perlindungan yang sama. Selain itu, penyimpanan awan yang disulitkan dan bertaraf enterprise Dropbox boleh digunakan untuk mematuhi kebanyakan standard peraturan global.

Ucapan akhir

Pengesahan dua faktor menawarkan lapisan keselamatan tambahan untuk fail dalam talian perniagaan anda, lantas melindungi data sensitif anda daripada kemungkinan ancaman siber.