Shopping cart

Magazines cover a wide array subjects, including but not limited to fashion, lifestyle, health, politics, business, Entertainment, sports, science,

TnewsTnews
  • Home
  • Cyber News and Update
  • Menguak Windows Hello Tanpa Sidik Jari: Pelajaran dari DEF CON 32 tentang Penyalahgunaan Teknologi Autentikasi
Cyber News and Update

Menguak Windows Hello Tanpa Sidik Jari: Pelajaran dari DEF CON 32 tentang Penyalahgunaan Teknologi Autentikasi

By - Fuad November 12, 2024 Comments (0) 4 Mins Read
Menguak Windows Hello Tanpa Sidik Jari: Pelajaran dari DEF CON 32 tentang Penyalahgunaan Teknologi Autentikasi
1

Teknologi keamanan siber terus berkembang, begitu juga tantangan keamanannya. Di konferensi DEF CON 32, dua pakar keamanan siber, Ceri Coburn dan Dirk-Jan Mollema, mengungkap cara-cara penyalahgunaan Windows Hello, sebuah teknologi autentikasi tanpa kata sandi dari Microsoft, tanpa perlu akses biometrik langsung seperti sidik jari atau pemindaian wajah. Artikel ini membahas langkah demi langkah dari teknik yang mereka perkenalkan dan menyajikan wawasan penting untuk Anda yang ingin memahami keamanan autentikasi digital lebih dalam.

Apa Itu Windows Hello?

Windows Hello adalah teknologi autentikasi tanpa kata sandi dari Microsoft, yang memungkinkan pengguna untuk masuk menggunakan biometrik seperti sidik jari, pengenalan wajah, atau PIN. Namun, di balik kemudahannya, ada beberapa kerentanan yang bisa dimanfaatkan jika seseorang memiliki akses level sistem.

Langkah-langkah Penyalahgunaan Windows Hello

  1. Memahami Penyimpanan Kunci (Key Storage Provider)
    • Windows Hello menggunakan Key Storage Providers (KSP) untuk mengelola operasi kriptografi. Pada tingkat sistem, ada beberapa jenis KSP, seperti Software Key Storage Provider dan Platform Key Storage Provider. Namun, yang utama dalam Windows Hello adalah Passport Key Storage Provider.
    • KSP ini bertindak sebagai proxy untuk layanan kriptografi dan mengelola data autentikasi pengguna dalam bentuk kontainer.
  2. Struktur Data Windows Hello
    • Setiap pengguna memiliki container khusus dengan data otentikasi. Di dalamnya, ada protectors seperti biometrik atau PIN yang mengenkripsi data penting. Coburn menjelaskan bagaimana dengan mengakses data ini, pengguna bisa mendekripsi kunci tanpa perlu memasukkan biometrik.
  3. Jenis Penyalahgunaan: PIN dan Biometrik
    • Untuk PIN, ketika PIN pengguna dienkripsi dengan KSP berbasis perangkat lunak, ini bisa diretas lebih mudah dibandingkan yang berbasis TPM (Trusted Platform Module). Misalnya, PIN empat digit bisa dipecahkan dalam waktu sekitar 70 hari menggunakan metode brute-force, namun jika berbasis perangkat lunak, bisa lebih cepat.
    • Untuk biometrik, ternyata data biometrik ini tidak benar-benar dilindungi oleh biometrik pengguna melainkan oleh kunci DPAPI sistem. Artinya, jika penyerang memiliki akses sistem, biometrik dapat dengan mudah dilewati.
  4. Recovery Protector: Mengambil Kembali PIN
    • Recovery protector adalah fitur Windows Hello for Business untuk membantu pengguna mereset PIN tanpa menghancurkan kunci autentikasi yang ada. Namun, dengan pengetahuan dan alat yang tepat, ini dapat dimanfaatkan untuk memulihkan PIN dan mengakses data secara tidak sah.
  5. Menggunakan Alat ‘Shamai’
    • Coburn merilis alat bernama Shamai, yang membantu untuk mengidentifikasi kunci Windows Hello di perangkat yang disusupi. Dengan alat ini, penyerang bisa melihat kunci yang tersimpan, mengakses data penting, dan bahkan mengautentikasi ke layanan tanpa autentikasi pengguna asli.

Potensi Ancaman: “Golden Assertion” dan Penggunaan Token

Dirk-Jan menjelaskan konsep Golden Assertion, yaitu penggunaan token untuk mengautentikasi pengguna di berbagai perangkat tanpa pembatasan waktu. Token ini memungkinkan seorang penyerang mendapatkan akses hingga 90 hari tanpa perlu autentikasi ulang. Selain itu, metode ini bahkan bisa melewati kebijakan otentikasi multifaktor (MFA) karena dianggap sah.

Langkah-langkah Pencegahan

  1. Gunakan TPM untuk Proteksi Tambahan
    • Pastikan perangkat memiliki TPM untuk menghindari penyalahgunaan kunci Windows Hello berbasis perangkat lunak. TPM membuat kunci hanya bisa diakses pada perangkat yang sama.
  2. Pantau Aktivitas Perangkat
    • Pantau registrasi perangkat baru dalam jaringan atau akses yang tidak biasa ke metadata file Windows Hello. Ini bisa jadi indikator adanya penyalahgunaan akses.
  3. Batasi RDP ke Perangkat Tanpa TPM
    • Jangan gunakan Remote Desktop Protocol (RDP) pada perangkat tanpa TPM. Ini karena, tanpa TPM, sesi RDP bisa berisiko diretas dan token yang dihasilkan menjadi rentan.
  4. Penerapan Windows Hello ESS (Enhanced Sign-in Security)
    • Windows Hello ESS adalah teknologi keamanan baru yang secara signifikan memperkuat sistem proteksi autentikasi. ESS hanya tersedia pada perangkat dengan secure core dan telah didukung dengan TPM yang lebih canggih.

Belajar dari teknik ini mengingatkan kita betapa pentingnya pemahaman dan pemantauan keamanan autentikasi. Windows Hello mungkin menawarkan kenyamanan, tetapi tanpa langkah pengamanan yang tepat, sistem ini masih memiliki celah yang dapat dimanfaatkan oleh pihak yang tidak bertanggung jawab. Bagi Anda yang bekerja atau belajar dalam bidang teknologi siber, pemahaman seperti ini sangat penting untuk mengamankan data dan akses sistem.

Dengan perkembangan kejahatan siber, tetaplah belajar dan waspada. Setiap teknologi baru membawa peluang, namun juga risiko yang harus kita pahami. Teruslah mengembangkan pengetahuan Anda agar dapat melindungi dan membuat dunia digital menjadi lebih aman.

 

Comments are closed

Related Posts

Studi Kasus: Insiden Keamanan Siber Bank DKI — Dua Tahun, Dua Kebocoran, Satu Pelajaran BesarApplication Security

Studi Kasus: Insiden Keamanan Siber Bank

BY-Fuad May 20, 2026
Menembus Batas Fisik: Kerentanan Robotika, Serangan Man-in-the-Middle pada Raven 2, dan Ancaman Spionase FontennaDEF CON

Menembus Batas Fisik: Kerentanan Robotika, Serangan

BY-Fuad May 16, 2026
Operasi Balik Stuxnet: Ketika Iran Membangun Senjata SiberCyber News and Update

Operasi Balik Stuxnet: Ketika Iran Membangun

BY-Fuad April 28, 2026
Memahami Dark Web: Ekosistem, Cara Kerja, dan Bagaimana Profesional Memantaunya Secara LegalBig Data Security

Memahami Dark Web: Ekosistem, Cara Kerja,

BY-Fuad April 28, 2026
Ketika Institusi Paling “Rahasia” Jadi BeritaCase Studies

Ketika Institusi Paling “Rahasia” Jadi Berita

BY-Fuad April 28, 2026
Anatomi Kegagalan OTP: Mengapa Account Takeover (ATO) Tetap Merajalela di Tahun 2026?Application Security

Anatomi Kegagalan OTP: Mengapa Account Takeover

BY-Fuad February 16, 2026