Otentikasi dua faktor berbasis SMS (2FA) adalah metode yang banyak digunakan untuk meningkatkan keamanan otentikasi pengguna dalam sistem komputer. Ini melibatkan penggunaan ponsel untuk menerima kata sandi satu kali (OTP) melalui SMS, yang kemudian dimasukkan oleh pengguna untuk menyelesaikan proses otentikasi. Sementara 2FA berbasis SMS memberikan lapisan keamanan tambahan dibandingkan dengan autentikasi nama pengguna dan kata sandi tradisional, ini bukannya tanpa batasan.
Salah satu batasan utama 2FA berbasis SMS adalah kerentanannya terhadap serangan pertukaran SIM. Dalam serangan pertukaran SIM, penyerang meyakinkan operator jaringan seluler untuk mentransfer nomor telepon korban ke kartu SIM di bawah kendali penyerang. Setelah penyerang menguasai nomor telepon korban, mereka dapat mencegat SMS yang berisi OTP dan menggunakannya untuk mem-bypass 2FA. Serangan ini dapat difasilitasi melalui teknik rekayasa sosial atau dengan mengeksploitasi kerentanan dalam proses verifikasi operator jaringan seluler.
Keterbatasan lain dari 2FA berbasis SMS adalah potensi penyadapan pesan SMS. Sementara jaringan seluler umumnya menyediakan enkripsi untuk komunikasi suara dan data, pesan SMS sering dikirimkan dalam bentuk teks biasa. Ini membuat mereka rentan terhadap intersepsi oleh penyerang yang dapat menguping komunikasi antara jaringan seluler dan perangkat penerima. Setelah dicegat, OTP dapat digunakan oleh penyerang untuk mendapatkan akses tidak sah ke akun pengguna.
Selain itu, 2FA berbasis SMS mengandalkan keamanan perangkat seluler pengguna. Jika perangkat hilang atau dicuri, penyerang yang memiliki perangkat dapat dengan mudah mengakses pesan SMS yang berisi OTP. Selain itu, malware atau aplikasi jahat yang terpasang di perangkat dapat mencegat atau memanipulasi pesan SMS, membahayakan keamanan proses 2FA.
2FA berbasis SMS juga memperkenalkan potensi satu titik kegagalan. Jika jaringan seluler mengalami pemadaman layanan atau jika pengguna berada di area dengan jangkauan seluler yang buruk, pengiriman OTP mungkin tertunda atau bahkan gagal sama sekali. Hal ini dapat mengakibatkan pengguna tidak dapat mengakses akun mereka, yang menyebabkan frustrasi dan berpotensi kehilangan produktivitas.
Apalagi, 2FA berbasis SMS rentan terhadap serangan phishing. Penyerang dapat membuat halaman masuk atau aplikasi seluler palsu yang meyakinkan yang meminta pengguna memasukkan nama pengguna, kata sandi, dan OTP yang diterima melalui SMS. Jika pengguna menjadi korban upaya phishing ini, kredensial dan OTP mereka dapat diambil oleh penyerang, yang kemudian dapat menggunakannya untuk mendapatkan akses tidak sah ke akun pengguna.
Sementara 2FA berbasis SMS memberikan lapisan keamanan tambahan dibandingkan dengan autentikasi nama pengguna dan kata sandi tradisional, ini bukannya tanpa batasan. Ini termasuk kerentanan terhadap serangan pertukaran SIM, intersepsi pesan SMS, ketergantungan pada keamanan perangkat seluler pengguna, potensi kegagalan tunggal, dan kerentanan terhadap serangan phishing. Organisasi dan pengguna harus mengetahui batasan ini dan mempertimbangkan metode autentikasi alternatif, seperti autentikator berbasis aplikasi atau token perangkat keras, untuk mengurangi risiko yang terkait dengan 2FA berbasis SMS.
Pertanyaan dan jawaban terbaru lainnya tentang Otentikasi:
- Apa potensi risiko yang terkait dengan perangkat pengguna yang disusupi dalam autentikasi pengguna?
- Bagaimana mekanisme UTF membantu mencegah serangan man-in-the-middle dalam otentikasi pengguna?
- Apa tujuan dari protokol challenge-response dalam otentikasi pengguna?
- Bagaimana kriptografi kunci publik meningkatkan otentikasi pengguna?
- Apa saja metode autentikasi alternatif untuk kata sandi, dan bagaimana mereka meningkatkan keamanan?
- Bagaimana kata sandi dapat dikompromikan, dan tindakan apa yang dapat diambil untuk memperkuat autentikasi berbasis kata sandi?
- Apa trade-off antara keamanan dan kenyamanan dalam otentikasi pengguna?
- Apa saja tantangan teknis yang terlibat dalam autentikasi pengguna?
- Bagaimana protokol otentikasi menggunakan Yubikey dan kriptografi kunci publik memverifikasi keaslian pesan?
- Apa keuntungan menggunakan perangkat Universal 2nd Factor (U2F) untuk autentikasi pengguna?
Lihat lebih banyak pertanyaan dan jawaban di Otentikasi