Getty
Salah satu cara paling umum untuk meretas orang disebut phishing atau spearphishing.
Pada dasarnya, penyerang membuat email yang terlihat persis seperti sesuatu yang biasa Anda klik, seperti faktur atau pesan yang meminta Anda mengubah kata sandi. Orang yang tidak menaruh curiga mengeklik tautan di email phishing, yang akan membawa mereka ke situs web yang dirancang agar terlihat sah. Korban mengetikkan nama pengguna dan kata sandinya dan secara tidak sengaja meneruskannya kepada penyerang. Sekarang ada kemungkinan besar akun tersebut akan diretas.
Spearphishing adalah salah satu metode utama yang digunakan mata-mata Rusia untuk menembus jaringan Komite Nasional Demokrat sebelum pemilu AS tahun 2016. kata Departemen Kehakiman AS.
Ini adalah masalah besar bagi perusahaan. Meskipun Anda dapat memastikan bahwa perangkat perusahaan seaman mungkin, hanya diperlukan satu karyawan yang memiliki akses ke data sensitif untuk tertipu melalui email dan menyebabkan kerusakan keamanan yang serius.
Satu perusahaan tampaknya telah menghilangkan masalah yang disebut “phishing kredensial”: Google.
Tidak ada pengambilalihan Akun Google sejak diluncurkan
Raksasa internet ini mengharuskan karyawannya menggunakan perangkat seharga $20 untuk masuk ke sistem; kunci keamananyang memainkan peran penting dalam memastikan bahwa tidak satu pun dari 85.000 karyawan Google yang dimata-matai, seperti yang dilaporkan perusahaan.
“Kami belum pernah melaporkan atau mengonfirmasi pengambilalihan akun sejak Google menerapkan kunci keamanan,” kata Google kepada Business Insider.
Menurut Brian Krebsjurnalis keamanan yang pertama kali melaporkan keberhasilan Google melawan upaya phishing, Google telah mewajibkan karyawannya untuk menggunakan kunci keamanan fisik sejak awal tahun 2017.
Banyak perusahaan sudah menggunakan otentikasi 2 arah, di mana setelah login dengan nama pengguna dan kata sandi, Anda harus memasukkan kode kedua, biasanya dikirimkan kepada Anda melalui SMS atau aplikasi.
Keamanan tinggi bahkan setelah diretas
Google telah melangkah lebih jauh dengan mewajibkan semua karyawannya menggunakan kunci keamanan, kata Krebs. Daripada menerima SMS setelah memasukkan kata sandi, Anda cukup memasukkan kunci keamanan ke port USB di komputer dan menekan tombol.
Artinya, meskipun seseorang terkena phishing dan penyerang mendapatkan nama pengguna dan kata sandinya, penyerang tidak akan dapat mengambil alih akun tanpa kunci keamanan pengguna.
Ini merupakan pencapaian yang cukup besar bagi perusahaan sebesar ini. Google memiliki banyak data pengguna yang sensitif, jadi sangat meyakinkan mengetahui bahwa akun karyawan dilindungi.
Anda juga dapat menggunakan kunci keamanan dengan akun Gmail Anda sendiri. Model Yubikeyyang kompatibel dengan USB-A, USB-C, dan perangkat seluler tersedia dari Yubico.
Kunci USB lebih aman daripada kata sandi sekali pakai
Google diluncurkan pada bulan Oktober program perlindungan dengan kunci keamanan untuk individu berisiko tinggi, termasuk jurnalis, pemimpin bisnis, dan aktivis. Google juga telah bekerja sama dengan berbagai kelompok industri seperti Aliansi FIDO berkolaborasi untuk mengembangkan teknologi kunci keamanan U2F.
Satu Studi Google dari tahun 2016 menemukan bahwa metode autentikasi dua faktor berbasis SMS dan aplikasi (juga disebut “kata sandi satu arah”) memiliki tingkat kesalahan rata-rata sebesar 3 persen, sedangkan metode kunci keamanan memiliki tingkat kesalahan 0 persen.
“Krebs tentang Keamanan”Blog kejahatan dunia maya Krebs, mengungkapkan lebih banyak rincian tentang bagaimana pendekatan Google terhadap otentikasi dan keamanan masuk membuahkan hasil.