Mengapa orang mengatakan otentikasi dua faktor tidak sempurna

Saat autentikasi dua faktor pertama kali diperkenalkan, ini merevolusi keamanan perangkat dan membantu mempersulit pencurian identitas – dengan sedikit biaya ketidaknyamanan kecil yang ditambahkan ke login.

Tapi itu tidak sempurna, juga tidak menyelesaikan semua masalah peretasan dan pencurian data kami. Beberapa berita terbaru telah memberikan lebih banyak konteks tentang bagaimana peretas telah menghindari autentikasi dua faktor dan mengikis sebagian kepercayaan kami terhadapnya.

Apa sebenarnya autentikasi dua faktor itu?

Otentikasi dua faktor menambahkan lapisan keamanan ekstra ke proses login untuk perangkat dan layanan. Sebelumnya, login memiliki satu faktor untuk autentikasi — biasanya, kata sandi, atau login biometrik seperti pemindaian sidik jari atau ID Wajah, terkadang dengan tambahan pertanyaan keamanan. Itu memberikan keamanan, tetapi itu jauh dari sempurna, terutama dengan kata sandi yang lemah atau kata sandi yang diisi otomatis (atau jika basis data masuk diretas dan info itu mulai muncul di web gelap).

Otentikasi dua faktor mengatasi masalah ini dengan menambahkan faktor kedua, hal lain yang harus dilakukan seseorang untuk menjamin bahwa itu benar-benar mereka dan mereka memiliki wewenang untuk mengakses. Biasanya, itu berarti dikirimi kode melalui saluran lain, seperti menerima pesan teks atau email dari layanan, yang kemudian harus Anda masukkan.

Beberapa menggunakan kode sensitif waktu (TOTP, One Time Password Berbasis Waktu), dan beberapa menggunakan kode unik yang terkait dengan perangkat tertentu (HOTP, One Time Password berbasis HMAC). Versi komersial tertentu bahkan mungkin menggunakan kunci fisik tambahan yang perlu Anda miliki.

Fitur keamanan telah menjadi sangat umum, Anda mungkin terbiasa melihat pesan di sepanjang baris, “Kami telah mengirimi Anda email dengan kode aman untuk masuk, harap periksa filter spam Anda jika Anda belum menerimanya.” Ini paling umum untuk perangkat baru, dan meskipun membutuhkan sedikit waktu, ini merupakan lompatan besar dalam keamanan dibandingkan dengan satu faktor metode. Tetapi ada beberapa kekurangan.

Kedengarannya cukup aman. Apa masalahnya?

Sebuah laporan keluar baru-baru ini dari perusahaan keamanan siber Sophos yang merinci cara baru yang mengejutkan itu peretas melewatkan otentikasi dua faktor: kue. Aktor jahat telah "mencuri cookie", yang memberi mereka akses ke hampir semua jenis browser, layanan web, akun email, atau bahkan file.

Bagaimana penjahat dunia maya ini mendapatkan cookie ini? Yah, Sophos mencatat bahwa botnet Emotet adalah salah satu malware pencuri cookie yang menargetkan data di browser Google Chrome. Orang juga dapat membeli cookie curian melalui pasar bawah tanah, yang menjadi terkenal dalam kasus EA baru-baru ini di mana detail login berakhir di pasar yang disebut Genesis. Hasilnya adalah 780 gigabyte data curian yang digunakan untuk mencoba memeras perusahaan.

Meskipun itu adalah kasus profil tinggi, metode yang mendasarinya ada di luar sana, dan ini menunjukkan bahwa autentikasi dua faktor jauh dari peluru perak. Selain mencuri cookie, ada sejumlah masalah lain yang telah diidentifikasi selama bertahun-tahun:

• Jika seorang hacker memiliki mendapatkan nama pengguna atau kata sandi Anda untuk suatu layanan, mereka mungkin memiliki akses ke email Anda (terutama jika Anda menggunakan kata sandi yang sama) atau nomor telepon. Ini sangat bermasalah untuk autentikasi dua faktor berbasis SMS/teks, karena nomor telepon mudah ditemukan dan dapat digunakan untuk menyalin ponsel Anda (di antara trik lainnya) dan menerima kode SMS. Dibutuhkan lebih banyak pekerjaan, tetapi peretas yang gigih masih memiliki jalur yang jelas ke depan.
• Aplikasi terpisah untuk autentikasi dua faktor, seperti Google Auth atau Duo, jauh lebih aman, tetapi tingkat penerapannya sangat rendah. Orang cenderung tidak ingin mengunduh aplikasi lain hanya untuk tujuan keamanan untuk satu layanan, dan organisasi merasa jauh lebih mudah untuk sekadar menanyakan "Email atau teks?" daripada meminta pelanggan untuk mengunduh a aplikasi pihak ketiga. Dengan kata lain, jenis autentikasi dua faktor terbaik tidak benar-benar digunakan.
• Terkadang kata sandi terlalu mudah untuk diatur ulang. Pencuri identitas dapat mengumpulkan cukup informasi tentang akun untuk menghubungi layanan pelanggan atau mencari cara lain untuk meminta kata sandi baru. Ini sering menghindari autentikasi dua faktor apa pun yang terlibat dan, jika berhasil, memungkinkan pencuri akses langsung ke akun.
• Bentuk otentikasi dua faktor yang lebih lemah menawarkan sedikit perlindungan terhadap negara-bangsa. Pemerintah memiliki alat yang dapat dengan mudah melawan autentikasi dua faktor, termasuk memantau pesan SMS, memaksa operator nirkabel, atau mencegat kode autentikasi dengan cara lain. Itu bukan kabar baik bagi mereka yang menginginkan cara untuk merahasiakan data mereka dari rezim yang lebih totaliter.
• Banyak skema pencurian data melewati autentikasi dua faktor sepenuhnya dengan berfokus pada membodohi manusia. Lihat saja semua upaya phishing yang berpura-pura dari bank, lembaga pemerintah, penyedia internet, dll., meminta informasi akun penting. Pesan phishing ini bisa terlihat sangat nyata, dan mungkin melibatkan sesuatu seperti, “Kami membutuhkan Anda kode otentikasi di pihak kami sehingga kami juga dapat mengonfirmasi bahwa Anda adalah pemegang akun, ”atau trik lainnya dapatkan kode.

Haruskah saya tetap menggunakan autentikasi dua faktor?

Sangat. Faktanya, Anda harus melalui layanan dan perangkat Anda dan mengaktifkan autentikasi dua faktor jika tersedia. Ini menawarkan keamanan yang jauh lebih baik terhadap masalah seperti pencurian identitas daripada nama pengguna dan kata sandi sederhana.

Bahkan autentikasi dua faktor berbasis SMS jauh lebih baik daripada tidak sama sekali. Infact, National Institute of Standards and Technology pernah merekomendasikan untuk tidak menggunakan SMS dalam autentikasi dua faktor, tapi kemudian memutarnya kembali tahun berikutnya karena, terlepas dari kekurangannya, itu masih berharga.

Jika memungkinkan, pilih metode autentikasi yang tidak terhubung ke pesan teks, dan Anda akan mendapatkan bentuk keamanan yang lebih baik. Juga, pertahankan kata sandi Anda kuat dan gunakan pengelola kata sandi untuk membuatnya untuk login jika Anda bisa.

Bagaimana autentikasi dua faktor dapat ditingkatkan?

Menjauh dari autentikasi berbasis SMS adalah proyek besar saat ini. Autentikasi dua faktor mungkin akan beralih ke beberapa aplikasi pihak ketiga seperti Duo, yang menghilangkan banyak kelemahan yang terkait dengan proses. Dan lebih banyak bidang berisiko tinggi akan beralih ke MFA, atau autentikasi multifaktor, yang menambahkan persyaratan ketiga, seperti sidik jari atau pertanyaan keamanan tambahan.

Tetapi cara terbaik untuk menghilangkan masalah dengan autentikasi dua faktor adalah dengan memperkenalkan aspek fisik berbasis perangkat keras. Perusahaan dan lembaga pemerintah sudah mulai mensyaratkan itu untuk tingkat akses tertentu. Dalam waktu dekat, ada kemungkinan yang adil kita semua akan memiliki kartu autentikasi khusus di dompet kita, siap untuk menggesek perangkat kita saat masuk ke layanan. Ini mungkin terdengar aneh sekarang, tetapi dengan peningkatan tajam serangan keamanan siber, ini bisa menjadi solusi paling elegan.

Rekomendasi Editor

• Mengapa Nvidia RTX 4060 Ti tidak cukup untuk tahun 2023
• Peringkat peretas meledak - inilah cara Anda melindungi diri sendiri
• Mengapa Mode Penyamaran Google Chrome tidak seperti yang diklaimnya
• Inilah mengapa orang mengatakan Nvidia RTX 4090 tidak layak untuk ditunggu
• Inilah mengapa orang mengatakan untuk membeli M1 MacBook Air daripada M2

Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terbaru, ulasan produk yang menyenangkan, editorial yang berwawasan, dan cuplikan unik.