Autentikasi dua faktor telah dipuji sebagai langkah maju yang signifikan dalam menyediakan keamanan online. Dengan menggunakan autentikasi dua faktor memungkinkan pengguna mengakases dengan lebih yakin ke situs-situs web seperti Gmail.
Situs web yang hanya mengunakan kata sandi saja sekarang tidak aman dan memerlukan kata sandi yang rumit dengan bantuan autentikasi kedua dari perangkat seluler, atau menerapkan sistem dua faktor lainnya.
Namun, seperti halnya semua sistem keamanan, Autentikasi dua faktor juga memiliki kelemahan. Laporan terbaru dari Amnesty International menjelaskan bagaimana peretas telah melakukan phishing pada autentikasi dua faktor.
Autentikasi sistem dua-faktor adalah dua langkah, seperti yang diisyaratkan oleh namanya, dan biasanya akan meminta pengguna untuk memasukkan kata sandi dan kode, yang dikirimkan ke perangkat seluler.
Opsi pengamanan ini memang membantu mencegah peretas mengakses akun pengguna jika mereka hanya mendapatkan akses ke satu faktor, seperti kata sandi. Tapi, apabila pengguna tidak sadar telah memberikan kode dua faktor ke pihak lain atau situs yang berbahaya, maka sistem keamanan dua faktor telah berhasil dikalahkan.
Laporan Amnesty International mencatat bahwa peretas telah mulai menggunakan proses otomatis yang terjadi dengan phishing pertama pada kata sandi pengguna melalui situs web palsu, kemudian mengirimkan kata sandi ke Gmail guna memicu pesan teks dua faktor, dan akhirnya meminta pengguna mengirimkan pesan itu ke situs web penipuan.
Berhubung beberapa sistem tidak mengharuskan pengguna mengautentikasi ulang untuk mematikan sistem keamanan dua faktor, peretas dapat dengan cepat dan pergi dengan akun pengguna.
Bahkan tanpa mengambil kendali penuh atas akun, peretas dapat membuat sandi dengan aplikasi khusus, kata sandi sekunder yang dapat digunakan untuk mengakses akun dengan sistem keamanan dua faktor tanpa perlu mengautentikasi ulang setiap kali.
Sepanjang tahun 2017 dan 2018, peretas menargetkan lebih dari seribu akun Google dan Yahoo di seluruh Timur Tengah dan Afrika Utara. Saat melakukan pengujian, Amnesty International menemukan bahwa pengaturan ponsel pintar untuk menguji sistem phishing memang menerima pesan teks asli dari server Google untuk mengautentikasi sehubungan dengan situs jahat tersebut. Organisasi itu mencatat bahwa serangan itu menargetkan para pembangkang di Uni Emirat Arab.
Dengan adanya laporana tersebut bukan berarti harus menghentikan penggunaan sistem keamanan dua faktor yang sudah digunakan, kami tetap menyarankan untuk mengaktifkan autentikasi dua faktor untuk situs web apa pun yang menawarkannya, ini hanyalah sedikit bukti bahwa tidak ada sistem keamanan yang kebal terhadap serangan peretas.(hh)