Apa itu Autentikasi Berbasis Pengetahuan?
Autentikasi berbasis pengetahuan (KBA) adalah metode autentikasi di mana pengguna diminta untuk menjawab setidaknya satu pertanyaan rahasia. KBA sering digunakan sebagai komponen dalam autentikasi multi-faktor (MFA) dan untuk pengambilan kata sandi secara mandiri.
Pertanyaan KBA yang kuat harus memenuhi empat kriteria berikut:
- Pertanyaan harus sesuai untuk sebagian besar populasi.
- Jawabannya harus mudah diingat.
- Pertanyaan harus hanya memiliki satu jawaban yang benar.
- Jawabannya tidak boleh mudah ditebak atau ditemukan melalui pencarian.
Pertanyaan KBA bisa bersifat statis atau dinamis. Kedua metode ini bergantung pada asumsi bahwa jika seseorang mengetahui jawaban yang benar dari pertanyaan rahasia, identitas mereka telah terverifikasi.
Dalam skema statis, pengguna akhir memilih pertanyaan yang akan diajukan dan memberikan jawaban yang benar. Host menyimpan pasangan pertanyaan dan jawaban ini dan menggunakannya nanti untuk memverifikasi identitas orang tersebut. Pertanyaan KBA bisa berupa fakta, seperti: “Di mana Anda menghabiskan bulan madu Anda?” atau “Berapa banyak hewan peliharaan yang Anda miliki?” Atau bisa juga tentang preferensi, seperti: “Apa makanan favorit Anda?” atau “Siapa guru favorit Anda?” Masalah dengan pertanyaan KBA statis adalah jika seseorang telah membagikan informasi tersebut di media sosial, misalnya, jawaban tersebut bisa dengan mudah ditebak.
Dalam skema dinamis, pengguna akhir tidak tahu pertanyaan apa yang akan diajukan. Sebagai gantinya, pasangan pertanyaan dan jawaban dipilih dari data yang dikumpulkan, seperti catatan publik. Contoh pertanyaan KBA dinamis meliputi: “Alamat jalan mana yang Anda tinggali ketika Anda berusia 10 tahun?” atau “Apa warna Ford Mustang yang terdaftar atas nama Anda di negara bagian New York pada tahun 2002?” Meskipun jawaban dari pertanyaan dinamis bisa dicari, itu akan memakan waktu. Jika responden tidak menjawab pertanyaan dinamis dalam jangka waktu tertentu, pertanyaan tersebut dibuang dan dianggap sebagai jawaban yang salah.
Para ahli tidak menganggap autentikasi berbasis pengetahuan cukup aman untuk digunakan sendiri, terutama di era media sosial di mana orang cenderung membagikan banyak informasi tentang diri mereka. Menggunakan KBA sebagai bagian dari MFA lebih disarankan, yang akan memperkuat metode autentikasi untuk akun-akun. MFA lebih dianjurkan dibandingkan KBA, terutama dengan meningkatnya pekerjaan jarak jauh dan hybrid.