Autentikasi dua faktor
Autentikasi dua faktor (bahasa Inggris: Two-factor authentication) (juga dikenal sebagai 2FA) adalah metode untuk mengkonfirmasi identitas yang diklaim pengguna dengan menggunakan kombinasi dari dua faktor yang berbeda: 1) sesuatu yang mereka tahu, 2) sesuatu yang mereka miliki.
Contoh yang bagus dari autentikasi dua faktor ini adalah penarikan uang dari ATM; di mana hanya kombinasi yang benar dari kartu debit (faktor yang dimiliki pengguna) dan PIN (faktor yang diketahui pengguna) yang memungkinkan proses transaksi dilakukan.
Contoh lainnya adalah melengkapi kata sandi yang dikontrol pengguna (faktor 1) dengan kata sandi sekali-pakai (bahasa Inggris: One-Time Password (OTP)), biasanya diterima melalui SMS atau kode yang dihasilkan atau diterima oleh otentikator (misalnya alat token keamanan dari bank ataupun aplikasi otentikator yang telah diunduh pada ponsel) yang hanya dimiliki oleh pengguna (faktor 2).[1]
Penggunaan ponsel
suntingAutentikasi dua faktor yang melibatkan ponsel menyediakan alternatif untuk perangkat fisik khusus. Untuk mengautentikasi, orang dapat menggunakan kode akses pribadi mereka ke perangkat (yaitu sesuatu yang hanya diketahui oleh masing-masing pengguna) ditambah kata sandi sekali-jalan yang dinamis, biasanya terdiri dari 4 hingga 6 digit angka. Kode sandi dapat dikirim ke perangkat seluler melalui SMS atau dapat dibuat oleh aplikasi otentikator (aplikasi pembuat kata sandi sekali-jalan). Keuntungan menggunakan ponsel adalah bahwa tidak ada kebutuhan untuk alat token khusus tambahan, karena pengguna cenderung membawa perangkat seluler mereka sendiri setiap saat.
Pada tahun 2016 dan 2017, masing-masing Google dan Apple mulai menawarkan autentikasi dua faktor kepada pengguna dengan push notification sebagai metode alternatif.[2][3] Selain itu Google juga memiliki aplikasi otentikator bernama "Google Authenticator".
Keuntungan
sunting- Tidak diperlukan alat token tambahan karena menggunakan perangkat seluler yang (biasanya) dibawa sepanjang waktu.
- Karena dapat terus berubah, kode sandi yang dihasilkan secara dinamis lebih aman untuk digunakan daripada kata sandi statis.
- Bergantung pada solusinya, kode sandi yang telah digunakan diganti secara otomatis untuk memastikan bahwa kode yang valid selalu tersedia, masalah yang mungkin timbul saat pengiriman/penerimaan kode tersebut tidaklah mencegah proses login.
Kekurangan
sunting- Pengguna mungkin masih rentan terhadap serangan phishing. Seorang penyerang dapat mengirim SMS yang tertaut ke situs web palsu yang terlihat identik dengan situs web yang sebenarnya. Penyerang kemudian bisa mendapatkan kode autentikasi, nama pengguna dan kata sandi.
- Ponsel tidak selalu tersedia – bisa hilang, dicuri, baterai habis atau tidak berfungsi.
- Kloning SIM memberi hacker akses ke koneksi ponsel. Serangan social-engineering terhadap perusahaan operator seluler telah mengakibatkan pencurian data kartu SIM kepada penjahat.[4]
- Pesan teks ke ponsel menggunakan SMS tidak aman dan dapat dicegat secara luring oleh perangkat penangkap IMSI. Dengan demikian, pihak ketiga dapat mencuri dan menggunakannya pada alat token.[5]
- Pemulihan akun biasanya melewati autentikasi dua langkah pada ponsel.[6]
- Smartphone modern digunakan untuk menerima email dan juga SMS. Jadi, jika ponsel hilang atau dicuri dan tidak dilindungi oleh kata sandi atau biometrik, semua akun yang perlindungannya adalah melalui surel dapat diretas karena ponsel tersebut dapat menerima surel pemulihan akun.
- Operator seluler mungkin membebani pengguna untuk biaya pengiriman SMS.
Penerapan
suntingBeberapa layanan web populer menggunakan autentikasi dua faktor, biasanya sebagai fitur opsional yang tidak diaktifkan secara baku.[7] Banyak layanan Internet (di antaranya Google, Amazon AWS dan termasuk Wikipedia) menggunakan algoritma kata sandi sekali-pakai berbasis waktu (KSSW) (bahasa Inggris: Time-based One-Time Password (TOTP)) untuk mendukung autentikasi dua faktor.
Referensi
sunting- ^ IOVATION. "Two Factor Authentication (2FA)". Diarsipkan dari versi asli tanggal 2019-01-10. Diakses tanggal 10 January 2019.
- ^ Tung, Liam. "Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in". ZD Net. ZD Net. Diakses tanggal 11 September 2017.
- ^ Chance Miller (2017-02-25). "Apple prompting iOS 10.3". 9to5 Mac. 9to5 Mac. Diakses tanggal 11 September 2017.
- ^ tweet_btn(), Shaun Nichols in San Francisco 10 Jul 2017 at 23:31. "Two-factor FAIL: Chap gets pwned after 'AT&T falls for hacker tricks'". Diakses tanggal 2017-07-11.
- ^ SSMS – A Secure SMS Messaging Protocol for the M-Payment Systems, Proceedings of the 13th IEEE Symposium on Computers and Communications (ISCC'08), pp. 700–705, July 2008 arXiv:1002.3171
- ^ Rosenblatt, Seth; Cipriani, Jason (June 15, 2015). "Two-factor authentication: What you need to know (FAQ)". CNET. Diakses tanggal 2016-03-17.
- ^ GORDON, WHITSON (3 September 2012). "Two-Factor Authentication: The Big List Of Everywhere You Should Enable It Right Now". LifeHacker. Australia. Diakses tanggal 1 November 2012.
Pranala luar
suntingCari tahu mengenai Autentikasi dua faktor pada proyek-proyek Wikimedia lainnya: | |
Definisi dan terjemahan dari Wiktionary | |
Gambar dan media dari Commons | |
Buku dari Wikibuku | |
Entri basisdata #Q7878662 di Wikidata |
- Penyerangan server RSA dan mencuri informasi yang dapat digunakan untuk membahayakan keamanan token otentikasi dua faktor yang digunakan oleh 40 juta karyawan (register.com, 18 Mar 2011)
- Bank akan menggunakan Autentikasi Dua-Faktor pada akhir 2006, (slashdot.org, 20 Okt 2005)
- Daftar situs web yang umum menggunakan dan mendukung Autentikasi Dua Faktor
- Microsoft akan meninggalkan kata sandi, Microsoft bersiap untuk tidak menggunakan lagi kata sandi, guna mendukung penerapan autentikasi dua faktor dalam versi Windows yang akan datang (vnunet.com, 14 Mar 2005)