Salah satu cara paling efektif untuk menghentikan akun online Anda diretas adalah dengan mengaktifkan autentikasi dua faktor. Langkah keamanan, sering dikenal sebagai 2FA atau autentikasi multifaktor, mengharuskan Anda memasukkan kode numerik selain nama pengguna dan kata sandi.
Jadi meskipun seseorang mendapatkan sandi Anda, mereka tidak dapat membobol akun Anda tanpa memiliki kode masuk Anda juga.
Selama bertahun-tahun, pakar keamanan merekomendasikan penggunaan aplikasi autentikasi untuk membuat kode ini. Yang harus Anda lakukan adalah memindai kode QR untuk layanan yang ingin Anda aktifkan 2FA, dan aplikasi akan menghasilkan kode masuk baru setiap 30 detik.
Minggu ini, Google telah memberikan aplikasi 2FA-nya, Google Authenticator, perombakan yang sangat dibutuhkan.
Google mendesain ulang Authenticator, membuatnya tidak terlalu kikuk, dan dalam prosesnya ditambahkan satu alat baru yang berpotensi berguna: kemampuan untuk menyinkronkan kode masuk Anda ke akun Google Anda dan ke berbagai ponsel dan tablet.
Ini pada dasarnya berarti kode Instagram, Gmail, atau Reddit 2FA Anda — plus, semua akun lain yang Anda aktifkan — akan dicadangkan. Tweak membuatnya jauh lebih mudah untuk berpindah perangkat jika ponsel Anda dengan kode 2FA yang tersimpan di dalamnya hilang atau dicuri — dan bahkan dapat menyelamatkan Anda dari penguncian beberapa akun sepenuhnya.
“Karena kode satu kali di Authenticator hanya disimpan di satu perangkat, kehilangan perangkat itu berarti pengguna kehilangan kemampuan untuk masuk ke layanan apa pun yang telah mereka siapkan 2FA menggunakan Authenticator,” Christiaan Brand, sebuah grup manajer produk di Google, menulis dalam postingan blog yang mengumumkan perubahan tersebut.
Brand mengatakan fitur sinkronisasi telah menjadi salah satu yang paling banyak diminta sejak aplikasi Authenticator dirilis pada 2010. “Perubahan ini berarti pengguna lebih terlindungi dari penguncian dan layanan dapat mengandalkan pengguna untuk mempertahankan akses, meningkatkan kenyamanan dan keamanan.”
Sinkronisasi kode Google Authenticator Anda sekarang dilakukan melalui akun Google Anda—fitur ini tersedia di aplikasi Google versi iOS dan Android terbaru.
Authenticator memberi Anda opsi untuk menggunakan aplikasi dengan login Google Anda, dan jika Anda memilih opsi ini, profil Google Anda akan ditampilkan di sudut kanan atas aplikasi, di samping ikon sinkronisasi. Ketika saya mengunduh Authenticator di iPad saya setelah mengatur sinkronisasi di ponsel saya, kode muncul setelah saya masuk.
Ada juga opsi untuk tetap menggunakan Google Authenticator tanpa masuk ke akun Google.
Jake Moore, penasihat keamanan global di firma keamanan ESET, mengatakan dia sebelumnya telah dikunci dari aplikasi autentikator dan mengetahui rasa frustrasi yang muncul saat mencoba masuk kembali ke semua akun Anda saat Anda tidak memiliki akses ke proses masuk Anda kode.
“Memutakhirkan ponsel menjadi lebih mudah selama bertahun-tahun dengan penyimpanan cloud, tetapi mengautentikasi aplikasi menjadi lambat dan tertahan demi keamanan,” kata Moore.
Google bukan satu-satunya perusahaan yang menawarkan kode masuk 2FA untuk menyediakan cadangan. Sejak 2019, Microsoft telah mengizinkan orang untuk menggunakan alat “backup and restore” untuk aplikasi Microsoft Authenticator-nya.
Aplikasi pihak ketiga lainnya, seperti Authy, juga disinkronkan di seluruh perangkat orang. (Pengelola kata sandi all-in-one Apple memungkinkan Anda membuat dan menyimpan kode masuk di iPhone dan Mac tetapi tidak memiliki aplikasi yang berdiri sendiri.)
Sementara Merek Google melukis cadangan kode 2FA sebagai kemenangan bagi pengguna, Moore mengatakan selalu ada pengorbanan saat menyeimbangkan keamanan dan kenyamanan pengguna.
Tentu saja, kode yang dicadangkan dapat mempermudah akses ke akun Anda jika ponsel Anda hilang atau dicuri. Tetapi semakin banyak tempat kode Anda disimpan, semakin besar risiko aktor jahat dapat mengaksesnya.
Misalnya, jika seseorang memperoleh akses ke akun Google Anda, mereka mungkin juga dapat mengakses kode 2FA Anda untuk akun daring Anda yang lain. Juru bicara Google Kimberly Samra mengatakan “risiko itu jauh lebih kecil daripada Anda kehilangan perangkat, tidak lagi memiliki OTP, dan kemudian layanan harus menggunakan mekanisme yang jauh lebih lemah untuk memungkinkan Anda masuk.”
Tommy Mysk, pengembang aplikasi dan peneliti keamanan yang menjalankan perusahaan perangkat lunak Mysk, telah menguji beberapa aplikasi 2FA dan menemukan aplikasi jahat yang tersedia untuk diunduh.
Two months after we raised the alarm about fake authenticator apps, rogue apps continue to dominate top search results on both the App Store and Google Play –including the app sending #2FA seeds remotely. A recent podcast by @NakedSecurity reveals.https://t.co/US0ICt932b pic.twitter.com/91f5GNBJXI
— Mysk 🇨🇦🇩🇪 (@mysk_co) April 22, 2023
Mysk mengatakan bahwa ada batasan keamanan dan privasi untuk aplikasi 2FA utama. Misalnya, sinkronisasi Microsoft tidak berfungsi antara perangkat iOS dan Android, membuatnya lebih sulit untuk beralih sistem operasi dan membawa kode 2FA Anda.
Dalam hal data yang dikumpulkan aplikasi, Mysk mengatakan Google Authenticator bekerja “sangat baik” dan tidak membagikan detail kode QR dengan Google. “Sebagian besar aplikasi, termasuk Microsoft Authenticator, mengirim analitik perilaku—yaitu, cara pengguna menggunakan aplikasi dan di mana mereka mengetuk,” kata Mysk. “Google Authenticator tidak mengirimkan data semacam ini.”
Meskipun menambahkan lebih banyak kenyamanan, tampaknya aplikasi autentikasi Google atau Microsoft tidak mencadangkan kode masuk 2FA orang menggunakan enkripsi ujung ke ujung saat disinkronkan.
Metode enkripsi memastikan perusahaan tidak dapat melihat konten kode masuk Anda. “Karena aplikasi 2FA berurusan dengan rahasia, satu-satunya cara aman untuk menyinkronkan data antar perangkat adalah dengan menggunakan enkripsi end-to-end,” kata Mysk. “Pengembang aplikasi seharusnya tidak dapat membaca konten data.”
