Kenapa Harus Tinggalkan Verifikasi Dua Langkah via SMS
Ilustrasi
Cyberthreat.id - Pandemi virus Corona telah menyebabkan meningkatnya aksi para hacker dan scammer yang memangsa ketakutan orang-orang selama masa-masa krisis yang bergejolak ini. Mulai dari kejahatan penukaran SIM (SIM Swapping) hingga phishing yang berupa social engineering di tengah social/physical distancing.
Jika pengguna menggunakan otentikasi dua faktor (2FA), maka mereka masih akan lebih bijaksana untuk menggunakan APLIKASI otentikasi daripada menerima kode melalui SMS. Menggunakan aplikasi otentikasi adalah win-win solution. Tidak saja lebih aman daripada mengirimkan kode kepada Anda, tetapi juga membuat proses login lebih cepat.
Apa itu 2FA?
Otentikasi dua faktor (2FA) - juga dikenal sebagai verifikasi dua langkah atau autentikasi multifaktor berguna untuk menambah lapisan keamanan ke akun online Anda. Mulai dari akun Amazon, Apple dan Google ke Facebook, Instagram dan Twitter hingga Gojek dan Grab atau Bukalapak.
Pengguna harus memasukkan password - itu faktor verifikasi pertama - kemudian kode yang dikirim melalui SMS atau konfirmasi melalui APLIKASI otentikasi - itu faktor kedua.
"Ini berarti seorang hacker perlu mencuri password dan ponsel milik pengguna untuk masuk ke akun korban," tulis CNET, Rabu (8 April 2020).
Kenapa harus pindah dari SMS?
Menerima kode 2FA melalui SMS kurang aman daripada menggunakan aplikasi otentikasi. Hacker dapat menipu operator telekomunikasi untuk mem-porting nomor telepon ke perangkat baru dalam suatu modus yang disebut SIM Swapping.
Kebocoran data yang terjadi dari waktu ke waktu di berbagai platform dan bank-bank, perusahaan komersial dan lainnya membuat orang dengan mudah mendapatkan password, nomor telepon, nomor jaminan sosial, atau data sensitif lainnya. Jika seorang hacker mampu mengalihkan nomor telepon seseorang, mereka tidak lagi membutuhkan telepon fisik korban untuk mendapatkan akses ke kode 2FA.
Termasuk, jika Anda menyinkronkan pesan SMS dengan laptop atau tablet, maka hacker dapat memperoleh akses ke kode SMS dari perangkat milik korban tersebut.
Lalu ada kelemahan dalam sistem telekomunikasi seluler itu sendiri yang disebut serangan SS7, seorang hacker dapat memata-matai melalui sistem ponsel, mendengarkan panggilan, memotong pesan teks, dan melihat lokasi ponsel Anda.
"Semua skenario di atas adalah berita buruk bagi mereka yang menerima kode 2FA melalui SMS."
Apa yang harus digunakan?
Aplikasi otentikasi seperti Google Authenticator, Microsoft Authenticator atau Authy memiliki keuntungan keamanan bagi pengguna karena tidak perlu bergantung pada operator. Kode tetap saja dengan aplikasi. Bahkan jika seorang hacker berhasil memindahkan nomor anda ke telepon baru.
Dan kode berakhir dengan cepat, biasanya setelah 30 detik atau lebih. Selain lebih aman daripada SMS, aplikasi otentikasi lebih cepat; Anda hanya perlu mengetuk tombol untuk memverifikasi identitas Anda alih-alih memasukkan kode enam digit secara manual.
Jika Anda memiliki ponsel Android atau iPhone dengan Google Search atau aplikasi Gmail, Anda dapat mengatur Google prompt untuk menerima kode tanpa memerlukan aplikasi otentikasi terpisah. Anda akan menerima permintaan 2FA sebagai pemberitahuan push di ponsel yang membutuhkan ketukan sederhana untuk menyetujui.
Apakah perlu 2FA jika SMS sangat rentan?
Iya! Selain membuat password yang kuat dan menggunakan password yang berbeda untuk setiap akun, menyiapkan 2FA adalah langkah terbaik yang dapat dilakukan untuk mengamankan akun online.
Bahkan, jika Anda bersikeras untuk menerima kode melalui SMS. Verifikasi dua langkah (2FA) via SMS tetap saja jauh lebih baik daripada verifikasi satu langkah di mana peretas hanya perlu mendapatkan atau menebak password saja untuk mendapatkan akses ke data korban.
2FA merepotkan?
Ini tidak pantas dijadikan pertanyaan. Prinsipnya, korban yang diretas jauh lebih merepotkan ketimbang menerapkan keamanan dengan baik dan lebih aman.
Tidak akan merepotkan jika prinsip keamanan dilakukan dengan benar dan Anda menerima kode melalui Google prompt atau aplikasi otentikasi di mana Anda tidak perlu memasukkan kode enam digit.
Tentu saja proses ini memaksa Anda tidak malas untuk meraih dan mengetuk ponsel setelah memasukkan password guna masuk ke salah satu akun online anda. Anda harus tahu bagaimana rasanya diretas. Perpaduan antara rasa marah, rasa sakit, rasa kehilangan, rasa kebingungan, dan ingin menangis.
