Blog AWS Indonesia

Mengapa Perusahaan Startup Tahap Awal Perlu Menggunakan Autentikasi Multi-faktor

Setiap startup itu unik – tidak ada hal universal yang cocok untuk setiap perusahaan. Tetapi apa pun sifat bisnis Anda, keamanan selalu menjadi yang terpenting dan harus menjadi salah satu hal pertama yang Anda tangani. Lagipula, untuk sebagian besar perusahaan startup, aset Anda yang paling berharga adalah data Anda — ide, workloads, dan aplikasi Anda — dan Anda perlu melindunginya. Kami sering mengatakan kepada perusahaan startup untuk melakukan banyak kesalahan, hanya saja jangan yang fatal. Intrusi keamanan adalah salah satu yang berakibat fatal.

Meskipun tidak ada cara yang dijamin 100% untuk melindungi data Anda, satu hal yang wajib Anda lakukan adalah menggunakan Multi-Factor Authentication (MFA) untuk melindungi akun Anda. MFA adalah metode autentikasi yang mengharuskan pengguna untuk menyediakan dua atau lebih faktor verifikasi untuk mendapatkan akses ke resource. Perusahaan startup terkadang bergerak sangat cepat sehingga mereka tidak meluangkan waktu untuk melakukan konfigurasi MFA, tetapi kami sangat menyarankan untuk mengkonfigurasi MFA untuk melindungi resource AWS jika Anda belum melakukannya.

Risiko TIDAK mengkonfigurasi MFA

  • Vulnerability: Satu password tidak cukup, terlepas dari seberapa rumitnya itu. Hacker memiliki cara untuk memecahkan password.
  • Non-compliance: MFA mungkin merupakan komponen standar compliance yang diwajibkan.
  • Reputasi bisnis Anda: Anda tentu tidak ingin menjawab pertanyaan dari pelanggan Anda tentang mengapa Anda tidak memiliki protokol keamanan yang memadai untuk melindungi bisnis Anda dan data pribadi mereka.

MFA di AWS

MFA memberikan lapisan keamanan ekstra, karena mengharuskan pengguna untuk memberikan autentikasi unik selain kredensial sign-in mereka pada umumnya (username dan password) ketika mereka mengakses website AWS dan layanannya, dan memaksa pengguna untuk tidak membagikan password. Pelanggan dapat mengaktifkan MFA untuk pengguna root akun AWS dan pengguna IAM mereka. Saat Anda mengaktifkan MFA untuk pengguna root, itu hanya mempengaruhi kredensial pengguna root. Pengguna IAM di akun adalah identitas yang berbeda dengan kredensial mereka sendiri, dan setiap identitas memiliki konfigurasi MFA sendiri.

Jenis MFA

AWS mendukung tiga jenis perangkat MFA: perangkat MFA virtual, security key U2F, dan hardware MFA. Perangkat MFA virtual adalah aplikasi berbasis perangkat lunak, biasanya berjalan pada perangkat seluler, yang menghasilkan kode autentikasi satu kali yang aman yang digunakan sebagai bagian dari proses masuk. Security key U2F dan hardware MFA adalah perangkat fisik yang diperlukan untuk mendapatkan akses ke akun tempat mereka dilampirkan. Perangkat fisik ini dianggap sebagai opsi paling aman untuk MFA, dan dapat disimpan di brankas atau kotak kunci untuk keamanan tambahan. Meskipun perangkat MFA virtual mungkin lebih nyaman karena dapat berjalan di ponsel dan merupakan pilihan yang baik dalam banyak skenario, jenis ini kurang aman daripada perangkat fisik. Paling tidak, kami menyarankan Anda menggunakan perangkat MFA virtual sambil menunggu persetujuan pembelian perangkat keras atau sambil menunggu perangkat keras Anda tiba.

Anda juga dapat berkonsultasi dengan panduan pengguna AWS Identity and Access Management untuk informasi lebih lanjut tentang penggunaan MFA.

Karena MFA sangat penting, AWS juga akan menyediakan perangkat MFA tanpa biaya kepada pemegang akun yang memenuhi syarat. Anda akan dapat menggunakan perangkat MFA tersebut untuk mengakses akun AWS dengan aman, serta aplikasi berbasis token lainnya. Anda dapat membaca lebih lanjut tentang inisiatif keamanan kami di sini.

Silahkan mencoba sendiri

Jika Anda telah mengkonfigurasi autentikasi multifaktor di seluruh perusahaan startup Anda, selamat, Anda berada di posisi lebih depan! Namun, jika masih belum, sekaranglah waktunya untuk melakukan konfigurasi MFA.

Dengan mengikuti langkah-langkah ini, Anda dapat mengatur MFA hanya dalam beberapa menit.

Pertama, sign-in ke AWS Management Console dan buka konsol IAM. Pilih salah satu user, lalu pilih tab Security credentials. Klik tombol Manage di samping Assigned MFA device.

Di wizard Manage MFA Device, pilih jenis perangkat multi-faktor. Dalam contoh ini kami akan menunjukkan kepada Anda cara mengkonfigurasi perangkat MFA virtual. Anda dapat menginstall aplikasi mobile yang sesuai dengan RFC 6238, berdasarkan algoritma TOTP (time-based one-time password) standar, seperti Authy, Duo Mobile, dan LastPass Authenticator. Aplikasi ini menghasilkan kode autentikasi enam digit.

Klik Continue, dan pada halaman berikutnya IAM akan menghasilkan dan menampilkan informasi konfigurasi untuk perangkat MFA virtual, termasuk gambar kode QR. Gambar tersebut adalah representasi dari “secret configuration key” yang tersedia untuk dimasukkan secara manual pada perangkat yang tidak mendukung kode QR.

Tentukan apakah aplikasi MFA mendukung kode QR, lalu lakukan salah satu dari hal berikut:

  1. Dari wizard, pilih Show QR code, lalu gunakan aplikasi untuk memindai kode QR. Misalnya, Anda dapat memilih ikon kamera atau memilih opsi untuk melakukan scanning kode, lalu menggunakan kamera perangkat untuk scanning kode.
  2. Pilih Show secret key, lalu ketik secret key ke dalam aplikasi MFA Anda.

Ketika Anda selesai, perangkat MFA virtual mulai menghasilkan one-time password. Di wizard Manage MFA Device, dalam kotak MFA code 1, ketik one-time password yang muncul di perangkat MFA virtual pada saat tersebut. Anda kemudian harus menunggu hingga 30 detik agar perangkat menghasilkan one-time password yang baru. Ketik one-time password berurutan kedua ke dalam kotak MFA code 2. Klik Assign MFA.

Anda sudah siap! Anda dapat melihat informasi perangkat MFA yang ditetapkan di bawah tab user Security credentials. Jika Anda menggunakan kunci keamanan U2F atau hardware MFA, pengaturannya akan sangat mirip. Anda mendapatkan kode dari kunci keamanan atau hardware, bukan dari aplikasi mobile. Lain kali, ketika Anda sign-in, Anda akan menggunakan kredensial Anda seperti biasa serta password MFA. Semuanya akan terus bekerja seperti sebelumnya. Ini adalah langkah sederhana dan penting untuk melindungi akun Anda.

Lebih lanjut, penting untuk menerapkan langkah-langkah ini di platform Anda yang lain serta dalam kehidupan pribadi Anda — lagipula, jika hacker dapat memperoleh akses ke resource digital Anda sendiri, itu dapat memberikan pintu gerbang untuk mengeksploitasi resource perusahaan Anda. Perusahaan startup sangat rentan di sini, karena pada tahap awal, aset pribadi dan perusahaan sering tumpang tindih satu sama lain dengan cara yang dapat dimengerti dan tidak terduga.

Bagi perusahaan startup, berfokus pada keamanan seringkali dapat dilihat sebagai penghambat. Tetapi menyiapkan MFA adalah langkah penting dalam pertumbuhan perusahaan Anda — langkah yang akan melindungi aset Anda yang paling berharga dan menyiapkan Anda untuk kesuksesan yang berkelanjutan.

Artikel ini diterjemahkan dari artikel “Why Early Stage Startups Need to Use Multi-factor Authentication” yang ditulis oleh Xuan Gao, Solutions Architect.

Felix Ricky

Felix Ricky

Felix Ricky adalah seorang Senior Solution Architect di AWS dengan keahlian khusus dalam storage system. Dia memiliki pengalaman selama 17 tahun di industri IT dan memiliki semangat yang kuat untuk transformasi digital perusahaan serta storage system. Di waktu luangnya, dia senang untuk mengikuti perkembangan teknologi terbaru di ranah cloud computing.