Pakar keamanan merekomendasikan menggunakan otentikasi dua faktor untuk mengamankan akun online Anda sedapat mungkin. Banyak layanan default untuk verifikasi SMS, mengirimkan kode melalui pesan teks ke ponsel Anda saat Anda mencoba masuk. Namun pesan SMS memiliki banyak masalah keamanan, dan merupakan opsi yang paling tidak aman untuk otentikasi dua faktor.
Hal Pertama Yang Pertama: SMS Masih Lebih Baik Daripada Tanpa Otentikasi Dua Faktor Sama Sekali!
TERKAIT: Apa Itu Otentikasi Dua Faktor, dan Mengapa Saya Membutuhkannya?
Meskipun kami akan menjelaskan kasus terhadap SMS di sini, pertama-tama kami harus menjelaskan satu hal yang penting: Menggunakan SMS lebih baik daripada tidak menggunakan autentikasi dua faktor sama sekali.
Jika Anda tidak menggunakan autentikasi dua faktor, seseorang hanya memerlukan sandi Anda untuk masuk ke akun Anda. Saat Anda menggunakan otentikasi dua faktor dengan SMS, seseorang perlu mendapatkan kata sandi Anda dan mendapatkan akses ke pesan teks Anda untuk mendapatkan akses ke akun Anda. SMS jauh lebih aman daripada tidak sama sekali.
Jika SMS adalah satu-satunya pilihan Anda, harap gunakan SMS. Namun, jika Anda ingin mempelajari mengapa pakar keamanan menyarankan untuk menghindari SMS dan apa yang kami rekomendasikan, baca terus.
Pertukaran SIM Memungkinkan Penyerang Mencuri Nomor Telepon Anda
Berikut cara kerja verifikasi SMS: Saat Anda mencoba untuk masuk, layanan mengirimkan pesan teks ke nomor ponsel yang sebelumnya Anda berikan kepada mereka. Anda mendapatkan kode itu di ponsel Anda dan memasukkannya untuk masuk. Kode itu hanya bisa digunakan sekali.
Kedengarannya cukup aman. Lagi pula, hanya Anda yang memiliki nomor telepon Anda dan seseorang harus memiliki telepon Anda untuk melihat kodenya — bukan? Sayangnya tidak ada.
Jika seseorang mengetahui nomor telepon Anda dan dapat memperoleh akses ke informasi pribadi seperti empat digit terakhir nomor jaminan sosial Anda — sayangnya, ini mudah ditemukan berkat banyaknya perusahaan dan lembaga pemerintah yang telah membocorkan data pelanggan — mereka dapat menghubungi telepon Anda perusahaan dan pindahkan nomor telepon Anda ke telepon baru. Ini dikenal sebagai " Pertukaran SIM “, Dan merupakan proses yang sama yang Anda lakukan saat membeli perangkat baru dan memindahkan nomor telepon Anda ke sana. Orang tersebut mengatakan bahwa mereka adalah Anda, memberikan data pribadinya, dan perusahaan telepon seluler Anda menyiapkan ponselnya dengan nomor telepon Anda. Mereka akan mendapatkan kode pesan SMS yang dikirimkan ke nomor telepon Anda di telepon mereka.
Kami telah melihat laporan tentang hal ini terjadi di Inggris , di mana penyerang mencuri nomor telepon korban dan menggunakannya untuk mendapatkan akses ke rekening bank korban. Negara Bagian New York juga memiliki diperingatkan tentang penipuan ini.
Pada intinya, ini adalah a serangan rekayasa sosial yang mengandalkan menipu perusahaan ponsel Anda. Tetapi perusahaan telepon seluler Anda tidak boleh memberikan akses ke kode keamanan Anda kepada seseorang!
Pesan SMS Dapat Disadap dengan Banyak Cara
Mungkin juga untuk mengintip pesan SMS. Pembangkang politik dan jurnalis di negara-negara yang represif ingin berhati-hati, karena pemerintah dapat membajak pesan SMS yang dikirim melalui jaringan telepon. Ini sudah terjadi di Iran , di mana peretas Iran dilaporkan menyusupi sejumlah akun messenger Telegram dengan mencegat pesan SMS yang memberikan akses ke akun tersebut.
Penyerang juga menyalahgunakan masalah di SS7 , sistem koneksi yang digunakan untuk roaming, untuk mencegat pesan SMS di jaringan dan merutekannya ke tempat lain. Ada banyak cara lain untuk menyadap pesan, termasuk melalui penggunaan menara ponsel palsu. Pesan SMS tidak dirancang untuk keamanan, dan tidak boleh digunakan untuk itu.
Dengan kata lain, penyerang canggih dengan sedikit informasi pribadi dapat membajak nomor telepon Anda untuk mendapatkan akses ke akun online Anda dan kemudian menggunakan akun tersebut untuk mencoba menguras rekening bank Anda, misalnya. Itulah mengapa National Institute of Standards and Technology tidak lagi merekomendasikan penggunaan pesan SMS untuk otentikasi dua faktor.
Alternatif: Hasilkan Kode di Perangkat Anda
TERKAIT: Cara Mengatur Authy untuk Otentikasi Dua Faktor (dan Menyinkronkan Kode Anda Antar Perangkat)
Skema otentikasi dua faktor yang tidak bergantung pada SMS lebih unggul, karena perusahaan telepon seluler tidak akan dapat memberi orang lain akses ke kode Anda. Opsi paling populer untuk ini adalah aplikasi suka Google Authenticator . Namun, kami merekomendasikan Authy , karena ia melakukan semua yang dilakukan Google Authenticator dan banyak lagi.
Aplikasi seperti ini menghasilkan kode di perangkat Anda. Meskipun penyerang menipu perusahaan telepon seluler Anda untuk memindahkan nomor telepon Anda ke telepon mereka, mereka tidak akan bisa mendapatkan kode keamanan Anda. Data yang diperlukan untuk membuat kode tersebut akan tetap aman di ponsel Anda.
TERKAIT: Cara Mengatur Otentikasi Dua Faktor Tanpa Kode Baru Google
Anda juga tidak harus menggunakan kode. Layanan seperti Twitter, Google, dan Microsoft sedang menguji otentikasi dua faktor berbasis aplikasi yang memungkinkan Anda untuk masuk di perangkat lain dengan memberi otorisasi untuk masuk ke aplikasi mereka di ponsel Anda.
Ada juga token perangkat keras fisik yang dapat Anda gunakan. Perusahaan besar seperti Google dan Dropbox telah menerapkannya standar baru untuk token otentikasi dua faktor berbasis perangkat keras bernama U2F . Ini semua lebih aman daripada mengandalkan perusahaan telepon seluler Anda dan jaringan telepon yang sudah ketinggalan zaman.
Jika memungkinkan, hindari SMS untuk otentikasi dua faktor. Ini lebih baik daripada tidak sama sekali dan tampaknya nyaman, tetapi biasanya skema otentikasi dua faktor paling tidak aman yang dapat Anda pilih.
Sayangnya, beberapa layanan memaksa Anda untuk menggunakan SMS. Jika Anda mengkhawatirkan hal ini, Anda dapat membuat nomor telepon Google Voice dan memberikannya ke layanan yang memerlukan autentikasi SMS. Anda kemudian dapat masuk ke akun Google Anda — yang dapat Anda lindungi dengan metode autentikasi dua faktor yang lebih aman — dan melihat pesan aman di situs web atau aplikasi Google Voice. Hanya saja, jangan teruskan pesan dari Google Voice ke nomor ponsel Anda yang sebenarnya.
