banner large

Seberapa Aman Otentikasi Dua Faktor Tepatnya? – Tinjau Geek

Comment
X
Share
Ponsel di sebelah tablet yang meminta kode 2FA
BestForBest/Shutterstock.com

Otentikasi dua faktor (2FA) menjadi wajib di banyak situs web, dan mudah untuk mengetahui alasannya. Di muka itu, mengharuskan Anda untuk mengkonfirmasi login Anda melalui SMS atau aplikasi memberikan lapisan keamanan kedua yang solid. Tapi seberapa kuat itu?

Dengan meningkatnya ancaman keamanan, dan orang-orang yang kehilangan lebih dari sebelumnya, wajar saja jika Anda ingin melindungi diri Anda sebanyak mungkin. Meskipun akun media sosial yang diretas mungkin mengganggu, ada konsekuensi yang jauh lebih serius dari lemahnya keamanan siber. Peretas dapat mengakses rekening bank Anda dan menguras tabungan Anda, file dan gambar sensitif dapat dicuri, dan Anda bahkan dapat meretas akun kerja dan mendarat di air panas dengan bos Anda.

Istilah “otentikasi dua faktor” mengacu pada langkah kedua untuk mengonfirmasi siapa Anda. Lapisan perlindungan tambahan akan, secara default, memberikan keamanan lebih dari satu penghalang. Namun, ada lebih dari satu metode 2FA; semua metode menawarkan tingkat keamanan yang berbeda, dan beberapa lebih populer daripada yang lain. Jadi, dapatkah 2FA membuat akun sensitif Anda kebal terhadap peretas? Atau hanya usaha yang sia-sia? Mari kita cari tahu.

SMS Tidak Aman Seperti Kelihatannya

Sebuah laptiio menampilkan permintaan reset kode 2FA
KT Stok foto/Shutterstock.com

Bentuk 2FA yang paling umum adalah berbasis SMS. Bank, akun media sosial, atau penyedia email Anda mengirimi Anda pesan teks dengan kode, yang Anda masukkan dalam jangka waktu tertentu. Ini memberi Anda akses ke akun dan menjaga login Anda tetap aman dari siapa pun yang tidak memiliki ponsel Anda. Di muka itu, ini adalah metode yang paling aman. Seseorang perlu mencuri ponsel Anda atau merancang beberapa cara rumit seperti James Bond untuk mengkloning kartu SIM Anda untuk menyiasatinya, bukan? Salah.

Tahun lalu Vice mengklaim seorang peretas dapat menggunakan kelemahan dalam sistem SMS untuk membajak nomor Anda dan mengalihkan pesan SMS Anda hanya dengan $16. Ada juga metode yang semakin canggih yang dapat digunakan seseorang untuk mengakses pesan Anda. Yang paling sederhana melibatkan hanya menelepon perusahaan telepon Anda yang mengaku sebagai Anda, mengatakan telepon Anda hilang, dan meminta perusahaan untuk mengganti nomor Anda ke kartu sim lain. Yang lebih kompleks melibatkan menyerang perusahaan secara langsung dan mencegat pesan.

Adapun bagaimana mereka mendapatkan detail pribadi dan nomor telepon Anda? Mereka dapat melakukan beberapa transaksi gelap dan membeli informasi pribadi tentang Anda dan berbagai aktivitas online Anda melalui web gelap. Atau mereka dapat memeriksa Facebook Anda untuk detail seperti tanggal lahir, nomor telepon, sekolah yang Anda ikuti, dan nama gadis ibu Anda. Anda mungkin tahu persis informasi apa yang Anda masukkan secara online, tetapi banyak orang tidak.

Paling tidak, adalah mungkin untuk melindungi diri Anda dari serangan sim-swapping atau disiagakan ketika itu terjadi. Tetapi Anda harus mempertimbangkan untuk mengadopsi metode 2FA yang berbeda jika memungkinkan.

2FA Berbasis Email Bisa Jadi Tidak Ada Gunanya

Otentikasi dua faktor harus menambahkan lapisan keamanan ekstra antara akun Anda dan potensi ancaman. Namun, jika Anda malas, yang Anda lakukan hanyalah menambahkan langkah ekstra dan berpotensi membuat penjahat internet tertawa. Jika Anda adalah tipe orang yang menggunakan kata sandi yang sama untuk semuanya dan akun email mereka digunakan untuk mengamankan akun target mereka, Anda mungkin berada dalam banyak masalah. Seorang peretas dapat masuk ke alamat email itu menggunakan detail yang sama yang telah dia curi dan mengautentikasi tindakannya.

Jika Anda bersikeras menggunakan 2FA berbasis email, Anda harus membuat akun email terpisah murni untuk tujuan otentikasi dengan kata sandinya yang unik dan sulit diretas. Atau, gunakan metode lain karena semuanya lebih aman.

Berbasis Push Bisa Mengecewakan Anda

Seorang pria masuk ke situs dengan 2FA
tsingha25/Shutterstock.com

Otentikasi berbasis push bisa cepat, mudah, dan aman. Perangkat, yang dapat berupa ponsel cerdas Anda, ditautkan dengan akun Anda dan terdaftar sebagai metode 2FA pilihan Anda. Mulai saat ini, kapan pun Anda ingin masuk, Anda akan menerima pemberitahuan push di perangkat itu. Buka kunci ponsel Anda, konfirmasikan bahwa ini Anda, dan Anda masuk. Kedengarannya sempurna, bukan?

Sayangnya, ada satu atau dua tangkapan. Masalah utama dengan metode berbasis push adalah perangkat Anda harus online agar Anda dapat menggunakannya. Jika Anda perlu mengakses akun dan ponsel Anda kesulitan mendapatkan sinyal, Anda kurang beruntung. Perlu ditunjukkan bahwa ini tidak menjadi masalah bagi saya dalam beberapa tahun saya menggunakannya. Jika saya perlu masuk, saya biasanya berada di suatu tempat dengan WiFi, yang dapat digunakan ponsel saya. Saya lebih mungkin berada di suatu tempat di mana saya tidak dapat menerima SMS daripada di suatu tempat di mana saya mencoba masuk dan tidak dapat menerima pemberitahuan push yang dikirim ke ponsel saya.

2FA Berbasis Perangkat Keras adalah Banyak Usaha

Bio YubiKey di Mac dan PC.
Yubico

Kunci otentikasi fisik hampir tidak dapat diretas seperti yang Anda dapatkan. Ini pada dasarnya adalah stik USB yang penuh dengan protokol dan kode keamanan yang Anda colokkan ke perangkat yang Anda masuki. Anda dapat menyimpannya di gantungan kunci dan membawanya kemana-mana, atau menyimpannya di tempat yang aman dan hanya mengeluarkannya saat Anda perlu masuk ke sesuatu yang membutuhkan lapisan keamanan ekstra. Bahaya utama dengan kunci fisik adalah kehilangan atau merusaknya, yang mungkin pernah Anda lakukan dengan stik USB di masa lalu.

Ada juga pilihan untuk menuliskan kata sandi otentikasi yang panjang dan rumit secara fisik. Ini adalah serangkaian angka dan karakter dan metode populer untuk mengamankan dompet cryptocurrency. Karena ini sulit untuk dipecahkan, FBI masuk ke sebuah rumah untuk menemukan selembar kertas berisi kata sandi 27 karakter, yang lebih mudah daripada membuatnya. Anda tidak dapat meretas sesuatu yang tertulis di selembar kertas dan disimpan di laci meja, dan superkomputer dapat memakan waktu bertahun-tahun untuk melewati kemungkinan kombinasi yang terlibat dalam enkripsi tingkat tinggi.

Tentu saja, jika itu ada di laci meja Anda, itu bukan milik Anda. Jika Anda membawanya, Anda dapat kehilangannya semudah Anda kehilangan USB 2FA. Dan ketika itu hilang, Anda harus melalui proses pemulihan akun yang terbaik atau kehilangan akses ke akun Anda yang terburuk. Metode fisik adalah hal terbaik yang dapat Anda lakukan dalam hal keamanan tetapi yang terburuk dalam hal kenyamanan. Anda dapat menggunakannya sebagai metode pemulihan akun yang kokoh, tetapi mungkin sebaiknya dihindari untuk hal-hal yang Anda akses dengan cepat.

2FA Berbasis Aplikasi Layak Direpotkan

Mengunduh aplikasi seperti Google Authenticator memiliki beberapa manfaat. Ini lebih aman daripada metode seperti otentikasi email dan SMS; itu gratis dalam banyak kasus dan masih berfungsi jika perangkat tidak memiliki koneksi internet. Ini karena algoritma berbasis waktu, yang menghasilkan kunci yang berbeda pada saat yang berbeda dalam waktu. Kunci hanya valid untuk jangka waktu tertentu dan harus cocok dengan perangkat dan situs yang digunakan pengguna untuk masuk.

Masih ada beberapa kerentanan. Dengan Google Authenticator, tidak ada kunci pada aplikasi itu sendiri, sehingga siapa pun yang dapat mengakses ponsel Anda dapat membuka dan menggunakannya. Beberapa program malware juga dapat memanfaatkan kurangnya kunci akses, jadi Anda harus mempertimbangkan alternatif seperti aplikasi Microsoft Authenticator, yang menambahkan lapisan keamanan ekstra ke proses otentikasi dengan fitur seperti buka kunci biometrik. Ini juga rentan terhadap serangan phishing, di mana Anda akan memasukkan kunci ke situs web palsu dan mengizinkan peretas atau robot yang bertindak cepat untuk menggunakannya. Mereka juga terbuka untuk intersepsi.

Anda Masih Harus Menggunakan 2FA

(Saya tahu ini murahan, dan gambar bukanlah kelebihan saya, tetapi ini tidak terasa benar tanpa mempertahankan kiasan “semua peretas memakai hoodies di kamar gelap”.)

Saya telah mengidentifikasi kekurangan dengan setiap metode yang disebutkan, dan lebih banyak lagi mungkin akan muncul seiring berjalannya waktu. Tetapi semakin banyak keamanan yang Anda miliki, semakin baik. Anda harus 100% menggunakan 2FA dan metode lain seperti pengelola kata sandi untuk mengamankan akun online Anda.

Ada keseimbangan antara keamanan dan kenyamanan, jadi temukan apa yang cocok untuk Anda. Mungkin metode berbasis perangkat keras berlebihan atau sesuatu yang Anda pasti akan kehilangan. SMS mungkin tidak seaman kelihatannya, tetapi masih diperlukan sedikit usaha untuk memecahkannya. Jika Anda hanya Joe biasa, Anda mungkin tidak akan layak untuk ditargetkan secara individual, dan otentikasi SMS adalah sesuatu yang akan meningkatkan keamanan online Anda secara besar-besaran.

Lihatlah hidup Anda, nilai apa yang harus Anda hilangkan, dan cari tahu seberapa banyak upaya yang ingin Anda lakukan. Tetapi pilihlah setidaknya satu metode 2FA (yang tidak berbasis email) dan pastikan Anda memiliki kata sandi yang berbeda untuk setiap akun yang Anda pedulikan.

Leave a Reply

Your email address will not be published. Required fields are marked *