Iklan

Saat ini, tampaknya setiap situs web yang pernah Anda kunjungi mencoba mendorong Anda untuk melakukannya gunakan otentikasi dua faktor (2FA).

Salah satu cara paling umum untuk menggunakan 2FA adalah dengan memasukkan kode unik dari perangkat seluler Anda. Biasanya, Anda menerima kode dalam pesan teks atau Anda menggunakan aplikasi 2FA pihak ketiga untuk menghasilkannya.

Kedua metode adalah cara populer untuk menggunakan kode karena kenyamanannya. Namun, kedua metode ini juga lemah dari sudut pandang keamanan. Dan karena kode 2FA Anda hanya seaman teknologi yang digunakan untuk mengirimkannya, kelemahannya penting.

Jadi, ada apa dengan ini menggunakan SMS dan aplikasi pihak ketiga untuk mengakses kode Anda Apa itu Login Tanpa Kata Sandi? Apakah Mereka Sebenarnya Aman?Login tanpa kata sandi akan datang. Apakah mereka aman? Bagaimana cara kerja login tanpa kata sandi? Inilah yang perlu Anda ketahui. Baca lebih banyak ? Dan apakah ada alternatif yang sama nyamannya yang lebih aman? Kami akan menjelaskan semuanya. Teruslah membaca untuk mencari tahu lebih lanjut.

instagram viewer

Cara Otentikasi Dua Faktor Bekerja

Mari kita luangkan waktu untuk membahas cara kerja otentikasi dua faktor. Tanpa memahami mekanisme di balik teknologi, sisa artikel ini tidak akan masuk akal.

Secara umum, 2FA menambahkan lapisan keamanan tambahan ke akun Anda Cara Mengamankan Akun Anda Dengan 2FA: Gmail, Outlook, dan LainnyaDapatkah otentikasi dua faktor membantu mengamankan email dan jejaring sosial Anda? Inilah yang perlu Anda ketahui untuk mendapatkan keamanan online. Baca lebih banyak . Juga dikenal sebagai otentikasi multi-faktor, kredensial masuk tidak hanya terdiri dari kata sandi, tetapi juga dari informasi kedua yang hanya dapat diakses oleh pemilik sah akun.

2FA hadir dalam berbagai bentuk Pro dan Kontra dari Jenis dan Metode Otentikasi Dua-FaktorMetode otentikasi dua faktor tidak dibuat sama. Beberapa terbukti lebih aman dan lebih aman. Berikut ini adalah metode yang paling umum dan mana yang paling memenuhi kebutuhan pribadi Anda. Baca lebih banyak . Pada tingkat paling dasar, itu bisa menjadi sesuatu yang sederhana seperti pertanyaan keamanan (karena tidak ada orang lain yang bisa melakukannya tahu nama gadis ibumu Mengapa Anda Menjawab Kata Sandi Pertanyaan Keamanan SalahBagaimana Anda menjawab pertanyaan keamanan akun online? Jawaban jujur? Sayangnya, kejujuran Anda bisa membuat celah dalam baju daring Anda. Mari kita lihat bagaimana cara menjawab pertanyaan keamanan dengan aman. Baca lebih banyak atau hewan peliharaan favorit Anda). Pada bagian yang lebih rumit, ini bisa berupa ID biometrik seperti pemindaian retina atau sidik jari.

Mengapa Anda Harus Hindari Verifikasi SMS

SMS menikmati posisi sebagai cara yang paling mudah diakses untuk mengakses dan menggunakan kode 2FA. Jika situs menawarkan login otentikasi dua faktor, hampir pasti menawarkan SMS sebagai salah satu opsi.

Tetapi SMS bukan cara aman untuk menggunakan 2FA. Ini memiliki dua kerentanan utama.

Pertama, teknologinya rentan terhadap serangan SIM Swap. Tidak perlu banyak bagi peretas untuk melakukan SIM Swap. Jika mereka memiliki akses ke satu informasi pribadi lainnya — seperti nomor jaminan sosial Anda — mereka dapat menghubungi operator Anda dan memindahkan nomor Anda ke kartu SIM baru.

Kedua, peretas bisa pesan SMS intersep. Semuanya kembali ke sistem perutean telepon Signaling System No. 7 (SS7) yang sekarang bertanggal. Metodologi ini dirancang kembali pada tahun 1975 tetapi masih digunakan hampir secara global untuk menghubungkan dan memutuskan panggilan. Ini juga menangani terjemahan angka, penagihan prabayar, dan yang terpenting, pesan SMS.

Tidak mengherankan, teknologi dari tahun 1975 ini penuh dengan celah keamanan. Begini caranya pakar keamanan Bruce Schneier menggambarkan kekurangan:

"Jika penyerang memiliki akses ke portal SS7, mereka dapat meneruskan percakapan Anda ke perangkat rekaman online dan mengalihkan panggilan ke tujuan yang dimaksud [...] Ini berarti penjahat yang dilengkapi dengan baik dapat mengambil pesan verifikasi Anda dan menggunakannya bahkan sebelum Anda melihatnya mereka."

Tentu saja, menemukan bahwa penjahat cyber memiliki meretas Facebook Anda Cara Mengetahui Apakah Akun Facebook Anda Telah DiretasDengan Facebook menyimpan begitu banyak data, Anda perlu menjaga keamanan akun Anda. Berikut cara mengetahui apakah Facebook Anda diretas. Baca lebih banyak akun jauh dari ideal. Tetapi situasinya lebih menakutkan ketika Anda mempertimbangkan penggunaan 2FA lainnya. Seorang penjahat cyber dapat mencuri kode yang Anda gunakan di perbankan online Anda, atau bahkan memulai dan menyelesaikan transfer uang 6 Aplikasi Terbaik untuk Mengirim Uang ke TemanLain kali Anda perlu mengirim uang ke teman, lihat aplikasi seluler hebat ini untuk mengirim uang kepada siapa pun dalam hitungan menit. Baca lebih banyak .

Lebih jauh, Schneier juga mengklaim siapa pun dapat membeli akses ke jaringan SS7 dengan harga sekitar $ 1.000. Setelah mereka memiliki akses, mereka dapat mengirim permintaan perutean. Untuk menyelesaikan masalah, jaringan mungkin tidak mengautentikasi sumber permintaan.

Ingat, menggunakan otentikasi dua faktor melalui SMS lebih baik daripada membiarkan 2FA dinonaktifkan. Dan mungkin Anda tidak akan menjadi korban. Namun, jika Anda mulai merasa agak khawatir, Anda harus terus membaca. Banyak orang menerima bahwa SMS tidak aman dan beralih ke aplikasi pihak ketiga.

Tapi itu mungkin tidak jauh lebih baik.

Mengapa Anda Harus Menghindari Aplikasi 2FA

Cara umum lainnya untuk menggunakan kode 2FA adalah dengan menginstal aplikasi smartphone khusus. Ada banyak pilihan. Google Authenticator bisa dibilang yang paling dikenal, tetapi itu belum tentu yang terbaik. Ada banyak alternatif di luar sana — lihat Authy, Authenticator Plus, dan Duo.

Tetapi seberapa aman aplikasi spesialis 2FA? Kelemahan terbesar mereka adalah milik mereka mengandalkan kunci rahasia.

Mari kita mundur sejenak. Jika Anda tidak sadar, ketika Anda mendaftar untuk banyak aplikasi untuk pertama kalinya, Anda harus memasukkan kunci rahasia. Rahasia ini dibagi antara Anda dan penyedia aplikasi.

Saat Anda mengakses situs, kode yang dibuat aplikasi didasarkan pada kombinasi kunci Anda dan waktu saat ini. Pada saat yang sama, server menghasilkan kode menggunakan informasi yang sama. Kedua kode harus cocok agar akses diberikan. Kedengarannya masuk akal.

Jadi mengapa kunci adalah titik lemahnya? Nah, apa yang terjadi jika penjahat cyber berhasil mendapatkan akses ke basis data kata sandi dan rahasia perusahaan? Setiap akun akan rentan — itu Penyerang bisa datang dan pergi Cara Memeriksa apakah Orang Lain Mengakses Akun Facebook AndaIni menakutkan dan mengkhawatirkan jika seseorang memiliki akses ke akun Facebook Anda tanpa sepengetahuan Anda. Berikut cara mengetahui apakah Anda telah dilanggar. Baca lebih banyak sesuka hati.

Kedua, rahasianya ditampilkan dalam teks biasa atau sebagai kode QR; Tidak mungkin hash atau digunakan dengan garam Apa Semua Ini MD5 Hash Stuff Sebenarnya Berarti [Teknologi Dijelaskan]Berikut ini adalah daftar lengkap MD5, hashing dan gambaran kecil komputer dan kriptografi. Baca lebih banyak . Mungkin juga dalam teks biasa di server perusahaan.

Kunci rahasianya adalah cacat mendasar pada TOTP (One-Time Password) Berbasis Waktu yang digunakan aplikasi spesialis. Itu sebabnya kunci U2F fisik selalu merupakan opsi yang lebih aman.

Kelemahan dalam Desain dan Keamanan untuk Aplikasi 2FA

Tentu saja, kemungkinan kejahatan dunia maya meretas basis data aplikasi pihak ketiga cukup kecil. Tetapi aplikasi Anda juga bisa menderita kekurangan keamanan dasar dalam desainnya.

Populer pengelola kata sandi LastPass 8 Cara Mudah untuk Menambah Keamanan LastPass AndaAnda mungkin menggunakan LastPass untuk mengelola banyak kata sandi online Anda, tetapi apakah Anda menggunakannya dengan benar? Berikut adalah delapan langkah yang dapat Anda ambil untuk membuat akun LastPass Anda lebih aman. Baca lebih banyak menjadi korban pada bulan Desember 2017. SEBUAH posting blog programmer di Medium kunci rahasia 2FA yang terungkap dapat diakses tanpa sidik jari, kata sandi, atau tindakan keamanan lainnya.

Penyelesaiannya bahkan tidak rumit. Dengan mengakses aktivitas pengaturan aplikasi LastPass Authenticator (com.lastpass.authenticator.activities). SettingsActivity), seseorang dapat memasuki panel pengaturan untuk aplikasi tanpa pemeriksaan. Dari sana, Anda bisa menekan Kembali satu kali untuk mengakses semua kode 2FA.

LastPass sekarang telah memperbaiki kekurangannya, tetapi masih ada pertanyaan. Menurut programmer, dia telah mencoba memberi tahu LastPass tentang masalah ini selama tujuh bulan, tetapi perusahaan tidak pernah memperbaikinya. Berapa banyak aplikasi 2FA pihak ketiga lainnya tidak aman? Dan berapa banyak kerentanan yang belum diperbaiki yang diketahui pengembang tetapi menunda perbaikan? Ada juga kekhawatiran ketika datang ke kehilangan akses ke pembuat kode Anda di Facebook Cara Masuk ke Facebook Jika Anda Kehilangan Akses ke Pembuat KodeKehilangan akses ke pembuat kode Facebook? Artikel ini membahas metode alternatif untuk masuk ke akun Facebook Anda. Baca lebih banyak misalnya.

Apa yang Harus Dilakukan: Gunakan Kunci U2F

Alih-alih mengandalkan SMS dan 2FA untuk kode Anda, Anda harus menggunakan Kunci Faktor 2 Universal Apa Kunci U2F dan Di Mana Mereka Didukung?Kunci U2F adalah salah satu cara terbaik untuk menjaga keamanan dan keamanan akun Anda. Tetapi di mana kunci U2F didukung? Baca lebih banyak (U2F). Mereka adalah cara paling aman untuk menghasilkan kode dan mengakses layanan Anda.

Secara luas dianggap sebagai versi generasi kedua dari 2FA, itu menyederhanakan dan memperkuat protokol saat ini. Selain itu, menggunakan kunci U2F hampir sama mudahnya dengan membuka pesan SMS atau aplikasi pihak ketiga.

Kunci U2F menggunakan koneksi NFC atau USB. Saat Anda menghubungkan perangkat Anda ke akun untuk pertama kalinya, itu akan menghasilkan nomor acak yang disebut "Nonce." Nonce di-hash dengan nama domain situs untuk membuat kode unik.

Kunci U2F bersertifikat Fido

Setelah itu, Anda dapat menggunakan kunci U2F Anda dengan menghubungkannya ke perangkat Anda dan menunggu layanan untuk mengenalinya.

Jadi, apa kerugiannya? Yah, meskipun U2F adalah standar terbuka, masih perlu uang untuk membeli kunci U2F fisik. Dan mungkin yang lebih memprihatinkan, Anda berisiko dari pencurian.

Kunci U2F curian tidak secara otomatis membuat akun Anda tidak aman; seorang hacker masih perlu mengetahui kata sandi Anda. Tetapi di tempat umum, pencuri mungkin sudah melihat Anda memasukkan kata sandi Anda dari jauh, sebelum mencuri harta milik Anda.

Kunci U2F Bisa Mahal

Harga bervariasi antara produsen, tetapi Anda dapat mengharapkan untuk membayar sekitar $ 15 dan $ 50.

Idealnya, Anda ingin membeli model yang "Bersertifikat FIDO." Aliansi FIDO (Fast IDentity Online) bertanggung jawab untuk mencapai interoperabilitas antara teknologi otentikasi. Anggota termasuk semua orang dari Google dan Microsoft, ke Bank of America dan MasterCard.

Dengan membeli perangkat FIDO, Anda dapat yakin bahwa kunci U2F Anda akan berfungsi dengan semua layanan yang Anda gunakan setiap hari. Periksa kunci DIGIPASS SecureClick U2F jika Anda ingin membelinya.

2FA Tidak Aman Masih Lebih Baik Dari Tidak 2FA

Sebagai rangkuman, kunci-kunci Universal 2nd Factor menyediakan media yang menyenangkan antara kemudahan penggunaan dan keamanan. SMS adalah pendekatan yang paling tidak aman, tetapi juga yang paling nyaman.

Dan ingat, 2FA apa pun lebih baik daripada tidak 2FA. Ya, mungkin Anda membutuhkan 10 detik ekstra untuk masuk ke aplikasi tertentu, tetapi lebih baik daripada mengorbankan keamanan Anda.

Dan adalah ekspatriat Inggris yang tinggal di Meksiko. Dia adalah Managing Editor untuk situs saudara MUO, Blocks Decoded. Di berbagai waktu, ia telah menjadi Editor Sosial, Editor Kreatif, dan Editor Keuangan untuk MUO. Anda dapat menemukannya berkeliaran di lantai pertunjukan di CES di Las Vegas setiap tahun (orang-orang PR, jangkau!), Dan ia melakukan banyak situs di belakang layar…