Ketika berbicara tentang keamanan siber pribadi, Anda mungkin berpikir bahwa Anda baik-baik saja. Setelah mengatur otentikasi multi-faktor di telepon seluler, langkah selanjutnya Anda harus memasukkan sebuah kode yang dikirimkan melalui SMS sebelum Anda dapat masuk ke email atau rekening bank dari sebuah perangkat baru.
Yang mungkin tidak Anda sadari adalah kemunculan jenis penipuan baru yang telah membuat otentikasi menggunakan sebuah kode yang dikirim melalui pesan SMS, email, atau panggilan suara menjadi kurang aman daripada sebelumnya.
Otentikasi multi-faktor tercantum dalam Essential Eight Maturity Model, delapan strategi mitigasi untuk mengurangi ancaman siber dari Pusat Keamanan Siber Australia, sebagai langkah keamanan yang direkomendasikan bagi bisnis untuk mengurangi risiko serangan siber.
Dalam daftar yang diperbarui bulan lalu, otentikasi melalui pesan SMS, email, atau panggilan suara mendapati penurunan. Hal ini menerangkan bahwa otentikasi tersebut tidak lagi dianggap optimal untuk sistem keamanan.
Apa itu otentikasi multi-faktor?
Setiap kali kita masuk ke suatu aplikasi atau perangkat, kita biasanya dimintai beberapa bentuk pemeriksaan identitas. Ini seringkali sesuatu yang kita ketahui (seperti kata sandi), tapi bisa juga sesuatu yang kita miliki (seperti kunci keamanan atau kartu akses), atau sesuatu dari diri kita (seperti sidik jari).
Yang terakhir ini sering lebih disukai karena ketika Anda mungkin bisa lupa kata sandi atau kartu, tanda tangan biometrik Anda akan selalu ada bersama Anda.
Otentikasi multi-faktor adalah saat lebih dari satu pemeriksaan identitas dibutuhkan melalui saluran yang berbeda. Misalnya, saat ini sudah umum untuk memasukkan kata sandi Anda, lalu ada kode otentikasi tambahan yang dikirim ke telepon Anda melalui pesan SMS, email atau pesan suara.
Banyak layanan, seperti bank, sudah menawarkan fitur ini. Anda dikirimi sebuah kode “satu kali” ke telepon Anda untuk mengkonfirmasi otoritas untuk melakukan sebuah transaksi.
Ini bagus karena:
- Menggunakan dua saluran terpisah
- Kode ini dibuat secara acak, sehingga tidak dapat ditebak
- Kode memiliki masa hidup yang terbatas
Bagaimana ini bisa salah?
Misalkan penjahat siber telah mencuri telepon Anda, tapi Anda mengunci telepon tersebut dengan sidik jari. Jika penjahat ingin membobol rekening bank Anda dan mencoba masuk, maka bank Anda mengirimkan kode otentikasi ke telepon Anda.
Tergantung pada bagaimana pengaturan ponsel Anda dikonfigurasi, kode tersebut dapat muncul di layar ponsel Anda, bahkan ketika ia masih terkunci. Penjahat kemudian dapat memasukkan kode dan mengakses rekening bank Anda. Perhatikan bahwa pengaturan “jangan ganggu” pada ponsel Anda tidak akan membantu karena pesan tetap masih muncul. Untuk menghindari masalah ini, Anda perlu menonaktifkan preview notifikasi pesan sepenuhnya dalam pengaturan ponsel Anda.
Peretasan yang lebih rumit melibatkan “pertukaran SIM”. Jika seorang penjahat memiliki beberapa rincian identitas Anda, mereka mungkin dapat meyakinkan penyedia telepon Anda bahwa mereka adalah Anda dan meminta SIM baru yang dilampirkan ke nomor telepon Anda untuk dikirimkan kepada mereka. Dengan begitu, setiap kali kode otentikasi dikirim dari salah satu akun Anda, kode itu akan pergi ke peretas daripada Anda sendiri.
Ini pernah terjadi pada seorang jurnalis teknologi di Amerika Serikat beberapa tahun yang lalu, dia menggambarkan pengalaman itu sebagai berikut:
Sekitar pukul 9 malam pada Selasa, 22 Agustus, seorang peretas menukar kartu SIM miliknya dengan kartu milik saya dengan menelepon T-Mobile. Pada akhirnya, mereka mematikan layanan jaringan ke telepon saya, lalu beberapa saat kemudian, memungkinkan peretas untuk mengubah sebagian besar kata sandi Gmail saya, kata sandi Facebook saya, dan teks atas nama saya. Semua notifikasi dua faktor mengarah ke nomor telepon saya (yang diretas) sehingga saya tidak menerimanya dan dalam waktu sekitar dua menit saya terkunci dari kehidupan digital saya.
Lalu muncul pertanyaan apakah Anda ingin memberikan nomor telepon Anda ke layanan yang Anda gunakan. Facebook mendapat kecaman dalam beberapa hari terakhir karena mengharuskan pengguna untuk memberikan nomor telepon mereka untuk mengamankan akun mereka, tapi kemudian memungkinkan orang lain untuk mencari profil mereka melalui nomor telepon mereka. Mereka juga dilaporkan menggunakan nomor telepon untuk menyasar pengguna dengan iklan.
Memecah pemeriksaan identitas bukan hal yang buruk. Namun, mengirimkan bagian dari pemeriksaan identitas melalui saluran yang kurang aman akan mendorong rasa aman palsu yang bisa lebih buruk daripada tidak menggunakan keamanan sama sekali.
Otentikasi multi-faktor penting–selama Anda melakukannya melalui saluran yang tepat.
Apa kombinasi otentikasi yang terbaik?
Mari kita pertimbangkan beberapa kombinasi otentikasi multi-faktor yang memiliki berbagai tingkat kemudahan penggunaan dan keamanan.
Pilihan pertama yang jelas adalah sesuatu yang Anda ketahui dan miliki, katakan kata sandi dan kartu akses fisik. Seorang penjahat siber harus mendapatkan keduanya untuk menyamar sebagai Anda. Bukannya tidak mungkin, tapi sulit.
Kombinasi lainnya adalah kata sandi dan sebuah voiceprint yang mengacu pada spektrum frekuensi akustik yang membawa informasi ucapan dalam suara manusia. Sistem pengenalan cetak suara merekam Anda berbicara frasa sandi tertentu dan kemudian mencocokkan suara Anda ketika Anda perlu mengautentikasi identitas Anda. Ini menarik karena Anda tidak dapat meninggalkan suara di rumah atau di dalam mobil.
Tapi bisakah suaramu dipalsukan? Dengan bantuan perangkat lunak digital, dimungkinkan untuk mengambil rekaman suara Anda yang sudah ada, membongkar, dan mengurutkan ulang untuk menghasilkan frasa yang diperlukan. Ini agak menantang, tapi bukan berarti tidak mungkin.
Kombinasi ketiga adalah sebuah kartu dan sebuah cetak suara. Pilihan ini menghilangkan kebutuhan untuk mengingat kata sandi yang dapat dicuri, dan selama Anda menjaga token fisik (kartu atau kunci) dengan aman, sangat sulit bagi orang lain untuk menyamar sebagai Anda.
Belum ada solusi yang sempurna. Menggunakan versi otentikasi paling aman tergantung pada apa yang ditawarkan oleh layanan Anda, seperti bank Anda.
Keamanan dunia siber adalah tentang mengelola risiko, sehingga, kombinasi otentikasi multi-faktor yang sesuai dengan kebutuhan Anda bergantung pada keseimbangan yang Anda terima antara kegunaan dan keamanan.
Amira Swastika menerjemahkan artikel ini dari bahasa Inggris.