Hallo sahabat sahabat digital kini saya mengekspo dan membaca seputar tentang keamanan.
Sebuah startup keamanan telah meluncurkan perangkat yang dapat dipakai yang dirancang untuk mengganti kerumitan kata sandi dengan menggunakan tanda tangan detak jantung seseorang yang unik untuk masuk ke komputer dan membuka pintu mobil. Meskipun perangkat ini menarik, kelangkaan rincian teknis utama membuat tidak mungkin menilai janji pemasar bahwa ia menyediakan "keamanan lengkap tanpa mengorbankan kenyamanan."
Nymi adalah gelang kecil yang dilengkapi dengan sensor yang membaca elektrokardiogram (EKG) orang yang memakainya. Setelah diverifikasi bahwa tanda tangan hati dimiliki oleh orang yang mendaftarkannya, ia menyediakan sarana otentikasi yang secara teoritis dapat digunakan untuk mengakses pasokan perangkat elektronik yang nyaris tak ada habisnya, termasuk kios bandara, pintu kamar hotel, dan jaringan komputer sensitif. . Ini bergantung pada tiga faktor otentikasi - yaitu, dua hal yang dimiliki pengguna dalam bentuk gelang dan perangkat mobile yang dipasangkan, dan satu hal yang dimiliki pengguna berupa EKG terverifikasi. Video promosi yang apik menunjukkan seseorang meluncur dari tempat tidur ke bandara ke hotel ke kafe, dengan mudah masuk ke perangkat dan membuka pintu tanpa harus memasukkan kata sandi atau mendapatkan kunci. Tentu terdengar menggoda.
Sayangnya, tidak ada cukup informasi tentang cara kerja Nymi untuk mengetahui apakah itu benar-benar terobosan atau dosis lain dari minyak ular yang terlalu umum di sirkuit keamanan. Karl Martin, CEO pembuat Nymi Bionym, mengatakan bahwa perangkat tersebut belum menjalani audit keamanan formal. Itu berarti bahkan dia tidak bisa mengatakan seberapa tahan terhadap jenis serangan canggih yang pasti akan menargetkan alat masuk universal, meskipun dia memberikan beberapa detail tingkat tinggi yang memberi semangat. Konon, ada beberapa kelas hacks yang bisa digunakan untuk kompromi jaminan keamanan perangkat.
Yang pertama adalah apa yang dikenal sebagai replay attack. Jika penyerang dapat memperoleh sinyal EKG dan gelang unik seseorang, penyerang mungkin bisa menghubungkannya dengan sirkuit sederhana yang memutar ulang detak jantung. Variasi serangan ini adalah untuk menangkap paket data yang dilewati gelang seseorang selama prosedur otentikasi dan menggunakan perangkat keras lain untuk mengirim ulang data tersebut. Serangan replay serupa dengan mendapatkan salinan kunci ke rumah atau kantor target. Jika penyerang dapat mengkloning data rahasia yang ditayangkan pengguna ke perangkat tempat dia masuk, keamanan sistem dapat dirusak.
Hack terkait dikenal sebagai serangan relay. Jika seseorang menggunakan Nymi untuk membuka kunci ponsel cerdasnya saat makan di restoran, apa yang menghentikan penyerang terdekat agar tidak menyampaikan sinyal tersebut untuk membuka kunci mobil pengguna di tempat parkir? Namun, hack terkait lainnya adalah memasang serangan man-in-the-middle, di mana penyerang berada di antara gelang pengguna dan perangkat yang masuk ke dalamnya. Si hacker mencegat sinyal yang dikirim Nymi ke komputer dan mengirimkannya sendiri. Si hacker kemudian mengambil respon apapun yang dikirim dari komputer dan mengirimkannya ke pengguna. Setelah autentikasi selesai, penyerang yang telah diautentikasi, bukan pengguna.
"Anda tidak mengatakan hal yang mengotentikasi bahwa itu adalah komputer Anda yang ingin Anda autentikasi," kata Josh Dustin, direktur keamanan di sebuah perusahaan bernama HireVue dan ahli autentikasi. "Jadi kalau ada yang bisa menyiarkan ulang itu ke mobil Anda ... maka Anda bisa membukanya."
Martin, CEO Bionym, menulis dalam sebuah e-mail bahwa perangkat tersebut telah dirancang untuk menahan serangan tersebut. Secara khusus, ia menggunakan kriptografi kurva eliptik untuk memastikan data perjalanan antara gelang dan perangkat tidak dapat dipantau oleh orang lain. Dia juga mengatakan enkripsi mengamankan jabat tangan yang dilakukan antara gelang dan perangkat yang tidak terkunci. Bergantung pada bagaimana teknologi diimplementasikan, mungkin akan membuat serangan replay tidak mungkin dilakukan. Salah satu cara yang mungkin dilakukan adalah pintu mobil mengirimkan "tantangan" dalam bentuk data acak yang dienkripsi dengan kunci publik pengguna. Pintu mobil hanya akan terbuka jika "respons" pengguna mencakup data setelah didekripsi dengan menggunakan kunci privat yang sesuai.
Sebuah lembar fakta selanjutnya mengatakan Nymi mampu merasakan kedekatan perangkat yang tidak terkunci, ukuran lain yang bisa membantu mencegah hacking.
Bagaimana dengan kenyamanan?
Bahkan jika Nymi mampu menahan serangan yang canggih, ada pertimbangan penting lainnya. Untuk satu, apa yang terjadi ketika pengguna salah menempatkan gelangnya atau perangkat seluler berpasangan yang harus berada di dekat saat pengguna pertama kali memakai gelang? Hampir semua orang kehilangan ponsel, kunci mobil, atau perangkat penting lainnya dari waktu ke waktu. Nymi berarti pengguna memiliki dua hal untuk dipegang. Jika hilang, orang akan meminta solusi agar mereka bisa mengecek e-mail dan membuka pintu mobil sampai perangkat diganti. Insinyur memiliki tindakan menyeimbangkan yang rumit di depan mereka. Buat tindakan sementara yang terlalu kaku dan pengguna akan sangat marah itumereka terkunci dari domain digital mereka. Buat yang terlalu longgar, dan itu akan menjadi celah yang akan dimanfaatkan penyerang untuk melewati sistem.
Ini juga tidak jelas bagaimana perangkat bisa bekerja jika pengguna mengalami serangan jantung atau kondisi medis parah lainnya.
Ada banyak pertanyaan tak terjawab lainnya. Misalnya, seberapa unik EKG dan seberapa sulit mereka untuk dibaca secara pasif oleh orang lain? Misalnya, bisakah ECG dibaca oleh perhiasan custom-made lainnya? Dan bagaimana database yang menyimpan tanda tangan ini dipertahankan dengan cara yang membuat mereka aman tetapi juga menyediakan mana-mana yang diperlukan untuk menghubungkannya ke banyak perangkat dan layanan? Perangkat ini masih tersedia sebagian besar untuk pengembang yang mungkin ingin mempertimbangkan untuk melipatnya ke produk atau layanan pihak ketiga mereka. Martin mengatakan bahwa perusahaan berencana untuk menerbitkan rincian teknis dalam beberapa bulan mendatang karena rancangan perangkat keras dan perangkat lunak telah selesai. Dia juga mengatakan bahwa perangkat pengembangan perangkat lunak tersedia sehingga layanan tersebut dapat dilipat ke produk dan layanan pihak ketiga akan menjadi open source sehingga dasar-dasar teknis dapat diteliti.
Sampai saat itu, pembaca harus menganggap Nymi perangkat yang menarik yang mungkin atau mungkin tidak sesuai dengan janji tinggi untuk memberikan keamanan tanpa sakit kepala login dan otentikasi biasa.
"Ini bisa menjadi teknologi yang sangat bagus dan peningkatan keamanan kata sandi untuk sebagian besar pengguna," Joe Bonneau, seorang peneliti yang baru saja menyelesaikan tesis PhD tentang kata sandi dan nomor identifikasi pribadi. "Saya ingin melihat sesuatu seperti ini bekerja. Saya hanya berharap mereka mendapatkan beberapa ahli keamanan untuk memeriksanya sebelum orang mempercayainya untuk sesuatu yang penting."
Author : Rama Trisna Pasa
0 Comments