Microsoft Sarankan Pengguna Tinggalkan Autentikasi Kode OTP, Ada Apa?
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Microsoft, raksasa perusahaan perangkat lunak AS, menyarankan agar pengguna untuk tidak lagi memakai autentikasi multi faktor (MFA) berbasis telepon, seperti one-time password (OTP) dan panggilan suara.
Sebagai gantinya, Microsoft menyarankan agar pengguna menggunakan teknologi MFA terbaru, seperti autentikasi berbasis aplikasi dan perangkat kunci keamanan (security keys), demikian seperti dikutip dari ZDNet, portal berita cybersecurity, Kamis (12 November 2020).
Anjuran itu disampaikan oleh Director of Identity Security Microsoft, Alex Weinert. Selama setahun terakhir, Weinert mengampanyekan pengguna untuk mengaktifkan MFA untuk akun-akun daringnya.
Mengutip statistik internal Microsoft, Weinert mengatakan dalam sebuah unggahan di blog perusahaan pada tahun lalu, pengguna yang mengaktifkan MFA bisa mencegah hampir 99,9 persen serangan otomatis terhadap akun Microsoftnya.
Namun, di unggahan terbarunya, Weinert mengatakan, jika pengguna harus memilih di antara beberapa solusi MFA, pengguna lebih baik menghindari MFA berbasis telepon.
Weinert mengatakan, baik MFA berbasis SMS dan panggilan suara dikirimkan dalam teks jelas dan dapat dengan mudah dicegat oleh peretas; bisa saja mereka menggunakan teknik dan alat sadap, FEMTO celss, atau layanan intersepsi SS7.
Selain itu, kata dia, kode OTP dapat di-phishing melalui sumber terbuka dan alat phishing yang tersedia, seperti Modlishka, CredSniper, atau Evilginx.
Apalagi, tren belakangan yang muncul adalah, penyerang dapat melakukan pertukaran kartu SIM (SIM Swap). Teknik ini memungkinkan segala pesan atau panggilan masuk diarahkan ke kartu seluler baru milik korban yang telah diambil alih oleh penyerang.
“Semua ini membuat SMS dan MFA berbasis panggilan "yang paling tidak aman dari metode MFA yang tersedia saat ini," kata Weinert.
Weinert mengatakan pengguna harus mengaktifkan mekanisme MFA yang lebih kuat untuk akun daring mereka. Namun, jika pengguna menginginkan yang terbaik, mereka harus menggunakan kunci keamanan perangkat keras.
Meski saran Weinert bagus, dan agak berbau “promosi terselubung”—Microsoft memiliki layanan MFA berbasis aplikasi: Microsoft Authenticator, bukan berarti MFA berbasis SMS atau panggilan telepon buruk juga. MFA berupa kode OTP masih lebih baik ketimbang Anda ada sama sekali tidak memakai proteksi tambahan untuk akun daring Anda.[]
