Sistem otentikasi dua faktor ternyata tidak semudah kelihatannya. Penyerang sebenarnya tidak memerlukan token autentikasi fisik Anda jika mereka dapat mengelabui perusahaan telepon Anda atau layanan aman itu sendiri agar mengizinkan mereka masuk.
Otentikasi tambahan selalu membantu. Meskipun tidak ada yang menawarkan keamanan sempurna yang kita semua inginkan, menggunakan otentikasi dua faktor memberikan lebih banyak hambatan bagi penyerang yang menginginkan barang Anda.
Perusahaan Telepon Anda adalah Tautan Lemah
TERKAIT: Amankan Diri Anda dengan Menggunakan Verifikasi Dua Langkah di 16 Layanan Web Ini
Itu sistem otentikasi dua langkah di banyak situs web bekerja dengan mengirim pesan ke ponsel Anda melalui SMS ketika seseorang mencoba masuk. Meskipun Anda menggunakan aplikasi khusus di ponsel untuk membuat kode, ada kemungkinan besar layanan pilihan Anda menawarkan untuk memungkinkan orang masuk dengan mengirimkan kode SMS ke ponsel Anda. Atau, layanan memungkinkan Anda untuk menghapus perlindungan otentikasi dua faktor dari akun Anda setelah mengonfirmasi bahwa Anda memiliki akses ke nomor telepon yang Anda konfigurasikan sebagai nomor telepon pemulihan.
Ini semua terdengar bagus. Anda memiliki ponsel Anda, dan di dalamnya terdapat nomor telepon. Ini memiliki kartu SIM fisik di dalamnya yang mengikatnya ke nomor telepon itu dengan penyedia ponsel Anda. Semuanya tampak sangat fisik. Namun, sayangnya, nomor telepon Anda tidak seaman yang Anda kira.
Jika Anda pernah perlu memindahkan nomor telepon yang ada ke kartu SIM baru setelah kehilangan ponsel atau hanya mendapatkan yang baru, Anda akan tahu apa yang sering kali dapat Anda lakukan sepenuhnya melalui telepon - atau bahkan mungkin secara online. Yang harus dilakukan penyerang hanyalah menelepon departemen layanan pelanggan perusahaan telepon seluler Anda dan berpura-pura menjadi Anda. Mereka perlu mengetahui nomor telepon Anda dan mengetahui beberapa detail pribadi tentang Anda. Ini adalah jenis detail - misalnya, nomor kartu kredit, empat digit terakhir dari SSN, dan lainnya - yang sering bocor di database besar dan digunakan untuk pencurian identitas. Penyerang dapat mencoba memindahkan nomor telepon Anda ke teleponnya.
Ada cara yang lebih mudah. Atau, Misalnya, mereka dapat menyiapkan penerusan panggilan di perusahaan telepon sehingga panggilan suara yang masuk diteruskan ke telepon mereka dan tidak sampai ke telepon Anda.
Heck, penyerang mungkin tidak memerlukan akses ke nomor telepon lengkap Anda. Mereka dapat memperoleh akses ke pesan suara Anda, mencoba masuk ke situs web pada pukul 3 pagi, lalu mengambil kode verifikasi dari kotak surat suara Anda. Seberapa amankah sistem pesan suara perusahaan telepon Anda? Seberapa amankah PIN pesan suara Anda - apakah Anda sudah menyetelnya? Tidak semua orang punya! Dan, jika sudah, seberapa besar upaya yang diperlukan penyerang untuk menyetel ulang PIN pesan suara Anda dengan menghubungi perusahaan telepon Anda?
Dengan Nomor Telepon Anda, Semuanya Berakhir
TERKAIT: Bagaimana Mencegah Terkunci Saat Menggunakan Otentikasi Dua Faktor
Nomor telepon Anda menjadi tautan yang lemah, memungkinkan penyerang Anda untuk melakukannya hapus verifikasi dua langkah dari akun Anda - atau terima kode verifikasi dua langkah - melalui SMS atau panggilan suara. Saat Anda menyadari ada yang tidak beres, mereka dapat mengakses akun tersebut.
Ini adalah masalah praktis untuk setiap layanan. Layanan online tidak ingin orang kehilangan akses ke akun mereka, jadi mereka biasanya mengizinkan Anda untuk melewati dan menghapus autentikasi dua faktor tersebut dengan nomor telepon Anda. Ini membantu jika Anda harus menyetel ulang ponsel atau mendapatkan yang baru dan Anda kehilangan kode otentikasi dua faktor - tetapi Anda masih memiliki nomor telepon Anda.
Secara teoritis, seharusnya ada banyak perlindungan di sini. Pada kenyataannya, Anda berurusan dengan staf layanan pelanggan di penyedia layanan seluler. Sistem ini sering kali dibuat untuk efisiensi, dan karyawan layanan pelanggan mungkin mengabaikan beberapa perlindungan yang dihadapi pelanggan yang tampak marah, tidak sabar, dan memiliki informasi yang tampaknya cukup. Perusahaan telepon Anda dan departemen layanan pelanggannya adalah penghubung yang lemah dalam keamanan Anda.
Melindungi nomor telepon Anda itu sulit. Secara realistis, perusahaan telepon seluler harus memberikan lebih banyak pengamanan untuk mengurangi risiko ini. Pada kenyataannya, Anda mungkin ingin melakukan sesuatu sendiri daripada menunggu perusahaan besar memperbaiki prosedur layanan pelanggan mereka. Beberapa layanan mungkin memungkinkan Anda untuk menonaktifkan pemulihan atau mengatur ulang melalui nomor telepon dan memperingatkan terhadapnya sebanyak-banyaknya - tetapi, jika ini adalah sistem yang sangat penting, Anda mungkin ingin memilih prosedur pengaturan ulang yang lebih aman seperti kode pengaturan ulang yang dapat Anda kunci di brankas bank jika berjaga-jaga. Anda pernah membutuhkannya.
Prosedur Reset Lainnya
TERKAIT: Pertanyaan Keamanan Tidak Aman: Bagaimana Melindungi Akun Anda
Ini juga bukan hanya tentang nomor telepon Anda. Banyak layanan memungkinkan Anda menghapus autentikasi dua faktor tersebut dengan cara lain jika Anda mengklaim telah kehilangan kode dan perlu masuk. Selama Anda cukup mengetahui detail pribadi tentang akun tersebut, Anda mungkin bisa masuk.
Cobalah sendiri - buka layanan yang Anda amankan dengan autentikasi dua faktor dan anggaplah Anda kehilangan kodenya. Lihat apa yang diperlukan untuk masuk. Anda mungkin harus memberikan detail atau jawaban pribadi "pertanyaan keamanan" yang tidak aman dalam skenario kasus terburuk. Itu tergantung pada bagaimana layanan dikonfigurasi. Anda mungkin dapat menyetel ulang dengan mengirimkan tautan melalui email ke akun email lain, dalam hal ini akun email tersebut mungkin menjadi tautan yang lemah. Dalam situasi yang ideal, Anda mungkin hanya memerlukan akses ke nomor telepon atau kode pemulihan - dan, seperti yang telah kita lihat, bagian nomor telepon adalah tautan yang lemah.
Ada hal lain yang menakutkan: Ini bukan hanya tentang melewati verifikasi dua langkah. Penyerang dapat mencoba trik serupa untuk melewati kata sandi Anda sepenuhnya. Ini dapat berfungsi karena layanan online ingin memastikan orang-orang dapat memperoleh kembali akses ke akun mereka, meskipun mereka kehilangan sandi.
Misalnya, lihat file Pemulihan Akun Google sistem. Ini adalah opsi terakhir untuk memulihkan akun Anda. Jika Anda mengklaim tidak mengetahui sandi apa pun, pada akhirnya Anda akan dimintai informasi tentang akun Anda seperti saat Anda membuatnya dan siapa yang sering Anda kirimi email. Seorang penyerang yang cukup tahu tentang Anda secara teoritis dapat menggunakan prosedur pengaturan ulang kata sandi seperti ini untuk mendapatkan akses ke akun Anda.
Kami belum pernah mendengar tentang proses Pemulihan Akun Google yang disalahgunakan, tetapi Google bukanlah satu-satunya perusahaan dengan alat seperti ini. Tidak semuanya bisa sepenuhnya aman, terutama jika penyerang cukup tahu tentang Anda.
Apa pun masalahnya, akun dengan penyiapan verifikasi dua langkah akan selalu lebih aman daripada akun yang sama tanpa verifikasi dua langkah. Namun autentikasi dua faktor bukanlah peluru perak, seperti yang telah kita lihat dengan file trek yang menyalahgunakan tautan lemah terbesar : perusahaan telepon Anda.
