Perbandingan metode otentikasi dua faktor: Mana yang terbaik untuk Anda?
Otentikasi dua faktor membuat peretas tidak mungkin membobol akun Anda dengan kekerasan dan bahkan melindungi Anda jika peretas mendapatkan kata sandi Anda. Itu bahkan dapat membantu mengunci akun Anda jika kredensial Anda telah dihapus di masa lalu.
Singkatnya, otentikasi dua faktor (2FA) penting.
Tetapi model otentikasi dua faktor mana yang harus Anda pilih? Hampir semua layanan menawarkan kata sandi satu kali melalui pesan teks yang dikirimkan ke ponsel Anda. Banyak juga yang memberikan kata sandi satu kali yang dihasilkan di perangkat seluler Anda (dengan menggunakan Google Authenticator, Authy, atau bahkan Facebook).
Beberapa layanan akan memberi Anda opsi untuk menghubungkan perangkat perangkat keras, dan ada trade-off antara opsi. Blog ini menjelaskan apa pilihan ini, apa yang harus Anda perhatikan, dan apa yang terbaik untuk Anda.
Mengapa otentikasi dua faktor lebih unggul?
Sulit, jika tidak mungkin untuk melihat kata sandi yang retak atau dicuri. Kata sandi yang dicuri atau dibobol memungkinkan penyerang mengakses akun Anda berapa pun waktu, tanpa disadari, atau mengunci Anda sepenuhnya.
Demikian pula, hanya mengandalkan perangkat untuk masuk dapat membuat Anda rentan terhadap peretasan, jika dicuri. Meskipun Anda akan lebih cepat menyadari bahwa Anda telah dikompromikan.
Namun, menggabungkan sesuatu yang Anda ketahui dan sesuatu yang Anda miliki bersama membuatnya jauh lebih tidak berbahaya jika kata sandi Anda di-crack atau perangkat Anda dicuri. Jika perangkat Anda hilang, pencuri atau pencari tidak dapat mengakses akun Anda tanpa kata sandi. Dan jika kata sandi Anda retak, tidak ada yang dapat mengakses akun Anda tanpa perangkat.
Faktor yang perlu dipertimbangkan ketika memilih otentikasi dua faktor
Teori otentikasi identitas biasanya mendefinisikan tiga faktor:
- Sesuatu yang kamu tahu
- Sesuatu yang kamu miliki
- Sesuatu dirimu
Paling umum, pengguna di internet diidentifikasi melalui sesuatu yang mereka ketahui. Ini biasanya kata sandi, tetapi juga bisa menjadi pertanyaan keamanan.
Risiko dengan “sesuatu yang Anda ketahui” adalah Anda bisa lupa, atau bukan satu-satunya yang tahu, mis. karena Anda secara sukarela atau tidak sadar berbagi pengetahuan. Mungkin juga bagi pihak ketiga untuk mendapatkan pengetahuan ini melalui cara lain, mungkin dengan melihat media sosial untuk mendapatkan jawaban atas pertanyaan keamanan umum “Apa peliharaan favorit Anda?” Atau “Di jalan mana Anda tumbuh?”
Faktor kedua adalah “sesuatu yang Anda miliki,” yang bisa berupa kunci keamanan atau kartu sim. Seringkali faktor kedua ini diterapkan sebagai reset cadangan jika Anda lupa kata sandi Anda.
Faktor ketiga adalah “sesuatu Anda.” Ini mungkin sidik jari atau pengenalan wajah dan suara Anda dan jarang digunakan di luar fasilitas militer.
Hanya ketika dua faktor ini, atau banyak faktor, diperlukan pada waktu bersamaan untuk otentikasi kita berbicara tentang otentikasi dua faktor atau multi-faktor.
Metode umum otentikasi dua faktor
1. Pesan teks
Apa yang Anda miliki: Kartu SIM
Bentuk otentikasi dua faktor yang paling umum adalah ponsel. Hampir setiap orang memiliki ponsel dan menyimpannya setiap saat, menjadikannya pilihan yang populer dan nyaman bagi penyedia dan pengguna.
Apa yang terjadi ketika Anda kehilangannya: Jika Anda memiliki paket bulanan, Anda dapat mengunci SIM lama Anda dan mendapatkan yang baru dari penyedia Anda. Ada risiko kehilangan akses ke akun Anda saat bepergian jika pesan teks tidak bisa dihubungi.
Risiko keamanan: Beberapa penyedia membuatnya sangat sepele bagi orang lain untuk mendapatkan kartu SIM baru atas nama Anda, atau lebih buruk lagi, mengkloning kartu SIM Anda. Banyak penyedia juga memungkinkan penyerang untuk mengalihkan pesan teks ke nomor lain, pada dasarnya melewati perlindungan Anda.
Negara bangsa dapat membaca atau mengalihkan pesan teks yang dikirim kepada Anda, sehingga memungkinkan mereka untuk melewati keamanan Anda. Selain itu, ada risiko serangan man-in-the-middle, jika Anda memasukkan pesan teks ke layanan yang salah.
Risiko privasi: Kontrak harus menautkan nama Anda ke setiap layanan tempat Anda menggunakan ponsel untuk mendaftar. Namun, kontrak telepon prabayar tidak akan menggantikan kartu SIM yang hilang. Apa pun itu, perusahaan ponsel Anda mungkin melacak di mana Anda berada dan dari siapa Anda menerima kode.
2. Aplikasi Authenticator
Apa yang Anda miliki: Ponsel Anda dengan aplikasi terpasang.
Saat Anda menggunakan aplikasi authenticator (mis. Google Authenticator atau Authy) layanan yang Anda setel dengan 2FA akan mengkomunikasikan kode rahasia dengan Anda, biasanya dalam bentuk kode QR. Pindai kode ini dengan aplikasi autentikator dan sejak saat itu aplikasi Anda akan menghasilkan kode acak yang berubah setiap beberapa detik. Anda akan memerlukan kode ini setiap kali masuk ke layanan.
Apa yang terjadi ketika Anda kehilangannya: Beberapa layanan memudahkan Anda untuk membuat cadangan kode ini, jadi jika Anda secara tidak sengaja menghapus aplikasi authenticator, kehilangan atau kerusakan ponsel Anda, Anda dapat mengaturnya kembali. Layanan lain mendorong Anda untuk menyimpan kode cadangan unik yang dapat Anda gunakan jika Anda kehilangan akses ke aplikasi autentikator.
Tentu saja, ini menimbulkan pertanyaan tentang di mana menyimpan kode cadangan. Seringkali selembar kertas adalah pilihan terbaik, tetapi di mana tempat yang aman untuk menyimpannya?
Catatan: Selama ponsel Anda memiliki daya, aplikasi akan menghasilkan kode untuk Anda. Ponsel Anda tidak perlu memiliki internet saat sedang membuat kode.
Risiko keamanan: Jika seseorang dapat melakukan screengrab kode QR, atau melalui cara lain untuk mencegat kunci rahasia, mereka dapat menghasilkan kode yang sama di aplikasi autentikator. Seperti halnya pesan teks, ada risiko serangan man-in-the-middle jika Anda memasukkan kode sandi ke situs web yang salah.
Risiko privasi: Jika aplikasi authenticator Anda mengharuskan Anda mendaftar dengan alamat email Anda, ini dapat membantu penyerang menautkan akun bersama-sama. Secara umum, aplikasi authenticator memiliki sedikit risiko privasi.
3. Kunci perangkat keras
Apa yang Anda miliki: Kunci perangkat keras yang kompatibel dengan standar FIDO U2F.
Kunci ini, yang sering terlihat seperti stik USB kecil, berisi chip kecil yang menyimpan kunci privat dengan aman.
Setelah Anda mencolokkan dan mendaftarkan perangkat dengan layanan, kunci publik akan menandatangani pesan sedemikian rupa sehingga layanan dapat memverifikasi mereka. Tidak seperti pesan teks atau aplikasi autentikator, tidak ada risiko serangan man-in-the-middle karena kunci perangkat keras fisik diperlukan untuk mengotentikasi layanan.
Tidak seperti pesan teks atau aplikasi authenticator, kunci perangkat keras tidak gratis. Tetapi karena standar FIDO U2F yang dominan adalah standar terbuka, ada banyak persaingan di antara berbagai produsen. Produk dapat berkisar antara US $ 5 dan US $ 120 dengan dompet Bitcoin perangkat keras yang dibundel.
Apa yang terjadi ketika Anda kehilangannya: Jika Anda mampu membelinya, kunci perangkat keras kedua adalah ide yang bagus. Jika tidak, mirip dengan aplikasi authenticator, Anda dapat mengunduh kode cadangan yang akan memungkinkan Anda mengakses kembali ke akun Anda.
Risiko keamanan: Kunci perangkat keras unggul dalam keamanan sehingga jika diterapkan dengan benar dapat sepenuhnya menghilangkan serangan phishing. Untuk saat ini, sebagian besar layanan yang menawarkan registrasi kunci perangkat keras juga memerlukan aplikasi autentikator atau nomor telepon pada file. Tautan lemah inilah yang kemungkinan juga akan menjadi ancaman keamanan Anda.
Risiko privasi: Beli perangkat dengan uang tunai atau Bitcoin tentunya. Secara umum, kunci perangkat keras tidak ada risiko privasi karena akan membuat pasangan kunci baru untuk setiap akun.
Kunci perangkat keras adalah yang terbaik untuk 2FA, tetapi tidak semua orang akan menerimanya
Kunci perangkat keras menang dari perspektif keamanan, mereka bersifat pribadi dan tidak terpengaruh oleh ponsel yang sekarat atau di luar jangkauan. Namun, hanya beberapa layanan (Google, Dropbox, Facebook, Github dan beberapa lainnya) yang mendukung standar sejauh ini.
Kecuali Anda memercayai penyedia telepon Anda (dan sedikit penyedia yang bisa dipercaya), aplikasi authenticator adalah pilihan terbaik.
Justice
17.04.2023 @ 17:48
ba, mengalihkan nomor telepon Anda ke ponsel mereka. Ini dapat memungkinkan mereka untuk menerima pesan teks otentikasi dua faktor dan mengakses akun Anda. Namun, ini jarang terjadi dan dapat dicegah dengan menghubungi penyedia Anda dan meminta mereka untuk menambahkan lapisan keamanan tambahan pada akun Anda.
2. Aplikasi Authenticator
Apa yang Anda miliki: Perangkat seluler
Aplikasi Authenticator seperti Google Authenticator atau Authy menghasilkan kode satu kali yang berubah setiap 30 detik. Kode ini digunakan bersama dengan kata sandi Anda untuk masuk ke akun Anda. Keuntungan dari aplikasi Authenticator adalah bahwa Anda tidak perlu mengandalkan kartu SIM Anda, dan kode yang dihasilkan tidak dapat diterima oleh orang lain. Namun, Anda harus memastikan bahwa perangkat seluler Anda aman dan dilindungi dengan kata sandi atau sidik jari.
3. Kunci perangkat keras
Apa yang Anda miliki: Kunci perangkat keras fisik
Kunci perangkat keras seperti YubiKey atau Titan Security Key adalah perangkat kecil yang terhubung ke komputer atau perangkat seluler Anda. Mereka menghasilkan kode satu kali yang digunakan bersama dengan kata sandi Anda untuk masuk ke akun Anda. Keuntungan dari kunci perangkat keras adalah bahwa mereka jauh lebih sulit untuk disadap atau dicuri daripada perangkat seluler atau kartu SIM. Namun, mereka juga lebih mahal dan mungkin tidak tersedia untuk semua layanan.
Kunci perangkat keras adalah yang terbaik untuk 2FA, tetapi tidak semua orang akan menerimanya. Namun, jika Anda memiliki akun yang sangat penting atau sensitif, seperti akun bank atau email, maka kunci perangkat keras mungkin merupakan pilihan terbaik untuk Anda. Namun, jika Anda hanya menggunakan layanan online untuk hal-hal yang kurang penting, seperti media sosial atau forum online, maka pesan teks atau aplikasi Authenticator mungkin sudah cukup aman.
Secara keseluruhan, otentikasi dua fakt