mengungkap fitur passkey atau kunci sandi yang dimaksud digunakan sanggup memangkas birokrasi login ke akun Google atau WhatsApp punya kelemahan walau mampu melawan upaya pencurian (phishing).
Sebelumnya, Google kemudian WhatsApp baru-baru ini mengumumkan penerapan fitur passkey yang mana itu dapat mempermudah login tanpa perlu ribet password atau 2 faktor autentikasi.
“Kunci sandi (passkeys) mendapatkan perhatian sebagai teknologi yang tahan terhadap peretasan juga dirancang untuk melawan ancaman siber tertentu,” kata Igor Kuznetsov, Direktur Tim Riset lalu Analisis Global (Global Research and Analysis Team GReAT) dalam dalam Kaspersky, dalam siaran pers.
“Baru-baru ini, Google mengumumkan bahwa kunci sandi menjadi metode masuk default, namun penting bagi pengguna untuk menyadari bahwa risiko tertentu masih ada,” lanjutnya.
Menurut Kuznetsov, “kunci sandi memang menawarkan perlindungan yang tersebut kuat terhadap upaya phishing.”
Teknologi ini dikembangkan sebagai alternatif kata sandi tradisional, dengan mengikuti standar yang digunakan ditetapkan oleh aliansi Fast Identity Online (FIDO). Setiap kunci sandi ditautkan ke situs web tertentu, sehingga mencegah penggunaannya di area area situs palsu.
“Terlepas dari langkah-langkah keamanan ini, kunci sandi rentan terhadap ancaman yang dimaksud hal tersebut identik yang dimaksud mempengaruhi metode otentikasi apa pun,” tukasnya.
Apa kelemahannya?
“Jika perangkat yang mana digunakan untuk login (baik komputer atau ponsel) disusupi, pelaku kejahatan siber dapat menggunakan rekayasa sosial untuk mengelabui pengguna agar login ke aplikasi palsu atau melakukan pencurian data setelah login berhasil,” bongkar Kuznetsov.
Selain itu, perlu dicatat bahwa, secara default, kunci sandi disinkronkan dengan layanan cloud penyedia, seperti Google atau Apple, keduanya merupakan anggota aliansi FIDO.
“Jika akun penyedia disusupi (misalnya akun Google atau ID Apple), keamanan kunci sandi akan menjadi rentan,” imbuh dia.
Kaspersky pun menyarankan untuk melengkapi penyelenggaraan kunci sandi dengan praktik keamanan tradisional terbaik, seperti solusi keamanan siber, memperbarui perangkat lunak secara berkala, juga juga “berhati-hati ketika menemukan sumber daya, email, atau panggilan yang digunakan mencurigakan.”
