Otentikasi tambahan selalu membantu. Meskipun tidak ada yang menawarkan keamanan sempurna yang kita semua inginkan, menggunakan autentikasi dua faktor menambah lebih banyak hambatan bagi penyerang yang menginginkan barang Anda.
Perusahaan Telepon Anda adalah Lemah Tautan
Sistem otentikasi dua langkah di banyak situs bekerja dengan mengirim pesan ke telepon Anda melalui SMS ketika seseorang mencoba masuk. Bahkan jika Anda menggunakan aplikasi khusus di ponsel Anda untuk menghasilkan kode, ada peluang bagus layanan pilihan Anda untuk biarkan orang masuk dengan mengirim kode SMS ke ponsel Anda. Atau, layanan ini memungkinkan Anda untuk menghapus perlindungan otentikasi dua-faktor dari akun Anda setelah mengonfirmasi bahwa Anda memiliki akses ke nomor telepon yang Anda konfigurasikan sebagai nomor telepon pemulihan.
Semua ini terdengar bagus. Anda memiliki ponsel Anda, dan memiliki nomor telepon. Ini memiliki kartu SIM fisik di dalamnya yang mengikatnya dengan nomor telepon itu dengan penyedia ponsel Anda. Semuanya terlihat sangat fisik. Tapi, sayangnya, nomor telepon Anda tidak seaman yang Anda kira.
Jika Anda pernah perlu memindahkan nomor telepon yang ada ke kartu SIM baru setelah kehilangan ponsel Anda atau hanya mendapatkan yang baru, Anda akan tahu apa yang sering dapat Anda lakukan sepenuhnya melalui telepon - atau bahkan online. Yang harus dilakukan penyerang adalah menghubungi departemen layanan pelanggan perusahaan ponsel Anda dan berpura-pura menjadi Anda. Mereka harus tahu nomor telepon Anda dan mengetahui beberapa detail pribadi tentang Anda. Ini adalah jenis perincian - misalnya, nomor kartu kredit, empat digit terakhir SSN, dan lainnya - yang secara teratur bocor dalam basis data besar dan digunakan untuk pencurian identitas. Penyerang dapat mencoba agar nomor telepon Anda dipindahkan ke ponsel mereka.
Bahkan ada cara yang lebih mudah. Atau, Misalnya, mereka bisa mendapatkan penerusan panggilan yang disiapkan di akhir perusahaan telepon sehingga panggilan suara yang masuk diteruskan ke ponsel mereka dan tidak menjangkau Anda.
Heck, penyerang mungkin tidak membutuhkan akses ke nomor telepon lengkap Anda. Mereka dapat memperoleh akses ke pesan suara Anda, mencoba masuk ke situs web pada pukul 3 pagi, lalu mengambil kode verifikasi dari kotak surat suara Anda. Seberapa amankah sistem email suara perusahaan telepon Anda? Seberapa amankah PIN surat suara Anda - apakah Anda sudah mengaturnya? Tidak semua orang punya! Dan, jika Anda punya, berapa banyak upaya yang diperlukan bagi penyerang untuk mendapatkan PIN surat suara Anda disetel ulang dengan menghubungi perusahaan telepon Anda?
Dengan Nomor Telepon Anda, Semua Sudah Berakhir
Nomor telepon Anda menjadi tautan yang lemah, memungkinkan penyerang Anda untuk menghapus verifikasi dua langkah dari akun Anda - atau menerima kode verifikasi dua langkah - melalui SMS atau panggilan suara. Pada saat Anda menyadari ada sesuatu yang salah, mereka dapat memiliki akses ke akun tersebut.
Ini adalah masalah bagi hampir setiap layanan. Layanan online tidak ingin orang kehilangan akses ke akun mereka, sehingga mereka biasanya memungkinkan Anda untuk memotong dan menghapus otentikasi dua faktor dengan nomor telepon Anda. Ini membantu jika Anda harus mengatur ulang ponsel Anda atau mendapatkan yang baru dan Anda telah kehilangan kode otentikasi dua-faktor - tetapi Anda masih memiliki nomor telepon Anda.
Secara teoritis, seharusnya ada banyak perlindungan di sini. Pada kenyataannya, Anda berurusan dengan orang layanan pelanggan di penyedia layanan seluler. Sistem ini sering diatur untuk efisiensi, dan karyawan layanan pelanggan mungkin mengabaikan beberapa pengamanan yang dihadapi oleh pelanggan yang tampaknya marah, tidak sabar, dan memiliki apa yang tampak seperti cukup informasi. Perusahaan telepon Anda dan departemen layanan pelanggannya adalah tautan yang lemah dalam keamanan Anda.
Melindungi nomor telepon Anda sulit. Secara realistis, perusahaan telepon seluler harus memberikan perlindungan lebih untuk membuat ini kurang berisiko. Pada kenyataannya, Anda mungkin ingin melakukan sesuatu sendiri daripada menunggu perusahaan besar untuk memperbaiki prosedur layanan pelanggan mereka. Beberapa layanan memungkinkan Anda untuk menonaktifkan pemulihan atau mereset melalui nomor telepon dan memperingatkannya secara berlebihan - tetapi, jika itu adalah sistem misi-kritis, Anda mungkin ingin memilih prosedur penyetelan ulang yang lebih aman seperti mereset kode yang dapat Anda kunci di brankas bank Anda membutuhkannya.
Prosedur Reset Lainnya
Ini bukan hanya tentang nomor telepon Anda. Banyak layanan memungkinkan Anda menghapus autentikasi dua faktor tersebut dengan cara lain jika Anda mengklaim Anda kehilangan kode dan harus masuk. Selama Anda mengetahui cukup banyak detail pribadi tentang akun, Anda mungkin bisa masuk.
Cobalah sendiri - buka layanan yang Anda dapatkan dengan otentikasi dua faktor dan berpura-pura Anda kehilangan kode. Lihat apa yang diperlukan untuk masuk. Anda mungkin harus memberikan perincian pribadi atau menjawab "pertanyaan keamanan" yang tidak aman dalam skenario terburuk. Itu tergantung pada bagaimana layanan dikonfigurasi. Anda mungkin dapat meresetnya dengan mengirim email ke tautan ke akun email lain, yang dalam hal ini akun email itu dapat menjadi tautan yang lemah. Dalam situasi yang ideal, Anda mungkin hanya perlu akses ke nomor telepon atau kode pemulihan - dan, seperti yang telah kita lihat, bagian nomor telepon adalah tautan yang lemah.
Ada hal lain yang menakutkan: Ini bukan hanya tentang melewati verifikasi dua langkah.Seorang penyerang dapat mencoba trik serupa untuk memintas kata sandi Anda sepenuhnya. Ini dapat berfungsi karena layanan online ingin memastikan orang dapat memperoleh kembali akses ke akun mereka, bahkan jika mereka kehilangan kata sandinya.
Misalnya, lihat sistem Pemulihan Akun Google. Ini adalah opsi terakhir untuk memulihkan akun Anda. Jika Anda mengaku tidak tahu kata sandi apa pun, akhirnya Anda akan dimintai informasi tentang akun Anda seperti saat Anda membuatnya dan siapa yang sering Anda kirimi email. Seorang penyerang yang cukup tahu tentang Anda secara teoritis dapat menggunakan prosedur pengaturan ulang kata sandi seperti ini untuk mendapatkan akses ke akun Anda.
Kami belum pernah mendengar tentang proses Pemulihan Akun Google yang disalahgunakan, tetapi Google bukan satu-satunya perusahaan dengan alat seperti ini. Mereka tidak bisa sepenuhnya sangat mudah, terutama jika penyerang cukup tahu tentang Anda.
Apa pun masalahnya, akun dengan penyiapan verifikasi dua langkah akan selalu lebih aman daripada akun yang sama tanpa verifikasi dua langkah. Namun autentikasi dua faktor bukanlah peluru perak, seperti yang telah kita lihat dengan serangan yang menyalahgunakan tautan terlemah terbesar: perusahaan telepon Anda.
