Inilah Cara Hacker Melakukan Bypass Two-Factor Authentication, Pengguna 2FA Harap Lebih Berhati-hati
Kata 2FA (Two-Factor Authentication) mungkin sudah tidak lagi asing didengar oleh telinga kita. Banyak penyedia layanan online saat ini yang menyediakan fitur 2FA sebagai proteksi tambahan untuk para pengguna.
Misalnya saja Facebook, Twitter, Google, Paypal, WordPress, dan masih banyak penyedia layanan jasa online lainnya yang menyediakan fitur keamanan yang satu ini. Apa sebenarnya keunggulan dari 2FA ini?
Sebagai contoh seseorang berhasil mendapatkan password dari akun facebook Anda. Karena sebelumnya Anda telah mengaktifkan fitur 2FA artinya Anda sebagai pengguna 2FA.
Ada dua tahapan proses yang biasanya harus dilakukan yaitu mendaftarkan nomor ponsel dan menautkan aplikasi two-factor authentication di smartphone semisal Authy dan Google Authenticator ke akun online Anda.
Baca juga: Kehilangan Backup Code untuk 2-Step Verification (2FA)
Setiap kali login ke akun online tersebut. Anda perlu memasukan kode khusus yang dihasilkan oleh aplikasi two-factor authentication atau SMS yang berisi kode tertentu yang dikirimkan ke nomor ponsel Anda.
Seseorang misalnya mengetahui password Anda. Mungkin ia bisa menebak kata sandi password yang Anda gunakan berdasarkan informasi dari sosial media. Ini sering banget terjadi terutama bagi kata sandi yang lemah.
Contohnya yaitu menggunakan kata sandi password akun facebook, yahoo, gmail, dan seterusnya berdasarkan tanggal lahir, tanggal jadian, tanggal pernikahan, nomor telepon rumah, dan seterusnya.
Selain itu bisa juga dari seseorang mengetahui kata sandi password dari komputer publik. Contohnya warnet, komputer lab, komputer perpustakaan, komputer kantor, dan seterusnya.
Pada saat login di suatu web tertentu. Browser biasanya akan menawarkan apakah password dan akun login yang dimasukan perlu disimpan atau tidak. Jika main yes-yes aja password akan tersimpan di komputer tersebut.
Baca juga: Pengguna Yahoo Wajib Baca Tulisan Ini (Yahoo Diretas!)
Karena dipergunakan oleh banyak orang, namanya juga komputer publik. Password yang tersimpan di browser bisa diketahui oleh orang lain dengan mudah.
Cara lain untuk mengetahui kata sandi password seseorang bisa juga melalui fake login, keylogger, dan masih banyak cara lainnya. Nah si peretas akun online ini belum bisa mengambil alih 100% akun tersebut karena ada proteksi tambahan 2FA tadi.
Lalu bagaimana cara selanjutnya agar akun bisa benar-benar dikuasai 100 persen? Coba Anda lihat tweet yang ada di bawah ini:
Be warned, there’s a nasty Google 2 factor auth attack going around. pic.twitter.com/c9b9Fxc0ZC
— Alex MacCaw (@maccaw) June 4, 2016
Ternyata kasusnya seperti ini. Si peretas setelah mengetahui calon korbannya menggunakan perlindungan tambahan 2FA tadi (artinya bisa jadi juga orang ini telah mengetahui kata sandi password dari korbannya).
Ia berusaha menghubungi calon korbannya dengan mengirimkan SMS yang seolah-olah berasal dari Google agar si calon korban mengirimkan kode khusus 2FA kepadanya.
Ini yang saya maksud pengguna 2FA harus lebih berhati-hati. Kode yang dihasilkan dari aplikasi two-factor authentication atau SMS yang berisi kode 2FA itu ibarat sebuah kode PIN yang dipakai di ATM!
Baca juga: Tips Mengamankan Akun Facebook dari Orang-orang yang Tidak Bertanggung Jawab
Pihak manapun tidak boleh mengetahui kode 2FA tersebut kecuali orang-orang yang Anda percayai atau seseorang yang memang Anda delegasikan secara legal dan sah untuk mengakses akun-akun online tersebut.
Celah keamanan ternyata tidak hanya berasal dari sebuah sistem. Pengguna (user) yang tidak teredukasi dengan baik mengenai keamanan IT juga bisa menjadi celah yang dapat dimanfaatkan oleh orang lain.
Tulisan ini hanya sebagai pengingat saja bagi para pengguna 2FA untuk lebih berhati-hati kedepannya. Semoga tulisan ini bermanfaat untuk Anda baca dan bagikan ke teman-teman Anda di sosial media.
—
Klik tombol share yang ada di bawah tulisan ini dan bantu sebarkan melalui jejaring sosial yang Anda miliki, baik itu di Facebook, Twitter, Google Plus, LinkedIn, Path, dan jejaring sosial lainnya.
Suka dengan tulisan yang ada di blog Situstarget.com? Daftarkan alamat email dan nama lengkap Anda di kotak berlangganan artikel di bawah tulisan ini. Setiap ada artikel terbaru kami akan memberitahukannya via email.
