First Things First: SMS Masih Lebih Baik daripada Tidak Ada Dua Faktor Otentikasi di Semua!
Sementara kami akan memaparkan kasus terhadap SMS di sini, penting bagi kami untuk terlebih dahulu menjelaskan satu hal: Menggunakan SMS lebih baik daripada tidak menggunakan otentikasi dua faktor sama sekali.
Saat Anda tidak menggunakan autentikasi dua faktor, seseorang hanya perlu kata sandi Anda untuk masuk ke akun Anda. Saat Anda menggunakan autentikasi dua faktor dengan SMS, seseorang perlu mendapatkan kata sandi Anda dan mendapatkan akses ke pesan teks Anda untuk mendapatkan akses ke akun Anda. SMS jauh lebih aman daripada tidak sama sekali.
Jika SMS adalah satu-satunya pilihan Anda, silakan gunakan SMS. Namun, jika Anda ingin mempelajari mengapa pakar keamanan menyarankan untuk menghindari SMS dan apa yang kami sarankan, baca terus.
SIM Swap Memungkinkan Penyerang untuk Mencuri Nomor Telepon Anda
Berikut cara kerja verifikasi SMS: Saat Anda mencoba masuk, layanan mengirim pesan teks ke nomor ponsel yang sebelumnya Anda berikan kepada mereka. Anda mendapatkan kode itu di ponsel dan memasukkannya untuk masuk. Kode itu hanya bagus untuk sekali pakai.
Jika seseorang mengetahui nomor telepon Anda dan dapat memperoleh akses ke informasi pribadi seperti empat digit terakhir nomor jaminan sosial Anda - sayangnya, ini mudah ditemukan berkat banyaknya perusahaan dan lembaga pemerintah yang telah membocorkan data pelanggan - mereka dapat menghubungi ponsel Anda perusahaan dan memindahkan nomor telepon Anda ke telepon baru. Ini dikenal sebagai "SIM swap", dan merupakan proses yang sama yang Anda lakukan saat membeli perangkat baru dan memindahkan nomor telepon Anda ke sana. Orang itu mengatakan bahwa mereka adalah Anda, memberikan data pribadi, dan perusahaan telepon seluler Anda menyiapkan ponsel mereka dengan nomor telepon Anda. Mereka akan mendapatkan kode pesan SMS yang dikirim ke nomor telepon Anda di ponsel mereka.
Kami telah melihat laporan tentang hal ini terjadi di Inggris, tempat penyerang mencuri nomor telepon korban dan menggunakannya untuk mendapatkan akses ke rekening bank korban. Negara Bagian New York juga telah memperingatkan tentang penipuan ini.
Pada intinya, ini adalah serangan rekayasa sosial yang bergantung pada mengelabui perusahaan ponsel Anda. Tetapi perusahaan ponsel Anda seharusnya tidak dapat memberi seseorang akses ke kode keamanan Anda sejak awal!
Pesan SMS Dapat Diinterupsi dengan Banyak Cara
Penyerang juga telah menyalahgunakan masalah di SS7, sistem koneksi yang digunakan untuk roaming, untuk mencegat pesan SMS di jaringan dan mengarahkannya ke tempat lain. Ada banyak cara lain pesan dapat disadap, termasuk melalui penggunaan menara ponsel palsu. Pesan SMS tidak dirancang untuk keamanan, dan tidak boleh digunakan untuk itu.
Dengan kata lain, penyerang yang canggih dengan sedikit informasi pribadi dapat membajak nomor telepon Anda untuk mendapatkan akses ke akun online Anda dan kemudian menggunakan akun tersebut untuk mencoba menguras rekening bank Anda, misalnya. Itulah mengapa Institut Standar dan Teknologi Nasional tidak lagi merekomendasikan penggunaan pesan SMS untuk otentikasi dua faktor.
Alternatif: Hasilkan Kode di Perangkat Anda
Skema autentikasi dua faktor yang tidak mengandalkan SMS lebih unggul, karena perusahaan telepon seluler tidak akan dapat memberi orang lain akses ke kode Anda. Opsi paling populer untuk ini adalah aplikasi seperti Google Authenticator. Namun, kami menyarankan Authy, karena itu melakukan semua hal yang dilakukan Google Authenticator dan banyak lagi.
Aplikasi seperti ini menghasilkan kode di perangkat Anda. Bahkan jika penyerang menipu perusahaan ponsel Anda untuk memindahkan nomor telepon Anda ke ponsel mereka, mereka tidak akan bisa mendapatkan kode keamanan Anda. Data yang diperlukan untuk menghasilkan kode tersebut akan tetap aman di ponsel Anda.
Ada juga token perangkat fisik yang dapat Anda gunakan. Perusahaan besar seperti Google dan Dropbox telah menerapkan standar baru untuk token otentikasi dua faktor berbasis perangkat keras bernama U2F. Semua ini lebih aman daripada mengandalkan perusahaan telepon seluler Anda dan jaringan telepon yang ketinggalan jaman.
Jika memungkinkan, hindari SMS untuk otentikasi dua faktor. Ini lebih baik daripada tidak ada apa pun dan tampaknya nyaman, tetapi biasanya skema autentikasi dua faktor yang paling aman yang dapat Anda pilih.
Sayangnya, beberapa layanan memaksa Anda menggunakan SMS. Jika Anda mengkhawatirkan hal ini, Anda dapat membuat nomor telepon Google Voice dan memberikannya ke layanan yang memerlukan otentikasi SMS. Anda kemudian dapat masuk ke akun Google Anda - yang dapat Anda lindungi dengan metode autentikasi dua faktor yang lebih aman - dan melihat pesan aman di situs web atau aplikasi Google Voice. Jangan meneruskan pesan dari Google Voice ke nomor ponsel Anda yang sebenarnya.