Otentikasi dua faktor tidak se-aman yang Anda harapkan

March 9, 2020 0 comments

Anda mungkin pernah mendengar saran keamanan ini: lindungi akun Anda dengan menggunakan otentikasi dua faktor (two-factor authentication). Anda akan menyulitkan para hacker, demikian alasannya, jika Anda memasangkan kata sandi dengan kode yang dikirim melalui pesan teks atau dihasilkan oleh aplikasi seperti Google Authenticator.

Inilah masalahnya: Ia dapat dengan mudah di by-pass. Anda bisa tanya Chief Executive Twitter Jack Dorsey. Hacker memperoleh akses ke akun Twitter Dorsey menggunakan serangan pertukaran SIM card handphone dengan cara membodohi operator untuk mengalihkan layanan seluler ke telepon baru.

Bank, jejaring sosial, dan layanan online lainnya mulai menggunakan otentikasi dua faktor untuk membendung arus peretasan dan pencurian data. Lebih dari 555 juta kata sandi telah diekspos melalui pelanggaran data. Bahkan jika milik Anda tidak ada dalam daftar, fakta bahwa begitu banyak dari kita menggunakan kata sandi yang pernah terpakai – bahkan yang diduga peretas sendiri – berarti Anda cenderung lebih rentan daripada yang Anda kira.

Jangan salah sangka. Otentikasi dua faktor sangat membantu. Ini merupakan bagian penting dari pendekatan yang lebih luas yang disebut autentikasi multifaktor yang membuat proses masuk lebih mudah, tetapi juga membuatnya jauh lebih aman. Seperti namanya, teknik ini mengandalkan penggabungan beberapa faktor yang mewujudkan kualitas yang berbeda. Misalnya, kata sandi adalah sesuatu yang Anda ketahui dan kunci keamanan adalah sesuatu yang Anda miliki. Pemindaian sidik jari atau wajah merupakan bagian dari fisik diri Anda.

Intersepsi kode otentikasi

Otentikasi dua faktor berbasis kode, biar bagaimanapun, tidak meningkatkan keamanan sebanyak yang Anda harapkan. Itu karena kode tersebut hanya sesuatu yang Anda tahu, seperti kata sandi Anda, bahkan jika itu memiliki umur simpan pendek. Jika itu ditembus, begitu juga keamanan Anda.

Peretas dapat membuat situs web palsu untuk mencegat informasi Anda, misalnya menggunakan perangkat lunak yang disebut Modlishka, yang ditulis oleh peneliti keamanan yang ingin menunjukkan seberapa seriusnya situs web rentan diserang. Ini mengotomatiskan proses peretasan, tetapi tidak ada yang menghentikan penyerang dari menulis atau menggunakan alat lain.

Begini cara serangan bekerja. Email atau pesan teks memancing Anda ke situs web palsu, yang dapat dicopy bentuk web nya oleh peretas secara otomatis dari sumber asli untuk membuat tipuan yang meyakinkan. Di sana, Anda mengetik data login dan kode yang Anda dapatkan melalui SMS atau aplikasi autentikator. Peretas kemudian memasukkan detail itu ke situs web asli untuk mendapatkan akses ke akun Anda.

Serangan ke SIM card anda

Lalu ada serangan swap SIM yang sudah menghasilkan korban, yaitu Dorsey dari Twitter. Seorang peretas meniru Anda, meyakinkan karyawan di perusahaan penerbangan seperti Verizon atau AT&T untuk mengalihkan layanan telepon Anda ke telepon peretas. Setiap telepon memiliki chip – modul identitas pelanggan, atau SIM – yang mengidentifikasinya ke jaringan. Dengan memindahkan akun Anda ke kartu SIM peretas, peretas dapat membaca pesan Anda, termasuk semua kode otentikasi Anda yang dikirim melalui SMS.

Jangan buang otentikasi dua faktor hanya karena itu tidak sempurna. Ini masih jauh lebih baik daripada kata sandi saja dan lebih tahan terhadap upaya peretasan skala besar. Tapi jelas pertimbangkan perlindungan yang lebih kuat, seperti kunci keamanan perangkat keras, untuk akun sensitif. Facebook, Google, Twitter, Dropbox, GitHub, Microsoft dan lainnya mendukung teknologi itu hari ini.

Related security Articles

Similar Posts From security Category

No Comments so far

Jump into a conversation

No Comments Yet!

You can be the one to start a conversation.

Your data will be safe!Your e-mail address will not be published. Also other data will not be shared with third person.