16Jul
Pakar keamanan merekomendasikan penggunaan autentikasi dua faktor untuk mengamankan akun online Anda sedapat mungkin. Banyak layanan default untuk verifikasi SMS, mengirim kode melalui pesan teks ke telepon Anda saat Anda mencoba masuk. Namun, pesan SMS memiliki banyak masalah keamanan, dan merupakan pilihan paling tidak aman untuk autentikasi dua faktor.
Hal Pertama Yang Pertama: SMS Masih Lebih Baik daripada Tidak Ada Otentikasi Dua Faktor Sama sekali!
Sementara kita akan membahas kasus ini terhadap SMS di sini, penting bagi kita untuk membuat satu hal dengan jelas: Menggunakan SMS lebih baik daripada tidak menggunakan autentikasi dua faktor sama sekali.
Bila Anda tidak menggunakan autentikasi dua faktor, seseorang hanya memerlukan kata sandi Anda untuk masuk ke akun Anda. Bila Anda menggunakan autentikasi dua faktor dengan SMS, seseorang perlu memperoleh kata sandi Anda dan mendapatkan akses ke pesan teks Anda untuk mendapatkan akses ke akun Anda. SMS jauh lebih aman daripada tidak sama sekali.
Jika SMS adalah satu-satunya pilihan Anda, silakan gunakan SMS.Namun, jika Anda ingin belajar mengapa pakar keamanan merekomendasikan untuk menghindari SMS dan yang kami sarankan, baca terus. Swap SIM
Izinkan Penyerang Mencuri Nomor Telepon Anda
Inilah cara kerja verifikasi SMS: Saat Anda mencoba masuk, layanan akan mengirim pesan teks ke nomor ponsel yang sebelumnya Anda berikan. Anda mendapatkan kode itu di telepon Anda dan memasukkannya ke daftar masuk. Kode itu hanya bagus untuk penggunaan tunggal.
Kedengarannya cukup aman. Lagi pula, hanya Anda yang memiliki nomor telepon Anda dan seseorang harus memiliki ponsel Anda untuk melihat kode itu? Sayangnya tidak ada.
Jika seseorang mengetahui nomor telepon Anda dan bisa mendapatkan akses ke informasi pribadi seperti empat digit terakhir nomor jaminan sosial Anda-sayangnya, ini mudah ditemukan berkat banyak perusahaan dan agen pemerintah yang telah membocorkan data pelanggan-mereka dapat menghubungi Andaperusahaan telepon dan pindahkan nomor telepon Anda ke telepon baru. Ini dikenal sebagai "SIM swap", dan merupakan proses yang sama dengan yang Anda lakukan saat membeli perangkat baru dan memindahkan nomor telepon Anda ke sana. Orang tersebut mengatakan bahwa mereka adalah Anda, menyediakan data pribadi, dan perusahaan telepon seluler Anda memasang telepon mereka dengan nomor telepon Anda. Mereka akan mendapatkan kode pesan SMS yang dikirim ke nomor telepon Anda di telepon mereka.
Kami telah melihat laporan tentang hal ini terjadi di Inggris, di mana penyerang mencuri nomor telepon korban dan menggunakannya untuk mendapatkan akses ke rekening bank korban. Negara Bagian New York juga telah memperingatkan tentang penipuan ini.
Intinya, ini adalah serangan rekayasa sosial yang mengandalkan menipu perusahaan ponsel Anda. Tapi perusahaan ponsel Anda seharusnya tidak dapat memberi seseorang akses ke kode keamanan Anda di tempat pertama! Pesan SMS
Dapat Dicegat dengan Banyak Cara
Mungkin juga mengintip pesan SMS.Pembangkang politik dan wartawan di negara-negara yang represif ingin berhati-hati, karena pemerintah bisa membajak pesan SMS saat dikirim melalui jaringan telepon. Ini telah terjadi di Iran, di mana hacker Iran dilaporkan mengkompromikan sejumlah akun messenger Telegram dengan mencegat pesan SMS yang menyediakan akses ke akun tersebut.
Penyerang juga telah menyalahgunakan masalah di SS7, sistem sambungan yang digunakan untuk roaming, untuk mencegat pesan SMS di jaringan dan mengarahkan mereka ke tempat lain. Ada banyak cara lain agar pesan bisa dicegat, termasuk melalui penggunaan menara ponsel palsu. Pesan SMS tidak dirancang untuk keamanan, dan seharusnya tidak digunakan untuk keamanan.
Dengan kata lain, penyerang yang canggih dengan sedikit informasi pribadi dapat membajak nomor telepon Anda untuk mendapatkan akses ke akun online Anda dan kemudian menggunakan akun tersebut untuk mencoba menguras rekening bank Anda, misalnya. Karena itulah National Institute of Standards and Technology tidak lagi merekomendasikan penggunaan pesan SMS untuk autentikasi dua faktor.
Alternatif: Buat Kode pada Perangkat Anda
Skema otentikasi dua faktor yang tidak bergantung pada SMS lebih unggul, karena perusahaan telepon seluler tidak dapat memberi orang lain akses ke kode Anda. Pilihan yang paling populer untuk ini adalah aplikasi seperti Google Authenticator. Namun, kami sarankan Authy, karena semuanya yang Google Authenticator lakukan dan yang lainnya. Aplikasi
seperti ini menghasilkan kode pada perangkat Anda. Bahkan jika seorang penyerang menipu perusahaan ponsel Anda untuk memindahkan nomor telepon Anda ke telepon mereka, mereka tidak akan bisa mendapatkan kode keamanan Anda. Data yang dibutuhkan untuk membuat kode tersebut akan tetap tersimpan dengan aman di telepon Anda.
Anda juga tidak perlu menggunakan kode. Layanan seperti Twitter, Google, dan Microsoft menguji autentikasi dua faktor berbasis aplikasi yang memungkinkan Anda masuk ke perangkat lain dengan memberi otorisasi masuk di aplikasi mereka di ponsel Anda.
Ada juga token perangkat keras fisik yang bisa Anda gunakan. Perusahaan besar seperti Google dan Dropbox telah menerapkan standar baru untuk token otentikasi dua faktor berbasis hardware yang bernama U2F.Ini semua lebih aman daripada mengandalkan perusahaan telepon seluler dan jaringan telepon usang. Jika memungkinkan, hindari SMS untuk autentikasi dua faktor. Ini lebih baik daripada tidak ada apa pun dan terasa nyaman, tapi biasanya skema autentikasi dua faktor yang paling aman yang dapat Anda pilih.
Sayangnya, beberapa layanan memaksa Anda untuk menggunakan SMS.Jika Anda khawatir dengan hal ini, Anda dapat membuat nomor telepon Google Voice dan memberikannya ke layanan yang memerlukan otentikasi SMS.Anda kemudian bisa masuk ke akun Google Anda-yang dapat Anda lindungi dengan metode autentikasi dua faktor yang lebih aman-dan lihat pesan aman di situs web atau aplikasi Google Voice. Jangan teruskan pesan dari Google Voice ke nomor ponsel Anda yang sebenarnya.