Microsoft baru-baru ini merilis Digital Defense Report 2024, sebuah laporan tahunan yang memberikan perkembangan terbaru lanskap keamanan siber global. Laporan tersebut menyoroti tiga perubahan signifikan dalam karakteristik ancaman dan serangan siber yang terjadi di berbagai negara. Mulai dari yang berkaitan dengan ransomware, fraud, hingga identity and social engineering.
Panji Wasmana (National Technology Officer Microsoft Indonesia) mengatakan keamanan siber adalah sebuah team sport di mana semua orang, tidak hanya tim IT, mengambil peranan penting di dalamnya. Sebagai bagian dari kerja sama tim ini, setiap individu perlu memiliki pemahaman dan menjalankan praktik keamanan siber yang mumpuni. Misalnya, dengan menerapkan prinsip-prinsip Zero Trust seperti selalu lakukan verifikasi secara eksplisit, berikan akses terhadap data/perangkat hanya kepada orang yang benar-benar memerlukan, dan selalu asumsikan terjadinya breach.
"Tidak lupa, implementasikan passkey, sebuah metode autentikasi dengan kunci digital pribadi yang dilindungi oleh data biometrik (seperti wajah dan sidik jari) atau pin, yang lebih aman daripada password," ujarnya.
Serupa dengan tahun-tahun sebelumnya, serangan berbasis kata sandi (password) masih menjadi bentuk serangan identitas yang paling banyak terjadi. Data dari Microsoft Entra menunjukkan, terdapat lebih dari 600 juta serangan terhadap identitas setiap harinya, dengan 99% di antaranya menyerang password pengguna. Di sisi lain, Microsoft telah memblokir 7.000 serangan kata sandi setiap detiknya dalam kurun waktu setahun terakhir.
Para pelaku kejahatan siber pun terus memperbarui serangan mereka, misalnya dengan AiTM Phishing Attack (Adversary-in-the-Middle), sebuah teknik serangan phishing di mana penyerang menempatkan diri mereka di antara pengguna dan layanan otentikasi yang sah. Tujuannya mengakses akun pengguna tanpa perlu memasukkan kata sandi atau melewati otentikasi multifaktor (MFA) yang mungkin diaktifkan.
Pembelajaran:
- Ganti password dengan passwordless authentication methods seperti passkeys.
- Tidak seperti password yang menggunakan informasi rahasia yang rentan atau informasi pribadi yang dapat dikenali, passkey menggunakan kunci privat yang disimpan dengan aman di perangkat pengguna.
- Kunci ini hanya berfungsi pada situs web atau aplikasi tempat pengguna membuatnya, dan hanya dapat diakses jika pengguna yang sama membukanya dengan biometrik atau PIN mereka.
Baca Juga: Konsumen Siap Bayar Lebih untuk Berbelanja Berbasis AI di Lazada