- www.pixabay.com/TBIT
VIVA – Keamanan digital, kini sudah menjadi kebutuhan dan jamak bagi pengguna teknologi saat ini. Keamanan bukan sebatas hanya kata sandi saja. Password memang salah satu faktor keamanan namun itu belum cukup pada masa kini.
Tren keamanan berkembang dan kian berlapis untuk mengamankan akun seseorang. Kini, sudah jadi tren sistem autentikasi dua faktor atau dikenal dengan sebutan two-factor autentication (2FA).
Metode autentikasi dua faktor, merupakan salah satu jenis dari autentikasi multi faktor. Sebuah mekanisme keamanan yang bukan hanya menggunakan satu jenis saja, misalnya password.
2FA merupakan metode autentikasi pengguna dengan menggunakan kombinasi dua faktor berbeda, di antaranya mencakup faktor sesuatu yang pengguna ketahui (something user know), sesuatu yang dipunyai (something user have) dan sesuatu yang hanya ada pada pengguna (something user are).
Salah satu wujud 2FA, yakni saat Anda menarik uang ke mesin ATM. Untuk mendapatkan uang dari ATM, mekanisme yang berjalan adalah memasukkan kartu bank dan kode PIN. Mekanisme tersebut termasuk dua faktor, pertama kartu bank, yang mewakili faktor ‘sesuatu yang dimiliki pengguna’ dan PIN yang mewakili faktor ‘sesuatu yang diingat pengguna’.
Belakangan proses 2FA berkembang, melibatkan ponsel pengguna. Jadi, kadang saat mengambil uang di ATM, pengguna memasukkan password (sesuatu yang diketahui) dan bukan kartu bank, tapi nomor ponsel pengguna (sesuatu yang dimiliki).
Makanya, begitu transaksi sukses, di ponsel pengguna akan muncul kode angka tertentu yang menginformasikan bahwa Anda melakukan transaksi.
Semangat dari 2FA, yakni melindungi akun pengguna dengan meminta tambahan informasi setelah pengguna memasukkan password tertentu pada sebuah akun. Umumnya, saat ini berbagai penyedia layanan media sosial atau akun digital sudah menerapkan skema ini. Sistem akun akan meminta pengguna untuk memasukkan kode numerik tertentu, setelah berhasil memasukkan password untuk mengakses akun.
Banyak perusahaan teknologi yang sudah menerapkan 2FA. Misalnya, saat pengguna ingin masuk ke akun Gmail, Facebook, Twitter dan media sosial lainnya. Bahkan, bisa dibilang hampir semua perusahaan teknologi dan digital sudah mengadopsi 2FA, mulai dari Google sampai BitBucket. Bisa dibilang hanya segelintir saja layanan yang tak mengadopsi 2FA.
Namun, belakangan mekanisme keamanan berlapis ini menjadi incaran peretas alias hacker. 2FA tak lagi aman nyaman sepenuhnya. Sebab autentikasi melalui faktor kode numerik ke ponsel pengguna melalui SMS, sudah bisa dijebol hacker.
Dalam laporan investigasinya, laman Motherboard menuliskan, bentuk baru pencurian daring yang berkembang telah mengakibatkan hacker secara ilegal mendapatkan akses ke nomor telepon pengguna dan mengikatnya ke kartu SIM baru.
Peretas melakukannya dengan menggunakan informasi, seperti nomor jaminan sosial yang mungkin bocor di salah satu kebocoran data yang tak terhitung jumlahnya. Lalu, peretas akan mengelabui agen layanan pelanggan telekomunikasi untuk memindahkan nomor telepon ke SIM baru.
Melalui kesempatan tersebut, peretas memanfaatkannya untuk memeras korban agar mendapat keuntungan finansial. Mereka juga dapat menggunakan nomor telepon dan fitur pemulihannya untuk mengubah password Amazon, Instagram, Twitter, dan akun lainnya.
Menurut laporan Motherboard, peretas secara khusus menargetkan Instagram dan Twitter. Alasannya, karena kedua platform tersebut bisa memberikan keuntungan yang besar. Beberapa perusahaan teknologi telah membangun alat untuk melindungi penggunanya terhadap kerentanan autentikasi dua faktor berbasis SMS.
Berikutnya, kena getah>>>
Kena getah
Facebook merasakan bagaimana mekanisme 2FA menggunakan nomor ponsel pengguna tak lagi aman. Pada Februari lalu, media sosial besutan Mark Zuckerberg mengakui muncul bug (kesalahan) dalam sistem 2FA mereka.
Jadi, Facebook menggunakan nomor otomatis 362-65 sebagai nomor autentikasi dua faktor dan ternyata nomor tersebut kemudian mengirim notifikasi kepada pengguna Facebook melalui SMS tanpa persetujuan pengguna.
Laman The Verge melaporkan, saat pengguna berupaya menghentikan notifikasi SMS ini, malah balasannya pengguna terposting di pembaharuan status pengguna. Tentu, ini begitu menganggu kenyamanan pengguna.
Selain Facebook, aplikasi Telegram juga kena getah dari mekanisme 2FA. Pada Agustus 2016, peretas sukses membobol nomor ponsel 15 juta pengguna Telegram di Iran. Padahal, total pengguna Telegram kala itu mencapai 20 juta pengguna.
Peneliti keamanan independen Collin Anderson mengendus bobolnya data nyaris seluruh pengguna Telegram di Iran karena peretas memanfaatkan autentikasi melalui SMS saat pengguna mengaktifkan Telegram di perangkat yang baru.
Jadi, saat pengguna ingin masuk ke Telegram dari ponsel baru, Telegram akan mengirimkan kode autorisasi melalui SMS. Pada titik ini, kata peneliti keamanan, bisa dimanfaatkan oleh peretas.
Melihat gesitnya peretas mengintersepsi akun pengguna lewat SMS dan kartu SIM pada mekanisme 2FA, maka penyedia layanan media sosial sudah kompak mengambil langkah.
Belajar dari munculnya bug tersebut, Facebook kini memilih opsi yang lebih aman dalam 2FA, tak lagi bergantung pada autentikasi menggunakan nomor ponsel. Media sosial ini sudah memberikan opsi autentifikasi dua faktor berupa kode login dengan menggunakan aplikasi pihak ketiga.
Segendang sepenarian, Instagram juga melakukan langkah peningkatan keamanan 2FA. Untuk melawan hacker, Instagram sedang mengerjakan solusi autentikasi dua faktor yang tidak memerlukan nomor telepon pengguna. Instagram mengonfirmasi, mereka sedang mengembangkan sistem yang bekerja pada metode yang lebih aman.
Laman The Verge melaporkan, seperti platform media sosial lainnya, opsi anyar yang dipilih Instgaram itu memungkinkan pengguna mengautentikasi dengan aplikasi penghasil kode, seperti Google Authenticator dan Authy.
Sebenarnya, Instagram telah merencanakan perubahan tersebut dalam kurun waktu yang lama. Baru belakangan ketahuan, Instagram akan meninggalkan penggunaan nomor ponsel dalam mekanisme 2FA.
Salah seorang insinyur teknologi, Jane Manchun Wong membocorkan fitur autentikasi Instagram tanpa SMS. Wong menemukan versi purwarupa autentikasi dari fitur dua faktor yang diperbarui pada versi Android dan memosting di akun Twitter miliknya. Wong pun merasa girang, sebab Instagram telah tepat memilih autentikasi yang aman.
Twitter tak jauh beda. Media sosial mikroblog ini sudah memakai autentikasi login berbasis SMS sejak lima tahun lalu. Namun belakangan, Twitter merasa autentifikasi menggunakan SMS makin berisiko dan kurang aman, peretas bisa mengintersepsi melalui kartu SIM maupun jaringan operator.
Makanya, dikutip dari laman Nakedsecurity, pada awal tahun ini Twitter mengekor Google dan Facebook, menerapkan aplikasi pihak ketiga, yakni Google Authenticator, Duo MObile, dan Authy untuk verifikasi.
Malahan Twitter memperluas autentikasi dengan mekanisme FIDO Universal 2nd Factor (U2F). Mekanisme ini diklaim makin kuat daari incaran pembobolan peretas. Sebab, saat peretas ingin menjebol username dan password, peretas akan diminta memasukkan kode token tertentu.
Apple mengambil langkah untuk mengantisipasi risiko keamanan 2FA. Produsen iPhone ini memperkenalkan autentikasi dua faktor yang lebih pintar dengan merilis fitur baru bernama Security Code Autofill. Fitur ini membuat pengguna tak perlu repot memasukkan kode numerik yang terkirim ke ponsel pengguna.
Begitu kode verifikasi terkirim, maka secara otomatis akan terisi pada kolom kode keamanan. Jadi mekanisme ini mengurangi risiko kode dicegat oleh peretas.
Reporter senior The Verge, Russell Brandom menuliskan, awalnya mekanisme 2FA memang menjanjikan perlindungan keamanan dari incaran peretas. Namun, kemudian seiring dengan makin banyaknya jenis 2FA dan masifnya penggunaan sistem keamanan ini, membuat peretas bisa memelajarinya.
Buktinya pada 2014, peretas bisa menargetkan layanan Bitcoin dengan membobol mekanisme 2FA. Peretas bisa mengatasi keamanan ekstra itu dengan mencegat token perangkat lunak atau melalui skema pemulihan akun yang rumit. Dalam beberapa kasus, peretas membobol akun operator telepon secara langsung sebelum mencegat kode ponsel pengguna.
Puncaknya adalah aksi kelompom Rusia yang merecoki badan Pemilu Amerika Serikat, masuk melalui akun dengan 2FA. Peretas Rusia bisa memanen kode konfirmasi menggunakan metode yang sama dipakai untuk membobol password.
Brandom menuliskan, salah satu titik terlemah untuk mengintersepti 2FA adalah operator nirkabel. Peretas memanfaatkan betul kelemahan keamanan dari operator ini, sehingga bisa membobol sistem 2FA.
Dengan berbagai kelemahan pada 2FA, sampai membuat badan sekelas National Institute of Standards and Technology diam-diam menarik dukungan pada autentikasi dua faktor berbasis SMS pada Agustus lalu.
Badan ini sadar, 2FA berbasis SMS menunjukkan risiko intersepsi atau penyadapan. Namun, sayangnya, meski sudah nyata punya kelemahan, perusahaan teknologi responsnya lambat atas risiko tersebut. (asp)
