Anda berada pada pelanggaran data karena menjungkirbalikkan seluruh kehidupan online Anda. Masalahnya adalah kata sandi, yang merupakan cara rapuh yang tidak dapat diperbaiki untuk melindungi aset berharga.
Jangan membuai diri Anda dengan rasa aman yang palsu dengan keyakinan bahwa membuat kata sandi yang lebih panjang, lebih kompleks, dan sulit ditebak akan membuat Anda lebih aman saat online. Anda dapat membuat kata sandi yang sangat panjang dan rumit sehingga Anda membutuhkan waktu lima menit untuk mengetik, dan itu tidak akan melindungi Anda jika layanan yang Anda gunakan dengan tidak tepat menyimpannya dan karena itu server mereka diretas. Itu terjadi secara teratur.
Dan bahkan dengan kebijakan yang masuk akal (kompleksitas, diubah secara teratur, tidak digunakan kembali), orang-orang masih merupakan mata rantai terlemah dalam rantai keamanan. Manipulasi psikologis bahkan dapat meyakinkan orang pintar untuk memasukkan kredensial mereka di situs phishing atau menyerah di telepon.
Solusinya adalah otentikasi dua faktor, atau 2FA. (Beberapa layanan, yang melekat pada detailnya, sebut saja otentikasi multi-faktor atau verifikasi dua langkah, tetapi 2FA adalah istilah yang paling banyak digunakan, jadi itulah nomenklatur yang saya pilih untuk digunakan di sini.)
Laporan tahun 2019 dari Microsoft menyimpulkan bahwa 2FA berfungsi, memblokir 99,9% serangan otomatis. Jika penyedia layanan mendukung otentikasi multi-faktor, Microsoft merekomendasikan untuk menggunakannya, bahkan jika itu sesederhana kata sandi satu kali berbasis SMS. Laporan terpisah tahun 2019 dari Google menawarkan kesimpulan serupa.
Pada artikel ini, saya telah menjawab beberapa pertanyaan paling umum yang diajukan orang kepada saya tentang 2FA.
BAGAIMANA 2FA BEKERJA? BUKANKAH MEREPOTKAN?
Mengaktifkan 2FA untuk layanan mengubah persyaratan keamanan, memaksa Anda untuk memberikan setidaknya dua bukti identitas saat Anda masuk ke layanan aman untuk pertama kali pada perangkat yang tidak dikenal. Setelah berhasil melewati tantangan ini, Anda biasanya memiliki opsi untuk mengklasifikasikan perangkat sebagai tepercaya, yang berarti bahwa permintaan 2FA seharusnya relatif jarang pada perangkat yang Anda gunakan secara teratur.
Kedua bentuk otentikasi ini dapat berasal dari kombinasi apa pun dari setidaknya dua dari berikut ini:
- “Sesuatu yang Anda ketahui”, seperti sandi atau PIN
- “Sesuatu Anda”, seperti sidik jari atau ID biometrik lainnya
- “Sesuatu yang Anda miliki”, seperti smartphone tepercaya yang dapat menghasilkan atau menerima kode konfirmasi atau perangkat keamanan berbasis perangkat keras.
Sebagian besar, sistem otentikasi dua faktor yang Anda lihat hari ini menggunakan elemen pertama (kata sandi Anda) dan elemen terakhir (ponsel cerdas Anda). Ponsel pintar telah ada di mana-mana, menjadikannya perangkat keamanan yang ideal.
Ponsel cerdas Anda bisa membantu Anda dengan otentikasi dengan memberikan kode unik yang Anda gunakan bersama dengan kata sandi Anda untuk masuk. Anda dapat memperoleh kode ini dengan salah satu dari dua cara: Dikirim sebagai pesan teks oleh layanan atau dibuat oleh aplikasi yang diinstal pada ponsel Anda.
Di sini, misalnya, adalah apa yang saya lihat beberapa saat lalu ketika saya mencoba mengakses akun Gmail saya dari browser yang belum pernah saya gunakan sebelumnya.
Jika permintaan login ini berasal dari seseorang yang mencuri kredensial akun Google saya, mereka akan dihentikan begitu saja. Tanpa kode tersebut, mereka tidak dapat melanjutkan proses login.
Sebagian besar (tetapi tidak semua) layanan yang mendukung 2FA menawarkan pilihan metode otentikasi. Google dan Microsoft, misalnya, dapat mengirimkan pemberitahuan ke perangkat tepercaya; Anda mengetuk pemberitahuan untuk menyetujui akses. Semakin banyak layanan yang mendukung penggunaan kunci keamanan perangkat keras.
Dan, tentu saja, sebagian besar layanan menawarkan kemampuan untuk mencetak kode pemulihan cadangan, yang dapat Anda simpan di tempat yang aman dan digunakan jika metode otentikasi sekunder biasa tidak tersedia. Jika ponsel cerdas Anda hilang, dicuri, atau rusak, Anda memerlukan kode-kode itu.
METODE OTENTIKASI MANA YANG TERBAIK?
Metode otentikasi terbaik adalah yang Anda rasa paling nyaman. Pastikan Anda memiliki setidaknya dua opsi, untuk menghindari risiko diblokir dari akun Anda.
Saya lebih suka dapat menggunakan aplikasi pengautentikasi daripada menerima kode melalui SMS bila memungkinkan, dan Anda juga, karena dua alasan bagus. Yang pertama adalah soal logistik sederhana. Ada kalanya Anda memiliki akses ke internet (melalui kabel atau koneksi Wi-Fi) tetapi tidak dapat menerima pesan teks, baik karena sinyal seluler Anda lemah atau tidak ada atau Anda menggunakan SIM yang berbeda saat bepergian. Yang kedua adalah kemungkinan kecil tapi nyata bahwa penyerang akan berhasil menembus pertahanan operator seluler Anda untuk mendapatkan kartu SIM dengan nomor telepon Anda, proses yang disebut “pembajakan SIM”.
Aplikasi 2FA paling populer adalah Google Authenticator, tersedia di iOS dan Android. Tetapi ada banyak alternatif; Karena proses pembuatan token aman didasarkan pada standar terbuka, siapa pun dapat menulis aplikasi autentikasi yang menjalankan fungsi yang sama. Faktanya, beberapa aplikasi otentikasi dapat digunakan. Saya menggunakan Microsoft Authenticator, yang dapat menerima pemberitahuan push dari akun pribadi dan bisnis di platform Microsoft, serta dari aplikasi Authy pihak ketiga. (Untuk detailnya, lihat “Lindungi diri Anda: Cara memilih aplikasi autentikasi dua faktor yang benar.”)
Perlu dicatat bahwa aplikasi otentikasi hanya membutuhkan koneksi data selama proses penyiapan awal. Setelah itu, semuanya terjadi di perangkat Anda. Proses ini diatur oleh standar yang diterima dengan baik yang menggunakan Algoritma Kata Sandi Satu Kali Berbasis Waktu (TOTP). Algoritme ini menggunakan aplikasi pengautentikasi sebagai kalkulator canggih yang menghasilkan kode menggunakan waktu saat ini di perangkat dan rahasia bersama. Layanan online menggunakan rahasia yang sama dan stempel waktunya sendiri untuk menghasilkan kode yang dibandingkan dengan entri Anda. Kedua sisi koneksi dapat beradaptasi dengan zona waktu tanpa masalah, meskipun kode akan gagal jika waktu di perangkat salah.
BAGAIMANA SAYA TAHU LAYANAN 2FA YANG MENDUKUNG?
Ketika saya mulai menulis tentang teknologi ini sepuluh tahun lalu, dukungan 2FA relatif jarang. Hari ini ada di agenda.
Akun Google, termasuk akun bisnis Gmail dan GSuite konsumen, menawarkan berbagai alternatif verifikasi dua langkah. Semua akun Microsoft, termasuk akun gratis yang digunakan dengan Outlook.com, Xbox, Skype, dan layanan konsumen lainnya, mendukung berbagai opsi otentikasi, seperti halnya akun Azure Active Directory yang digunakan dengan layanan bisnis dan perusahaan Microsoft, termasuk Microsoft 365 dan Office 365.
Dukungan 2FA ada di mana-mana di antara layanan media sosial (Facebook, Twitter, Instagram, dan sebagainya). Setiap layanan penyimpanan online yang layak dipertimbangkan mendukung 2FA, seperti halnya sebagian besar pendaftar domain dan perusahaan hosting web. Jika Anda tidak yakin dengan layanan tertentu, tempat terbaik untuk memeriksanya adalah repositori informasi open source yang luar biasa yang disebut Two Factor Auth List. Dan jika layanan bernilai tinggi yang Anda andalkan tidak mendukung 2FA, mungkin Anda harus mempertimbangkan untuk beralih ke layanan yang mendukung.
LAYANAN MANA YANG HARUS SAYA LINDUNGI PERTAMA?
Anda mungkin memiliki kredensial login di lusinan layanan online yang mendukung 2FA, jadi strategi terbaik Anda adalah membuat daftar prioritas dan menyelesaikannya. Saya menyarankan prioritas ini:
- Pengelola kata sandi / identitas. Menggunakan pengelola kata sandi mungkin merupakan cara paling penting untuk memastikan Anda memiliki kata sandi yang kuat dan unik untuk setiap layanan, tetapi itu juga menciptakan satu titik serangan. Penambahan 2FA memperkuat potensi kelemahan ini. Perhatikan bahwa untuk beberapa perangkat lunak manajemen kata sandi, dukungan 2FA adalah opsi berbayar.
- Akun Microsoft dan Google. Jika Anda menggunakan layanan dari kedua perusahaan, penting untuk menambahkan dukungan 2FA. Untungnya, ini juga mudah.
- Akun email. Jika pelaku kejahatan dapat mengambil kendali atas akun email Anda, hal itu sering kali dapat menimbulkan malapetaka, karena pesan email adalah cara standar untuk mengirim tautan pengaturan ulang kata sandi. Pesan yang dikirim dari akun email yang disusupi juga dapat digunakan untuk menyerang teman dan kolega (misalnya dengan mengirim lampiran yang berisi malware). Jika Anda menggunakan Outlook.com, Exchange Online, Gmail, atau G Suite, akun email Anda menggunakan metode verifikasi identitas yang terkait dengan akun Microsoft atau Google Anda. Jika Anda menggunakan layanan email yang berbeda, Anda perlu mengkonfigurasi 2FA secara terpisah.
- Akun media sosial. Seperti halnya email, risiko terbesar yang terkait dengan akun Twitter atau Facebook yang diretas adalah akun tersebut akan digunakan untuk melawan teman dan kolega Anda. Meskipun Anda seorang pengintai yang jarang memposting apa pun di media sosial, Anda harus melindungi akun-akun ini.
- Bank dan lembaga keuangan. Sebagian besar bank dan perusahaan kartu kredit telah melakukan investasi signifikan dalam program deteksi penipuan back-end, itulah sebabnya opsi 2FA biasanya terbatas dibandingkan dengan kategori lain. Namun, pengaturan ini perlu ditelusuri dan dikencangkan sebanyak mungkin.
- Belanja dan perdagangan online. Situs apa pun tempat Anda menyimpan nomor kartu kredit harus dilindungi.
BAGAIMANA SAYA MENGKONFIGURASI 2FA?
Menyiapkan keamanan tambahan untuk sebagian besar layanan online membutuhkan keterampilan teknis minimal. Jika Anda dapat menggunakan kamera ponsel cerdas Anda, ketik angka enam digit dan ketuk OK di kotak dialog, Anda memiliki semua keterampilan yang Anda butuhkan. Bagian tersulit dari pekerjaan itu adalah menemukan halaman yang memiliki pengaturan yang relevan.
Jika Anda menggunakan pesan SMS, yang harus Anda lakukan adalah mengaitkan nomor ponsel dengan akun Anda. (Anda juga dapat menggunakan saluran telepon virtual, seperti nomor Google Voice, yang dapat menerima pesan SMS.) Siapkan akun Anda untuk mengirim kode ke nomor itu setiap kali Anda memiliki akses ke perangkat yang tidak tepercaya.
Menyiapkan 2FA di akun Twitter terlebih dahulu mengharuskan Anda memasukkan kata sandi lagi dan kemudian memasukkan nomor telepon tempat Anda ingin menerima kode otentikasi. Setelah menyelesaikan proses ini, Anda akan menerima kode di perangkat itu. Masukkan kode untuk mengonfirmasi bahwa itu telah diterima dan pengaturan 2FA selesai. Berguna bagi Twitter untuk membuat kode pemulihan secara otomatis di akhir proses penginstalan ini; cetak dan simpan di tempat yang aman sehingga Anda dapat mengambilnya kembali jika metode 2FA utama tidak lagi berfungsi.
Untuk memulai dengan aplikasi pengautentikasi, Anda harus terlebih dahulu menginstal aplikasi di perangkat seluler yang ingin Anda gunakan sebagai faktor otentikasi kedua:
- Jika Anda membawa perangkat iOS, Anda bisa mendapatkan aplikasi Google Authenticator dari App Store. (Ini dioptimalkan untuk digunakan di iPhone tetapi juga harus berfungsi di iPad.) Di perangkat Android, instal aplikasi Google Authenticator dari Google Play Store.
- Aplikasi Microsoft Authenticator, yang menggunakan standar yang sama untuk membuat token otentikasi, tersedia untuk perangkat Android dari Google Play Store dan untuk perangkat iOS dari App Store.
- Authy juga tersedia di App Store dan Google Play Store.
- Jika Anda menggunakan pengelola kata sandi LastPass, pertimbangkan untuk memasang aplikasi LastPass Authenticator, yang dirancang untuk bekerja dengan aplikasi LastPass di perangkat seluler dan desktop.
- Jika Anda menggunakan 1Password sebagai pengelola kata sandi Anda, dukungan 2FA dibangun ke dalam aplikasi 1Password di semua platform. Untuk informasi rinci tentang penggunaan fitur One-Time Password, lihat halaman dukungan 1Password ini.
Setelah menginstal aplikasi untuk perangkat Anda, langkah selanjutnya adalah mengonfigurasinya untuk digunakan dengan setiap akun di mana 2FA telah diaktifkan.
Proses penyiapan biasanya memerlukan pengenalan rahasia bersama (string teks panjang) menggunakan aplikasi seluler. Semua aplikasi seluler yang saya cantumkan di atas mendukung penggunaan kamera ponsel cerdas untuk mengambil foto kode QR, yang berisi rahasia bersama untuk akun Anda. Ini jauh lebih mudah daripada memasukkan string alfanumerik kompleks secara manual.
Di aplikasi pengautentikasi, pilih opsi untuk menambahkan akun baru, pilih opsi kode batang, arahkan ponsel cerdas Anda ke kode batang di layar komputer Anda dan tunggu aplikasi tersebut mengisi bidang yang diperlukan.
Setelah mengatur akun Anda di aplikasi otentikasi, itu mulai menghasilkan kode berdasarkan rahasia bersama dan waktu saat ini. Untuk menyelesaikan proses penyiapan, masukkan kode saat ini dari aplikasi pengautentikasi.
Lain kali Anda mencoba masuk dengan perangkat atau browser web baru, Anda harus memasukkan kode sandi saat ini, seperti yang ditampilkan oleh aplikasi pengautentikasi.
Jika Anda menggunakan aplikasi email lama yang tidak mendukung otentikasi modern dengan akun yang dilindungi 2FA, kata sandi normal tidak akan berfungsi lagi. Anda perlu membuat sandi khusus untuk digunakan secara eksklusif dengan aplikasi tersebut. Pengaturan keamanan untuk akun Anda akan memandu Anda melalui proses itu. (Namun sebenarnya, jika Anda menggunakan aplikasi lama yang memerlukan kata sandi aplikasi, Anda mungkin ingin mempertimbangkan untuk menggantinya.)
Sebagai bagian dari proses penyiapan 2FA, Anda juga harus membuat satu atau beberapa kode pemulihan, yang dapat Anda cetak dan simpan di lokasi yang aman. Jika ponsel cerdas Anda hilang atau rusak, Anda dapat menggunakan kode-kode ini untuk mendapatkan kembali akses ke akun Anda.
BAGAIMANA CARA TRANSFER AKUN 2FA KE SMARTPHONE BARU?
Jika Anda menggunakan pesan teks SMS sebagai faktor kedua untuk otentikasi, mentransfer nomor Anda ke telepon baru juga akan mentransfer konfigurasi 2FA dengan mulus.
Beberapa aplikasi otentikasi memungkinkan Anda membuat kode pada beberapa perangkat. 1Password dan Authy termasuk dalam kategori ini. Siapkan aplikasi di ponsel baru, instal aplikasi, masuk, lalu periksa setiap akun untuk memastikan bahwa kode yang dibuat di ponsel baru berfungsi dengan benar. Microsoft Authenticator memungkinkan Anda untuk mencadangkan kode Anda ke cloud dan memulihkannya ke perangkat baru.
Untuk Google Authenticator dan aplikasi lain yang tidak masuk akal, Anda harus membuat ulang setiap akun secara manual di perangkat baru. Instal aplikasi otentikasi di perangkat baru Anda dan ulangi proses penyiapan untuk setiap akun yang digunakan dengan ponsel lama Anda. Menyiapkan akun di aplikasi autentikasi baru secara otomatis menonaktifkan kode yang dibuat oleh perangkat lama.
Otentikasi dua faktor akan menghentikan sebagian besar serangan acak yang mati di jalurnya. Itu tidak sempurna. Penyerang bertekad yang secara langsung menargetkan akun tertentu mungkin dapat menemukan cara untuk melewatinya, terutama jika mereka dapat membajak akun email yang digunakan untuk pemulihan atau mengalihkan panggilan telepon dan pesan SMS ke perangkat yang dikontrolnya. Tetapi jika seseorang bertekad untuk masuk ke akun Anda, Anda memiliki masalah yang lebih besar.