Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Company

Company

Google akan Mulai Mendistribusikan Koleksi Perpustakaan Perangkat Lunak Sumber Terbuka yang Diperiksa Keamanan

by

Google mengumumkan inisiatif baru pada hari Selasa yang bertujuan untuk mengamankan rantai pasokan perangkat lunak sumber terbuka dengan membuat dan mendistribusikan kumpulan paket sumber terbuka yang diperiksa keamanannya kepada pelanggan Google Cloud.

Layanan baru bermerek Assured Open Source Software diperkenalkan dalam posting blog dari perusahaan. Dalam postingan tersebut, Andy Chang, manajer produk grup untuk keamanan dan privasi di Google Cloud, menunjukkan beberapa tantangan dalam mengamankan perangkat lunak sumber terbuka dan menekankan komitmen Google terhadap sumber terbuka.

“Ada peningkatan kesadaran di komunitas pengembang, perusahaan, dan pemerintah tentang risiko rantai pasokan perangkat lunak,” tulis Chang, mengutip kerentanan log4j utama tahun lalu sebagai contoh. “Google terus menjadi salah satu pengelola, kontributor, dan pengguna open source terbesar dan sangat terlibat dalam membantu membuat ekosistem perangkat lunak open source lebih aman.”

Sesuai pengumuman Google, Assured Open Source Software akan memperluas manfaat pengalaman audit perangkat lunak Google yang ekstensif kepada pelanggan Cloud. Semua paket sumber terbuka yang tersedia melalui layanan ini juga digunakan secara internal oleh Google, kata perusahaan itu, dan secara teratur dipindai dan dianalisis untuk mengetahui kerentanannya.

Saat ini, daftar 550 perpustakaan sumber terbuka utama yang terus ditinjau oleh Google tersedia di GitHub. Meskipun semua perpustakaan ini dapat diunduh secara independen dari Google, program Assured OSS akan melihat versi yang diaudit didistribusikan melalui Google Cloud — mengurangi insiden di mana pengembang sengaja atau tidak sengaja merusak perpustakaan sumber terbuka yang banyak digunakan. Saat ini, layanan ini dalam mode akses awal dan diharapkan tersedia untuk pengujian pelanggan yang lebih luas pada Q3 2022.

Sumber: The Verge

CISA memperingatkan untuk tidak menginstal pembaruan Mei Windows pada pengontrol domain

by

Badan Keamanan Siber dan Infrastruktur (CISA) AS telah menghapus kelemahan keamanan Windows dari katalog kerentanan yang diketahui dieksploitasi karena masalah otentikasi Active Directory (AD) yang disebabkan oleh pembaruan Mei 2022 yang menambalnya.

Bug keamanan ini adalah Windows LSA spoofing zero-day yang dieksploitasi secara aktif yang dilacak sebagai CVE-2022-26925, dikonfirmasi sebagai vektor serangan PetitPotam Windows NTLM Relay baru.

Penyerang yang tidak diautentikasi menyalahgunakan CVE-2022-26925 untuk memaksa pengontrol domain untuk mengotentikasi mereka dari jarak jauh melalui protokol keamanan Windows NT LAN Manager (NTLM) dan, kemungkinan, mendapatkan kendali atas seluruh domain Windows.

Microsoft menambalnya bersama dengan 74 kelemahan keamanan lainnya (dua di antaranya juga zero-days) sebagai bagian dari patch keamanan yang dikeluarkan pada Patch Mei 2022 Selasa.

Namun, patch untuk dua peningkatan kerentanan hak istimewa di Windows Kerberos dan Layanan Domain Direktori Aktif (dilacak sebagai CVE-2022-26931 dan CVE-2022-26923) juga akan menyebabkan masalah otentikasi layanan saat digunakan pada pengontrol domain Windows Server.

Sebelum dihapus dari Katalog Kerentanan yang Diketahui, semua agensi Federal Civilian Executive Branch Agencies (FCEB) diharuskan untuk menerapkan pembaruan keamanan dalam waktu tiga minggu (hingga 1 Juni 2022), sesuai dengan arahan operasional mengikat BOD 22-01 yang dikeluarkan di November 2021.

Karena Microsoft tidak lagi menyediakan penginstal terpisah untuk setiap masalah keamanan yang ditanganinya selama Patch Tuesday, menginstal pembaruan keamanan bulan ini juga akan memicu masalah autentikasi AD karena admin tidak dapat memilih untuk menginstal hanya satu dari pembaruan keamanan (yaitu, yang harus ditangani vektor serangan PetitPotam baru).

Seperti yang dicatat CISA, “penginstalan pembaruan yang dirilis 10 Mei 2022, pada perangkat Windows klien dan Server Windows pengontrol non-domain tidak akan menyebabkan masalah ini dan masih sangat dianjurkan.”

Hingga Microsoft mengeluarkan pembaruan resmi untuk mengatasi masalah autentikasi AD yang disebabkan oleh penginstalan pembaruan keamanan bulan ini, perusahaan merekomendasikan pemetaan sertifikat secara manual ke akun mesin di Active Directory.

“Jika mitigasi pilihan tidak akan bekerja di lingkungan Anda, silakan lihat ‘KB5014754—perubahan otentikasi berbasis sertifikat pada pengontrol domain Windows’ untuk kemungkinan mitigasi lain di bagian kunci registri SChannel,” kata perusahaan itu.

Namun, admin Windows telah berbagi dengan BleepingComputer metode lain untuk memulihkan otentikasi bagi pengguna yang terpengaruh oleh masalah umum ini.

Salah satu dari mereka mengatakan bahwa satu-satunya cara mereka bisa masuk setelah menginstal pembaruan Windows Mei 2022 adalah dengan menonaktifkan kunci StrongCertificateBindingEnforcement dengan menyetelnya ke 0.

Jika tidak tersedia di registri pada sistem Anda, Anda dapat membuatnya dari awal menggunakan Tipe Data REG_DWORD dan menyetelnya ke 0 untuk menonaktifkan pemeriksaan pemetaan sertifikat yang kuat (meskipun tidak direkomendasikan oleh Microsoft, ini adalah satu-satunya cara untuk mengizinkan semua pengguna untuk masuk di beberapa lingkungan).

Sumber: Bleeping Computer

Pembaruan darurat Apple memperbaiki zero-day yang digunakan untuk meretas Mac, Jam Tangan

by

Apple telah merilis pembaruan keamanan untuk mengatasi kerentanan zero-day yang dapat dieksploitasi oleh pelaku ancaman dalam serangan yang menargetkan perangkat Mac dan Apple Watch.

Zero-days adalah kelemahan keamanan yang tidak disadari oleh vendor perangkat lunak dan belum ditambal. Dalam beberapa kasus, jenis kerentanan ini mungkin juga memiliki eksploitasi konsep yang tersedia untuk umum sebelum tambalan tiba atau dapat dieksploitasi secara aktif di alam liar.

Dalam peringatan keamanan yang dikeluarkan pada hari Senin, Apple mengungkapkan bahwa mereka mengetahui laporan bug keamanan ini “mungkin telah dieksploitasi secara aktif.”

Cacat tersebut adalah masalah penulisan di luar batas (CVE-2022-22675) di AppleAVD (ekstensi kernel untuk decoding audio dan video) yang memungkinkan aplikasi mengeksekusi kode arbitrer dengan hak istimewa kernel.

Bug tersebut dilaporkan oleh peneliti anonim dan diperbaiki oleh Apple di macOS Big Sur 11.6., watchOS 8.6, dan tvOS 15.5 dengan pemeriksaan batas yang ditingkatkan.

Daftar perangkat yang terpengaruh termasuk Apple Watch Series 3 atau lebih baru, Mac yang menjalankan macOS Big Sur, Apple TV 4K, Apple TV 4K (generasi ke-2), dan Apple TV HD.

Sementara Apple mengungkapkan laporan eksploitasi aktif di alam liar, itu tidak merilis info tambahan mengenai serangan ini.

Dengan menahan informasi, perusahaan kemungkinan bertujuan untuk memungkinkan pembaruan keamanan menjangkau sebanyak mungkin Apple Watch dan Mac sebelum penyerang mengetahui detail zero-day dan mulai menyebarkan eksploitasi dalam serangan lain.

Meskipun zero-day ini kemungkinan besar hanya digunakan dalam serangan yang ditargetkan, tetap sangat disarankan untuk menginstal pembaruan keamanan macOS dan watchOS hari ini sesegera mungkin untuk memblokir upaya serangan.

Pada bulan Januari, Apple menambal dua zero-days lainnya yang dieksploitasi di alam liar untuk memungkinkan penyerang mendapatkan eksekusi kode arbitrer dengan hak kernel (CVE-2022-22587) dan melacak aktivitas penelusuran web dan identitas pengguna secara real-time (CVE-2022-22594) .

Satu bulan kemudian, Apple merilis pembaruan keamanan untuk menambal bug zero-day baru (CVE-2022-22620) yang dieksploitasi untuk meretas iPhone, iPad, dan Mac, yang menyebabkan crash OS dan eksekusi kode jarak jauh pada perangkat Apple yang disusupi.

Pada bulan Maret, dua lagi mengeksploitasi zero-days secara aktif di Intel Graphics Driver (CVE-2022-22674) dan dekoder media AppleAVD (CVE-2022-22675), yang terakhir juga di-backport hari ini di versi macOS yang lebih lama, di watchOS 8.6, dan di tvOS 15.5.

Lima zero-days ini berdampak pada iPhone (iPhone 6s dan yang lebih baru), Mac yang menjalankan macOS Monterey, dan beberapa model iPad.

Sepanjang tahun lalu, perusahaan juga menambal daftar panjang zero-days yang dieksploitasi di alam liar untuk menargetkan perangkat iOS, iPadOS, dan macOS.

Berikut daftar produk yang di update:

  • watchOS 8.6
  • tvOS 15.3
  • macOS Catalina
  • macOS Big Sur 11.6.6
  • macOS Monterey 12.4
  • iOS 15.5 and iPad OS 15.5
  • Xcode 13.4

Sumber: Bleeping Computer
Update Links: Software Patches Update

AMD, Mitra Google dalam Upaya Keamanan Siber EPYC yang Belum Pernah Ada Sebelumnya

by

AMD dan Google telah mengumumkan kolaborasi tingkat dalam yang rumit pada penelitian keamanan siber untuk CPU EPYC kelas server AMD — yang sekarang telah berjalan selama lima tahun. Menurut Wired, kemitraan ini memanfaatkan dua tim peneliti Google Cloud Security bersama dengan Project Zero Google (bagian penelitian keamanan siber di dalam perusahaan), dan grup firmware AMD.

Tujuannya adalah untuk menempatkan perangkat keras AMD dan prosesor yang aman melalui langkah mereka melalui akses yang tampaknya belum pernah terjadi sebelumnya ke kode sumber dan mekanisme keamanan AMD. Dalam laporan post-mortem tentang kolaborasi (yang sedang berlangsung), kemitraan tersebut mengumumkan penemuan dan penyebaran mitigasi untuk 19 kerentanan keamanan secara total. Itu berarti 19 vektor serangan lebih sedikit di salah satu arsitektur server paling sukses di dunia.

Para peneliti terutama memfokuskan upaya mereka pada AMD’s Secure Processor (ASP) seperti yang diterapkan di EPYC generasi ketiga AMD, Milan. Insinyur Google diberi akses ke kode sumber untuk ASP, di samping sampel produksi untuk menguji serangan perangkat keras. Yang menarik bagi Google adalah implementasi generasi berikutnya dari Secure Nested Paging (SEV-SNP), sebuah kemampuan yang memungkinkan Mesin Virtual (VM) tetap rahasia terhadap hypervisor itu sendiri. Tim teknik meninjau desain dan implementasi kode sumber SEV, menulis kode pengujian khusus, dan menjalankan pengujian keamanan perangkat keras, mencoba mengidentifikasi potensi kerentanan yang muncul.

Brent Hollingsworth, direktur AMD dari ekosistem perangkat lunak EPYC, menunjukkan bahwa kemitraan tersebut menyatukan AMD dan Google yang terbaik dan tercerdas, membuka ruang untuk vektor serangan yang sebelumnya tidak diketahui, dan mendorong kreativitas pada lapisan serangan – baik berbasis perangkat lunak atau perangkat keras.

Sebagai “chip-in-the-chip” yang bertanggung jawab untuk enkripsi data kriptografi, ASP AMD adalah “inti” prosesor generik yang fitur-fiturnya dapat dibangun oleh AMD dan tim desain perangkat keras dan firmware. Tetapi dengan setiap lapisan keamanan tambahan, ada peluang untuk menambahkan vektor serangan terhadap mekanisme keamanan terpusat ini – titik kegagalan yang berpotensi parah yang dapat membuat keamanan seluruh sistem keluar dari jendela pepatah (dengan akses root yang tidak terlihat) jika itu dikompromikan.

Pada tingkat dampak inilah kemitraan AMD-Google dibentuk; menurut Nelly Porter, manajer produk grup dengan Google Cloud, tujuannya bukan untuk menunjuk jari atau menyebut kerentanan AMD — ini adalah upaya gabungan dan kolaboratif bagi perusahaan untuk menopang pertahanan mereka terhadap penyerang yang semakin kreatif dan terampil secara teknis. Keamanan siber selalu dianggap berada di belakang mereka yang akan memecahkannya; baik AMD maupun Google ingin menjadi yang terdepan dalam upaya membalikkan permainan.

Kemitraan ini sebagian besar dimotivasi oleh penawaran Google atas layanan Komputasi Rahasia, yang bertujuan untuk menjaga agar data pelanggan tetap terenkripsi setiap saat – baik saat istirahat, dalam perjalanan, atau selama pemrosesan. Mengikuti meningkatnya ketergantungan pada layanan komputasi awan (mulai dari beban kerja klasik yang diturunkan ke cloud, cloud gaming, atau bahkan sistem operasi berbasis cloud seperti Microsoft Windows 365 Cloud), risiko yang ditimbulkan oleh potensi kerentanan dalam infrastruktur keamanan dapat berasal dari miliaran dolar kerugian. Mempertimbangkan peran AMD dalam upaya penelitian, perusahaan sangat menyadari manfaat yang dapat diperoleh dari keahlian kedua perusahaan dalam meningkatkan produknya.

Keamanan siber adalah salah satu upaya terpenting di dunia, mengikuti digitalisasi layanan yang hampir lengkap, uang (baik dalam rekening bank tradisional berbasis FIAT atau yang sedang berdarah, jalan merah crypto dan DeFi), dan infrastruktur global. Membalik satu biner menuju nol berpotensi menjungkirbalikkan globalisasi dan ekonomi di seluruh dunia. Dan itu adalah sesuatu yang tidak diinginkan oleh perusahaan atau individu mana pun.

Sumber: Tom’s Hardware

Google Cloud Ternyata Memiliki Masalah Keamanan Bahkan Firewall Tidak Bisa Berhenti

by

Kesalahan konfigurasi di Google Cloud Platform telah ditemukan yang dapat memberi pelaku ancaman kontrol penuh atas titik akhir mesin virtual (VM) target, kata para peneliti.

Dalam posting blog yang diterbitkan oleh pakar respons insiden cloud Mitiga, perusahaan mencatat bahwa dengan menggunakan fitur sistem yang sah, penyerang potensial dapat membaca dan menulis data dari VM yang secara teori dapat mengakibatkan pengambilalihan sistem secara lengkap.

Mitiga menekankan bahwa ini bukan kerentanan, atau kesalahan sistem – ini digambarkan sebagai “fungsi yang berbahaya”.

Mitiga mencatat bahwa pelaku ancaman dapat menggunakan API metadata yang terbuka, bernama “getSerialPortOutput”, yang biasanya melacak dan membaca kunci pada port serial.

Para peneliti menggambarkan panggilan API sebagai “metode lama dari sistem debugging”, karena port serial bukanlah port dalam pengertian TCP/UP, melainkan file dalam bentuk /dev/ttySX, mengingat ini adalah Linux.

Setelah mengungkapkan temuan ke Google, perusahaan setuju bahwa kesalahan konfigurasi dapat digunakan untuk melewati pengaturan firewall. Mitiga menyarankan Google mengubah dua hal dalam fungsi getSerialPortOutput – membatasi penggunaannya hanya untuk akun dengan izin tinggi, dan mengizinkan perusahaan untuk menonaktifkan penambahan atau perubahan metadata Compute VM saat runtime.

Selain itu, perusahaan merekomendasikan Google untuk merevisi dokumentasi GCP-nya, untuk lebih memperjelas bahwa firewall dan kontrol akses jaringan lainnya tidak sepenuhnya membatasi akses ke VM.

Sumber: TechRadar

AS Mempertimbangkan Sanksi yang Belum Pernah Terjadi Sebelumnya pada Raksasa Teknologi China Hikvision

by

Saham Hangzhou Hikvision Digital Technology Co. anjlok 10% karena AS mempertimbangkan untuk menjatuhkan sanksi baru pada raksasa teknologi pengawasan, yang berpotensi sebagai tindakan paling keras sejauh ini terhadap perusahaan besar China.

Pemerintahan Biden sedang mempertimbangkan apakah akan menambahkan pembuat kamera dan sistem pengawasan ke dalam Daftar Warga Negara yang Ditunjuk dan Orang yang Diblokir, menurut orang-orang yang mengetahui situasi tersebut. Sanksi tersebut akan terkait dengan dugaan pelanggaran hak asasi manusia oleh China terhadap minoritas Muslim di wilayah barat jauh Xinjiang. Keputusan akhir tidak mungkin bulan ini, kata salah satu orang, yang menolak disebutkan namanya karena keputusan belum final.

Hikvision sudah masuk daftar hitam oleh AS pada tahun 2019 bersama dengan tujuh raksasa teknologi China lainnya, membuatnya lebih sulit untuk melakukan bisnis dengan perusahaan-perusahaan Amerika. Tetapi sanksi yang lebih berat yang sedang dipertimbangkan tidak hanya akan menghalangi orang Amerika melakukan bisnis dengan perusahaan itu, tetapi juga membuat pelanggan globalnya menjadi sasaran potensial tindakan AS.

“Tampaknya terbatas pada Hikvision untuk saat ini, tetapi ini menciptakan ketidakpastian baru karena di masa depan, perusahaan China yang sukses dapat ditargetkan dengan cara ini,” kata Wai Ho Leong, ahli strategi di Modular Asset Management SP Pte.

Sanksi baru yang lebih keras akan membawa perang ekonomi pemerintahan Biden melawan China ke arah yang baru: ini akan menjadi pertama kalinya sebuah perusahaan teknologi China ditambahkan dalam daftar SDN. Ini merupakan pukulan jangka panjang yang berpotensi berat terhadap Hikvision, karena perusahaan dan pemerintah di seluruh dunia akan dipaksa untuk mempertimbangkan kembali hubungan mereka dengan penyedia kamera.

Sumber: Bloomberg

Google Merilis Pembaruan Keamanan untuk Chrome

by

Google mengumumkan pembaruan keamanan pada situs resminya dihari rabu, 11 mei. Versi baru Chrome ini adalah 101.0.4951.64 dan tersedia untuk Windows, Mac dan Linux yang akan diluncurkan dalam beberapa hari/minggu mendatang.

Pembaruan ini mencakup 13 perbaikan keamanan, 8 diantaranya dinilai sebagai tingkat “tinggi” yang merupakan kerentanan yang dapat dieksploitasi oleh penyerang untuk mengendalikan sistem yang terpengaruh.

[$5000][1316990] CVE-2022-1633 Tinggi: Gunakan setelah gratis di Sharesheet. Dilaporkan oleh Khalil Zhani pada 2022-04-18

[$3000][1314908] CVE-2022-1634 Tinggi: Gunakan setelah gratis di UI Browser. Dilaporkan oleh Khalil Zhani pada 2022-04-09

[$3000][1319797] CVE-2022-1635 Tinggi: Gunakan setelah gratis di Permintaan Izin. Dilaporkan oleh Anonymous pada 2022-04-26

[$NA][1297283] CVE-2022-1636 Tinggi: Gunakan setelah gratis di Performance API. Dilaporkan oleh Seth Brenith, Microsoft pada 2022-02-15

[$TBD][1311820] CVE-2022-1637 Tinggi: Implementasi yang tidak tepat dalam Konten Web. Dilaporkan oleh Alesandro Ortiz pada 2022-03-31

[$TBD][1316946] CVE-2022-1638 Tinggi: Heap buffer overflow di Internasionalisasi V8. Dilaporkan oleh DoHyun Lee (@l33d0hyun) dari DNSLab, Universitas Korea pada 2022-04-17

[$TBD][1317650] CVE-2022-1639 Tinggi: Gunakan setelah gratis di ANGLE. Dilaporkan oleh SeongHwan Park (SeHwa) pada 2022-04-19

[$TBD][1320592] CVE-2022-1640 Tinggi: Gunakan setelah gratis di Berbagi. Dilaporkan oleh Weipeng Jiang (@Krace) dan Guang Gong dari 360 Vulnerability Research Institute pada 2022-04-28

[$5000][1305068] Medium CVE-2022-1641: Gunakan setelah gratis di Diagnostik UI Web. Dilaporkan oleh Rong Jian dari VRI pada 2022-03-10

[1323855] Berbagai perbaikan dari audit internal, fuzzing, dan inisiatif lainnya

Oleh karena itu, pengguna disarankan untuk segera melakukan pembaruan keamanan.

Sumber: Google Chrome releases

Apple, Google, dan Microsoft Akan Segera Menerapkan Masuk Tanpa Kata Sandi di Semua Platform Utama

by

Pada tanggal 5 Mei — Hari Kata Sandi Sedunia — kita mungkin telah selangkah lebih dekat dengan kata sandi yang sudah ketinggalan zaman.

Dalam upaya bersama, raksasa teknologi Apple, Google, dan Microsoft mengumumkan Kamis pagi bahwa mereka telah berkomitmen untuk membangun dukungan untuk masuk tanpa kata sandi di semua platform seluler, desktop, dan browser yang mereka kendalikan di tahun mendatang. Secara efektif, ini berarti bahwa otentikasi tanpa kata sandi akan datang ke semua platform perangkat utama dalam waktu yang tidak terlalu lama: sistem operasi seluler Android dan iOS; Browser Chrome, Edge, dan Safari; dan lingkungan desktop Windows dan macOS.

“Sama seperti kami mendesain produk kami agar intuitif dan mampu, kami juga mendesainnya untuk menjadi pribadi dan aman,” kata Kurt Knight, direktur senior pemasaran produk platform di Apple. “Bekerja dengan industri untuk membangun metode masuk baru yang lebih aman yang menawarkan perlindungan yang lebih baik dan menghilangkan kerentanan kata sandi adalah inti dari komitmen kami untuk membangun produk yang menawarkan keamanan maksimum dan pengalaman pengguna yang transparan — semua dengan tujuan menjaga pengguna ‘ informasi pribadi aman.”

Proses masuk tanpa kata sandi akan memungkinkan pengguna memilih ponsel mereka sebagai perangkat otentikasi utama untuk aplikasi, situs web, dan layanan digital lainnya, seperti yang dirinci Google dalam posting blog yang diterbitkan Kamis. Membuka kunci ponsel dengan apa pun yang ditetapkan sebagai tindakan default — memasukkan PIN, menggambar pola, atau menggunakan buka kunci sidik jari — akan cukup untuk masuk ke layanan web tanpa perlu memasukkan kata sandi, yang dimungkinkan melalui penggunaan token kriptografi unik yang disebut kunci sandi yang dibagikan antara ponsel dan situs web.

Dengan membuat login bergantung pada perangkat fisik, idenya adalah bahwa pengguna secara bersamaan akan mendapatkan keuntungan dari kesederhanaan dan keamanan. Tanpa kata sandi, tidak ada kewajiban untuk mengingat detail login di seluruh layanan atau membahayakan keamanan dengan menggunakan kembali kata sandi yang sama di banyak tempat. Sama halnya, sistem tanpa kata sandi akan mempersulit peretas untuk mengkompromikan detail login dari jarak jauh karena proses masuk memerlukan akses ke perangkat fisik; dan, secara teoritis, serangan phishing di mana pengguna diarahkan ke situs web palsu untuk menangkap kata sandi akan jauh lebih sulit untuk dipasang.

Vasu Jakkal, wakil presiden Microsoft untuk keamanan, kepatuhan, identitas, dan privasi, menekankan tingkat kompatibilitas di seluruh platform. “Dengan kunci sandi di perangkat seluler Anda, Anda dapat masuk ke aplikasi atau layanan di hampir semua perangkat, terlepas dari platform atau browser yang digunakan perangkat tersebut,” kata Jakkal dalam pernyataan melalui email. “Misalnya, pengguna dapat masuk ke browser Google Chrome yang berjalan di Microsoft Windows—menggunakan kunci sandi di perangkat Apple.”

Fungsionalitas lintas platform dimungkinkan oleh standar yang disebut FIDO, yang menggunakan prinsip-prinsip kriptografi kunci publik untuk mengaktifkan otentikasi tanpa kata sandi dan otentikasi multi-faktor dalam berbagai konteks. Ponsel pengguna dapat menyimpan kunci sandi unik yang sesuai dengan FIDO dan akan membagikannya dengan situs web untuk autentikasi hanya saat ponsel tidak terkunci. Per pos Google, kunci sandi juga dapat dengan mudah disinkronkan ke perangkat baru dari cadangan cloud jika ponsel hilang.

Sejauh ini, Apple, Google, dan Microsoft semuanya mengatakan bahwa mereka mengharapkan kemampuan masuk baru tersedia di seluruh platform di tahun depan, meskipun peta jalan yang lebih spesifik belum diumumkan. Meskipun plot untuk membunuh kata sandi telah berlangsung selama bertahun-tahun, ada tanda-tanda bahwa kali ini mungkin akhirnya berhasil.

Sumber: The Verge