Dasar-dasar autentikasi NIST
Gunakan informasi dalam artikel ini untuk mempelajari terminologi yang terkait dengan pedoman National Institute of Standards and Technology (NIST). Selain itu, konsep teknologi Trusted Platform Module (TPM) dan faktor autentikasi didefinisikan.
Terminologi
Gunakan tabel berikut untuk memahami terminologi NIST.
| Term | Definisi |
|---|---|
| Assertion | Pernyataan dari pemverifikasi kepada pihak yang mengandalkan yang berisi informasi tentang pelanggan. Pernyataan mungkin berisi atribut terverifikasi |
| Autentikasi | Proses verifikasi identitas subjek |
| Faktor autentikasi | Sesuatu yang anda, tahu, atau miliki. Setiap pengautentikasi memiliki satu atau beberapa faktor autentikasi |
| Pengautentikasi | Sesuatu yang dimiliki dan dikontrol penggunting untuk mengautentikasi identitas penuntut |
| Penggugat | Identitas subjek yang akan diverifikasi dengan satu atau beberapa protokol autentikasi |
| Kredensial | Objek atau struktur data yang secara otoritatif mengikat identitas ke setidaknya satu pengautentikasi pelanggan yang dimiliki dan dikontrol pelanggan |
| Penyedia layanan info masuk (CSP) | Entitas tepercaya yang mengeluarkan atau mendaftarkan pengautentikasi pelanggan dan mengeluarkan kredensial elektronik kepada pelanggan |
| Pihak yang mengandalkan | Entitas yang bergantung pada pernyataan pemverifikasi atau pengautentikasi dan kredensial penggugat, biasanya untuk memberikan akses ke sistem |
| Subjek | Seseorang, organisasi, perangkat keras, jaringan, perangkat lunak, atau layanan |
| Pelanggan | Pihak yang menerima kredensial atau pengautentikasi dari CSP |
| Trusted Platform Module (TPM) | Modul tahan perubahan yang melakukan operasi kriptografi, termasuk pembuatan kunci |
| Pemverifikasi | Entitas yang memverifikasi identitas pemohon dengan memverifikasi kepemilikan penggunting dan kontrol pengautentikasi |
Tentang teknologi Modul Platform Tepercaya
TPM memiliki fungsi terkait keamanan berbasis perangkat keras: Chip TPM, atau TPM perangkat keras, adalah prosesor kriptografi aman yang membantu menghasilkan, menyimpan, dan membatasi penggunaan kunci kriptografi.
Untuk informasi tentang TPM dan Windows, lihat Modul Platform Tepercaya.
Catatan
TPM perangkat lunak adalah emulator yang meniru fungsionalitas TPM perangkat keras.
Faktor autentikasi dan kekuatannya
Anda dapat mengelompokkan faktor autentikasi ke dalam tiga kategori:
Kekuatan faktor autentikasi ditentukan oleh seberapa yakin Anda itu adalah sesuatu yang hanya dimiliki pelanggan, tahu, atau memiliki. Organisasi NIST memberikan panduan terbatas tentang kekuatan faktor autentikasi. Gunakan informasi di bagian berikut untuk mempelajari bagaimana Microsoft menilai kekuatan.
Sesuatu yang Anda ketahui
Kata sandi adalah hal yang paling umum diketahui, dan mewakili permukaan serangan terbesar. Mitigasi berikut meningkatkan kepercayaan diri pada pelanggan. Mereka efektif dalam mencegah serangan kata sandi seperti brute-force, penyadapan, dan rekayasa sosial:
Sesuatu yang Anda miliki
Kekuatan sesuatu yang Anda miliki didasarkan pada kemungkinan pelanggan menyimpannya dalam kepemilikan mereka, tanpa penyerang mendapatkan akses ke dalamnya. Misalnya, saat melindungi dari ancaman internal, perangkat seluler pribadi atau kunci perangkat keras memiliki afinitas yang lebih tinggi. Perangkat, atau kunci perangkat keras, lebih aman daripada komputer desktop di kantor.
Sesuatu yang Anda
Ketika menentukan persyaratan untuk sesuatu anda, pertimbangkan betapa mudahnya bagi penyerang untuk mendapatkan, atau spoof sesuatu seperti biometrik. NIST sedang menyusun kerangka kerja untuk biometrik, namun saat ini tidak menerima biometrik sebagai satu faktor. Ini harus menjadi bagian dari autentikasi multifaktor (MFA). Tindakan pencegahan ini karena biometrik tidak selalu memberikan kecocokan yang tepat, seperti yang dilakukan kata sandi. Untuk mengetahui informasi selengkapnya, lihat Kekuatan Fungsi untuk Authenticators – Biometrik (SOFA-B).
Kerangka kerja SOFA-B untuk mengukur kekuatan biometrik:
- Tingkat kecocokan salah
- Tingkat kegagalan salah
- Tingkat kesalahan deteksi serangan presentasi
- Upaya yang diperlukan untuk melakukan serangan
Autentikasi faktor tunggal
Anda dapat menerapkan autentikasi faktor tunggal dengan menggunakan pengautentikasi yang memverifikasi sesuatu yang Anda ketahui, atau. Faktor sesuatu yang Anda terima sebagai autentikasi, tetapi tidak diterima hanya sebagai pengautentikasi.
Autentikasi multifaktor
Anda dapat menerapkan MFA dengan menggunakan pengautentikasi MFA atau dua pengautentikasi faktor tunggal. Pengautentikasi MFA memerlukan dua faktor autentikasi untuk satu transaksi autentikasi.
MFA dengan dua pengautentikasi faktor tunggal
MFA memerlukan dua faktor autentikasi, yang dapat independen. Contohnya:
Rahasia yang dihafal (kata sandi) dan kehabisan band (SMS)
Rahasia yang dihafal (kata sandi) dan kata sandi satu kali (perangkat keras atau perangkat lunak)
Metode ini memungkinkan dua transaksi autentikasi independen dengan ID Microsoft Entra.
MFA dengan satu pengautentikasi multifaktor
Autentikasi multifaktor memerlukan satu faktor (sesuatu yang Anda ketahui, atau) untuk membuka kunci faktor kedua. Pengalaman pengguna ini lebih mudah daripada beberapa pengautentikasi independen.
Salah satu contohnya adalah aplikasi Microsoft Authenticator, dalam mode tanpa kata sandi: akses pengguna ke sumber daya aman (pihak yang mengandalkan), dan menerima pemberitahuan di aplikasi Authenticator. Pengguna menyediakan biometrik (sesuatu yang Anda) atau PIN (sesuatu yang Anda ketahui). Faktor ini membuka kunci kriptografi di ponsel (sesuatu yang Anda miliki), yang divalidasi pemverifikasi.
Langkah berikutnya
Mencapai NIST AAL1 dengan menggunakan MICROSOFT Entra ID