Pola "email adalah autentikasi"

 (rubenerd.com)
4 poin oleh GN⁺ 2024-09-09 | 1 komentar | Bagikan ke WhatsApp
  • Sebagian besar orang tidak menggunakan pemblokir iklan, JavaScript yang dibatasi, pengelola kata sandi, dan sebagainya
  • Banyak orang menjalani proses login seperti berikut
    • Buka halaman login
    • Klik "Lupa kata sandi"
    • Buka email
    • Klik tautan pemulihan
    • Masukkan kata sandi sementara yang tidak akan mereka ingat
    • Ulangi
  • Saat ditanya mengapa mereka menjalani proses seperti ini, kebanyakan tidak tahu alasannya
  • Sudah banyak dibahas tentang pengelola kata sandi, risiko pencurian identitas, serta perlunya autentikasi dua faktor dan multifaktor
  • Muncul pertanyaan mengapa orang menggunakan "Lupa kata sandi" sebagai sarana autentikasi
  • Ini bukan keputusan yang disadari, melainkan kebiasaan yang terbentuk seiring waktu
  • Ada pemikiran apakah kebiasaan ini bisa dimanfaatkan untuk merancang sistem agar orang menggunakannya dengan cara yang lebih baik

Ringkasan GN⁺

  • Artikel ini membahas kebiasaan orang yang menerima autentikasi melalui proses lupa kata sandi
  • Kebutuhan akan pengelola kata sandi dan autentikasi dua faktor sudah sering dibahas, tetapi artikel ini mempertanyakan mengapa orang mengikuti proses tertentu
  • Artikel ini mengeksplorasi kemungkinan memanfaatkan kebiasaan tersebut untuk merancang sistem keamanan yang lebih baik
  • Produk dengan fungsi serupa antara lain LastPass dan 1Password

Bacaan terkait

1 komentar

 
GN⁺ 2024-09-09
Opini Hacker News

  • Akun email adalah metode paling umum untuk autentikasi online

    • Nomor telepon juga cukup kompetitif, tetapi orang bisa kehilangan ponselnya
    • Keamanan nomor telepon lebih rendah daripada akun email
    • Saat merancang sistem autentikasi pengguna, pemulihan akun harus dipertimbangkan

  • Jika bisnis ingin menawarkan kemudahan, mereka menggunakan sistem autentikasi email

    • Pengguna memasukkan email
    • Kode verifikasi dikirim ke email
    • Jika pengguna memasukkan kode, status login dipertahankan "tanpa batas waktu"
    • Jika email baru, akun dibuat otomatis
    • Beberapa pengguna bisa tanpa sengaja membuat akun baru karena memakai beberapa email
    • Metode ini sangat meningkatkan tingkat konversi pendaftaran dan login

  • Sistem autentikasi berbasis kata sandi tidak realistis

    • Kata sandi digunakan dengan dua cara
      • Dilindungi oleh satu kata sandi melalui password manager
      • Kata sandi yang sama dipakai berulang di banyak layanan
    • Sebagian besar layanan menyediakan pemulihan melalui email
    • Akun email pribadi hampir tidak pernah diganti, tidak dibagikan, dan tidak digunakan ulang

  • Ada usulan metode login dengan mengirim tautan URL sekali pakai melalui email

    • Tautan kedaluwarsa dalam 10 menit dan hanya bisa dipakai sekali
    • Siapa pun yang memiliki tautan bisa login, tetapi hanya dapat diakses dari email
    • Keamanannya bergantung pada akun email

  • Alasan penyedia layanan merepotkan pengguna itu sederhana

    • Penyedia email hampir tidak pernah mengakhiri sesi
    • Token autentikasi layanan bisa disetel sama dengan durasi sesi Gmail, atau login dibuat bisa lewat OTP

  • Kebanyakan orang mencoba-coba pekerjaan di komputer lalu mencari jalan keluarnya

    • Perangkat lunak dibuat oleh orang yang sangat memahami sistem, tetapi pengguna tidak demikian
    • Jika pengguna menemukan pola yang berhasil, mereka akan terus memakainya
    • Banyak sekolah memakai tablet sehingga orang tidak sempat membangun intuisi penggunaan komputer

  • Ada situs yang melewati langkah lupa kata sandi dan memakai email sebagai autentikasi

    • Masukkan alamat email
    • Terima email berisi kode
    • Masukkan kode lalu login
    • Ini bisa merepotkan bagi orang yang memakai beberapa email

  • Best Buy memakai metode serupa

    • Kata sandi disimpan dengan password manager, tetapi karena perlindungan ATO muncul pesan bahwa kata sandi tidak valid
    • Setelah lelah mencoba menyelesaikan masalah, orang akhirnya mengikuti cara yang paling mudah

  • Alur login yang mirip

    • A) Kunjungi situs web, salin dan tempel kata sandi lewat password manager, lalu terima permintaan TOTP melalui email
    • B) Kunjungi situs web, klik lupa kata sandi, terima tautan login, lalu masukkan string acak
    • Metode B kadang lebih cepat

  • Alasan pengguna tidak menyimpan kata sandi adalah karena mereka tidak punya password manager

    • Bahkan jika tahu password manager, berpindah akun saat bekerja di PC cloud bersama tetap merepotkan
    • Di situs yang tidak punya fitur simpan kata sandi, kata sandi tidak disimpan