25Aug
Sistem autentikasi dua faktor tidak semudah yang terlihat. Penyerang sebenarnya tidak memerlukan token otentikasi fisik Anda jika mereka dapat mengelabui perusahaan telepon Anda atau layanan aman itu sendiri untuk membiarkannya masuk.
Otentikasi tambahan selalu membantu. Meskipun tidak ada yang menawarkan keamanan sempurna yang kita semua inginkan, menggunakan autentikasi dua faktor akan membawa lebih banyak hambatan bagi penyerang yang menginginkan barang Anda.
Perusahaan Telepon Anda adalah Link Lemah
Sistem otentikasi dua langkah di banyak situs web bekerja dengan mengirimkan pesan ke telepon Anda melalui SMS saat seseorang mencoba masuk. Bahkan jika Anda menggunakan aplikasi khusus di telepon untuk menghasilkan kode, adakesempatan baik layanan pilihan Anda menawarkan untuk membiarkan orang masuk dengan mengirimkan kode SMS ke telepon Anda. Atau, layanan memungkinkan Anda menghapus perlindungan otentikasi dua faktor dari akun Anda setelah mengonfirmasi bahwa Anda memiliki akses ke nomor telepon yang Anda konfigurasikan sebagai nomor telepon pemulihan.
Ini semua terdengar bagus. Anda memiliki ponsel Anda, dan memiliki nomor telepon. Ini memiliki kartu SIM fisik di dalamnya yang menghubungkannya dengan nomor telepon itu dengan penyedia telepon seluler Anda. Semuanya nampak sangat fisik. Tapi, sayangnya, nomor telepon Anda tidak seaman yang Anda pikirkan.
Jika Anda pernah perlu memindahkan nomor telepon yang ada ke kartu SIM baru setelah kehilangan telepon atau hanya mendapatkan yang baru, Anda akan tahu apa yang sering Anda lakukan sepenuhnya melalui telepon - atau mungkin juga online. Semua penyerang harus lakukan adalah menghubungi departemen layanan pelanggan perusahaan ponsel Anda dan berpura-pura menjadi Anda. Mereka harus mengetahui nomor telepon Anda dan mengetahui beberapa informasi pribadi tentang Anda. Ini adalah jenis rinciannya - misalnya nomor kartu kredit, empat digit SSN terakhir, dan lainnya - yang secara teratur bocor dalam database besar dan digunakan untuk pencurian identitas. Penyerang bisa mencoba memasukkan nomor telepon Anda ke telepon mereka.
Ada cara yang lebih mudah lagi. Atau, Misalnya, mereka bisa mendapatkan penerusan panggilan di akhir perusahaan telepon sehingga panggilan suara masuk diteruskan ke telepon mereka dan tidak menghubungi Anda.
Heck, penyerang mungkin tidak memerlukan akses ke nomor telepon lengkap Anda. Mereka bisa mendapatkan akses ke voice mail Anda, cobalah masuk ke situs web pada pukul 3 pagi, lalu ambil kode verifikasi dari kotak pesan suara Anda. Seberapa aman sistem surat suara perusahaan telepon Anda? Seberapa aman PIN pesan suara Anda - apakah Anda sudah menetapkannya? Tidak semua orang punya! Dan, jika Anda memiliki, berapa banyak usaha yang dibutuhkan penyerang untuk mengembalikan PIN pesan suara Anda dengan menelepon perusahaan telepon Anda?
Dengan Nomor Telepon Anda, Ini Di Seluruh
Nomor telepon Anda menjadi link yang lemah, memungkinkan penyerang Anda untuk menghapus verifikasi dua langkah dari akun Anda - atau menerima kode verifikasi dua langkah - melalui SMS atau panggilan suara. Pada saat Anda menyadari ada sesuatu yang salah, mereka dapat memiliki akses ke akun tersebut.
Ini adalah masalah untuk hampir semua layanan. Layanan online tidak ingin orang kehilangan akses ke akun mereka, jadi biasanya mereka mengizinkan Anda untuk memotong dan menghapus autentikasi dua faktor tersebut dengan nomor telepon Anda. Ini membantu jika Anda harus menyetel ulang ponsel atau mendapatkan yang baru dan Anda telah kehilangan kode autentikasi dua faktor - namun Anda tetap memiliki nomor telepon Anda.
Secara teoritis, seharusnya ada banyak perlindungan di sini. Pada kenyataannya, Anda berurusan dengan orang-orang layanan pelanggan di penyedia layanan seluler. Sistem ini sering disiapkan untuk efisiensi, dan karyawan layanan pelanggan mungkin mengabaikan beberapa pengaman yang dihadapi pelanggan yang tampaknya marah, tidak sabar, dan memiliki informasi yang sepertinya cukup banyak. Perusahaan telepon dan departemen layanan pelanggan Anda adalah link yang lemah dalam keamanan Anda.
Melindungi nomor telepon Anda sangatlah sulit. Realistis, perusahaan telepon seluler harus memberi lebih banyak perlindungan agar hal ini kurang berisiko. Pada kenyataannya, Anda mungkin ingin melakukan sesuatu dengan keinginan Anda sendiri daripada menunggu perusahaan besar memperbaiki prosedur layanan pelanggan mereka. Beberapa layanan memungkinkan Anda untuk menonaktifkan pemulihan atau mengatur ulang melalui nomor telepon dan memperingatkannya secara berlebihan - namun, jika ini adalah sistem mission-critical, Anda mungkin ingin memilih prosedur reset yang lebih aman seperti kode reset yang dapat Anda kunci di brankas bank jikaAnda pernah membutuhkan mereka. Prosedur Reset Lainnya
Ini bukan hanya tentang nomor telepon Anda. Banyak layanan memungkinkan Anda untuk menghapus autentikasi dua faktor tersebut dengan cara lain jika Anda mengklaim telah kehilangan kode dan perlu masuk. Selama Anda cukup mengetahui detail pribadi tentang akun tersebut, Anda mungkin bisa masuk.
Cobalah sendiri - pergi ke layanan yang telah Anda amankan dengan autentikasi dua faktor dan berpura-pura telah kehilangan kode. Lihat apa yang diperlukan untuk masuk. Anda mungkin harus memberikan informasi pribadi atau menjawab "pertanyaan keamanan" yang tidak aman dalam skenario terburuk. Tergantung bagaimana layanan dikonfigurasi. Anda mungkin dapat menyetel ulang dengan mengirimkan email ke akun email lain, sehingga akun email bisa menjadi tautan lemah. Dalam situasi yang ideal, Anda mungkin hanya memerlukan akses ke nomor telepon atau kode pemulihan - dan, seperti yang telah kita lihat, bagian nomor telepon adalah link yang lemah.
Inilah yang lain menakutkan: Ini bukan hanya tentang melewati verifikasi dua langkah. Seorang penyerang bisa mencoba trik serupa untuk memotong kata sandi Anda sama sekali. Hal ini dapat dilakukan karena layanan online ingin memastikan orang dapat memperoleh kembali akses ke akun mereka, meskipun mereka kehilangan kata sandinya.
Sebagai contoh, lihatlah sistem Pemulihan Akun Google. Ini adalah pilihan terakhir untuk memulihkan akun Anda. Jika Anda mengaku tidak mengetahui kata kunci apa pun, akhirnya Anda akan ditanyai informasi tentang akun Anda seperti saat Anda membuatnya dan siapa yang sering Anda kirimi email. Seorang penyerang yang cukup tahu tentang Anda secara teoritis dapat menggunakan prosedur reset password seperti ini untuk mendapatkan akses ke akun Anda.
Kami belum pernah mendengar proses Pemulihan Akun Google disalahgunakan, namun Google bukanlah satu-satunya perusahaan yang memiliki alat seperti ini. Mereka tidak bisa sepenuhnya sangat mudah, terutama jika penyerang cukup tahu tentang Anda.
Apapun masalahnya, akun dengan verifikasi langkah dua langkah akan selalu lebih aman daripada akun yang sama tanpa verifikasi dua langkah. Tapi autentikasi dua faktor bukanlah peluru perak, seperti yang telah kita saksikan dengan serangan yang menyalahgunakan tautan lemah terbesar: perusahaan telepon Anda.
