Stop Pakai Pesan Teks di Otentifikasi Dua Faktor

apple-extends-two-step-authentication-to-imessage_j66p.640

Otentifikasi dua faktor menjadi hal yang normal untuk layanan web bagi mereka yang peduli dengan keamanan akun. Otentifikasi dua faktor tersebut seperti selimut keamanan, lapisan tambahan yang menjaga data pengguna tetap aman, tidak peduli apakah password pengguna sekuat 8 $ &] $ @ I ) 9 [P & 4 ^ s atau sebodoh dadada. Namun persiapan yang dilakukan untuk otentifikasi dua faktor bagi sebagian besar pengguna memerlukan kode sementara yang dihasilkan atau dikirim ke ponsel. Cara ini bukanlah mantra yang tak terkalahkan, terutama jika faktor kedua tersebut disampaikan melalui pesan teks.

Kecenderungan dalam beberapa bulan terakhir menunjukkan bahwa pesan teks SMS sering merupakan link terlemah dalam login dua langkah. Hal ini dibuktikan dengan serangan terhadap aktivis politik di Iran, Rusia, dan bahkan di AS yang menunjukkan bahwa hacker kadang-kadang dapat membajak pesan SMS yang dimaksudkan untuk menjaga pengguna aman.

Bila memungkinkan, ada baiknya pengguna beralih ke sistem yang lebih baik, seperti ke otentifikasi aplikasi smartphone atau tanda fisik yang menghasilkan kode satu kali. Dan untuk layanan seperti Twitter yang hanya menawarkan perlindungan dua faktor melalui SMS, saatnya untuk memberikan pilihan lain kepada pengguna agar pengguna tetap aman.

Menurut Jonathan Zdziarski, seorang ahli forensik dan peneliti keamanan, SMS bukanlah cara terbaik untuk melakukan otentifikasi dua faktor. Hal ini karena ponsel dapat mengalami rekayasa sosial di luar kendali pengguna.

Rekayasa sosial ini bukan sesuatu yang tidak mungkin terjadi. Awal bulan ini, aktivis Black Lives Matter Deray McKesson menemukan bahwa akun Twitter-nya di-hacked sehingga melakukan tweet pro-Donald Trump, padahal ia memiliki otentikasi dua faktor. Ternyata para hacker yang menyamar sebagai dirinya menelpon Verizon dan meyakinkan perusahaan tersebut untuk mengarahkan pesan teks ke kartu SIM yang berbeda dan membajak kode login satu kali. Hal yang kurang lebih sama dialami aktivis di Iran dan di Rusia yang akun Telegramnya di-hack, kemungkinan oleh perusahaan telekomunikasi milik negara yang membantu pemerintah otoriter untuk membajak pesan SMS.

Peristiwa di atas merupakan bukti yang sudah cukup untuk meninggalkan otentifikasi dua faktor dengan cara pengiriman kode melalui pesan teks atau SMS. Sebisa mungkin bagi publik figur atau aktivis yang sering sekali menjadi sasaran hacker atau agen pemerintah meninggalkan cara ini dan beralih ke cara yang lebih aman.

Sumber: Wired

Sumber Foto: PCMag