Lebih dari 90% Pengguna Gmail Tidak Menggunakan Autentikasi Dua Faktor
Anggap saja seperti ini. Katakanlah Anda ingin mengunci pintu depan Anda untuk melindungi rumah Anda. Para profesional keamanan berdebat tentang bahwa jenis kunci terbaik yang tersedia jauh lebih baik daripada kunci yang lebih murah. Tentu, masuk akal. Tetapi jika kunci yang lebih mahal itu tidak tersedia untuk Anda, tidakkah memiliki kunci yang lebih murah masih lebih baik daripada tidak memiliki kunci sama sekali?
Ya, otentikasi dua faktor berbasis aplikasi lebih baik daripada otentikasi berbasis SMS. Namun, jika SMS adalah semua penawaran layanan, itu masih lebih baik daripada tidak menggunakannya sama sekali.
Dua faktor berbasis SMS memiliki beberapa kelemahan, tetapi itu kehilangan intinya. Seorang penyerang harus menghabiskan waktu melewati verifikasi SMS Anda. Dan sebagian besar target mungkin tidak sepadan dengan upaya itu.
Mengapa Anda Membutuhkan Autentikasi Dua Faktor
Otentikasi dua faktor dinamai demikian karena mengharuskan Anda memiliki dua hal untuk masuk ke akun Anda: sesuatu yang Anda ketahui (kata sandi Anda) dan sesuatu yang Anda miliki (kode keamanan tambahan dari perangkat seluler Anda atau token fisik).
Saat Anda mengaktifkan otentikasi dua faktor berbasis SMS, layanan ini akan mengirimkan nomor ponsel Anda pesan teks yang berisi kode satu kali setiap kali Anda masuk dari perangkat baru. Jadi, meskipun seseorang memiliki nama pengguna dan kata sandi Anda untuk akun itu, mereka tidak akan dapat masuk ke akun Anda tanpa akses ke pesan teks Anda.
Ada juga jenis metode dua faktor lainnya, termasuk aplikasi di ponsel Anda yang menghasilkan kode keamanan sementara dan kunci keamanan fisik yang harus Anda tancapkan ke komputer Anda.
Semua jenis otentikasi dua faktor memberikan perlindungan dalam jumlah besar untuk akun penting seperti email, media sosial, dan rekening bank Anda. Ini terutama benar jika Anda menggunakan kembali kata sandi. Banyak orang menggunakan kembali kata sandi di beberapa situs web dan, ketika kebocoran basis kata kunci situs web bocor, kata sandi itu dapat digunakan untuk masuk ke akun email mereka. Otentikasi dua faktor akan menghentikan hak ini di jalurnya.
Itu tidak berarti Anda harus menggunakan kembali kata sandi. Anda tidak harus menggunakan kembali kata sandi. Anda harus menggunakan pengelola kata sandi yang baik untuk melacak kata sandi yang kuat dan unik.
Mengapa Orang Katakan Otentikasi SMS Buruk?
- Penyerang dapat meniru identitas Anda dan memindahkan nomor telepon Anda ke telepon baru dalam scam nomor telepon. Ini adalah serangan yang paling mungkin.
- Seorang penyerang dapat mencegat pesan SMS yang ditujukan untuk Anda. Misalnya, mereka bisa spoof menara sel di dekat Anda, atau pemerintah bisa menggunakan aksesnya ke jaringan seluler untuk meneruskan pesan.
Itulah sebabnya, para ahli menyarankan untuk menggunakan metode dua faktor lainnya, metode yang tidak dapat dengan mudah disalahgunakan oleh negara-negara bagian dan tidak rentan jika operator seluler Anda memberikan nomor telepon Anda kepada orang lain. Jika Anda mendapatkan kode dari aplikasi di ponsel atau kunci keamanan fisik yang Anda colokkan, dua faktor Anda tidak rentan terhadap masalah dengan jaringan telepon. Penyerang akan membutuhkan ponsel Anda yang tidak terkunci atau kunci keamanan fisik yang harus Anda masuki.
Tentu, di dunia yang sempurna, SMS bukanlah solusi ideal. Kami telah menjelaskan mengapa pakar keamanan tidak suka otentikasi dua langkah berbasis SMS. Namun, bahkan ketika kami meletakkan kasus itu, kami mencoba untuk membuat satu hal jelas: otentikasi dua faktor berbasis SMS jauh, jauh lebih baik daripada tidak sama sekali.
Beberapa Orang Butuh Lebih Banyak Keamanan Daripada Menyediakan SMS
Rata-rata orang baik-baik saja dengan otentikasi berbasis SMS untuk saat ini. Autentikasi berbasis SMS membuat penyerang mengalami banyak masalah ekstra untuk masuk ke akun Anda, dan Anda mungkin tidak layak mendapat masalah ketika ada target lain yang lebih mudah dan mudah di luar sana. Kebanyakan orang bahkan tidak menggunakan otentikasi SMS, dan web akan menjadi tempat yang jauh lebih aman jika semua orang melakukannya.
Orang-orang yang cenderung ditargetkan oleh penyerang canggih harus menghindari otentikasi berbasis SMS. Misalnya, jika Anda seorang politikus, jurnalis, selebriti, atau pemimpin bisnis, Anda dapat ditargetkan. Jika Anda adalah orang yang memiliki akses ke data perusahaan yang sensitif, administrator sistem dengan akses mendalam ke sistem sensitif, atau hanya seseorang dengan banyak uang di bank, SMS mungkin terlalu berisiko.
Namun, jika Anda adalah orang biasa dengan akun Gmail atau Facebook dan tidak ada yang punya alasan untuk menghabiskan banyak waktu untuk mendapatkan akses ke akun Anda, autentikasi SMS baik-baik saja dan Anda harus benar-benar mengaktifkannya daripada tidak menggunakan apa pun sama sekali.
Anda Hanya Aman Seperti Tautan yang Terlemah
Dengan kata lain, banyak - mungkin bahkan sebagian besar - layanan memungkinkan Anda masuk ke akun Anda dengan nomor telepon Anda, bahkan jika Anda menggunakan kode yang dihasilkan aplikasi atau kunci keamanan fisik sebagian besar waktu. Anda hanya seaman tautan terlemah di sistem. Coba periksa cara lain Anda dapat masuk jika Anda tidak memiliki metode normal.
Itu sebabnya, untuk benar-benar mengunci akun Google, Anda tidak hanya perlu menghindari otentikasi dua langkah berbasis SMS. Anda juga harus mendaftar di Program Advanced Protection Google, yang mana Google mengiklankan “jurnalis, aktivis, pemimpin bisnis, dan tim kampanye politik.” Program gratis ini mengharuskan Anda menggunakan kunci keamanan fisik untuk masuk, tetapi juga menuntut lebih banyak lagi informasi untuk memulihkan akun Anda.
Harap Gunakan SMS Jika Anda Tidak Menggunakan 2FA Saat Ini
Kami tidak ingin meninabobokan Anda ke dalam rasa aman yang salah: Jika Anda adalah orang yang mungkin ditargetkan oleh pemerintah asing, mata-mata perusahaan, atau penjahat terorganisir, Anda harus benar-benar menghindari otentikasi dua faktor berbasis SMS dan mengunci akun dengan sesuatu yang lebih aman.
Namun, jika Anda rata-rata orang yang belum mengaktifkan autentikasi dua-faktor, jangan dibujuk: Dua faktor berbasis SMS akan membuat Anda jauh lebih aman daripada tidak ada dua faktor sama sekali. Ini adalah garis dasar yang penting untuk keamanan.
Setiap orang harus menggunakan verifikasi SMS kecuali mereka menggunakan sesuatu yang lebih baik.
