Bagaimana Hacker Dapat Melewati Two-factor Authentication
Anda mungkin berpikir bahwa mengaktifkan Two-factor Authentication (autentikasi dua faktor) pada akun anda membuatnya 100% aman. Two-factor Authentication adalah salah satu metode terbaik untuk melindungi akun anda. Tetapi anda mungkin terkejut mendengar bahwa akun anda dapat dibajak meskipun mengaktifkan Two-factor Authentication. Pada artikel ini, saya akan menjelaskan berbagai cara penyerang dapat melewati Two-factor Authentication dan bagaimana anda mengatasinya.
Apa itu Two-factor Authentication (2FA)?
Sebelum kita mulai, mari kita lihat apa itu Two-factor Authentication. Anda tahu bahwa anda harus memasukkan password untuk login ke akun anda. Tanpa password yang benar, anda tidak dapat login. Two-factor Authentication adalah proses menambahkan lapisan keamanan ekstra ke akun anda. Setelah mengaktifkannya, anda tidak dapat login ke akun anda dengan memasukkan password saja. Anda harus menyelesaikan satu langkah keamanan lagi. Ini berarti di Two-factor Authentication, website memverifikasi pengguna dalam dua langkah.
Cara Kerja Two-factor Authentication
Mari kita pahami prinsip kerja Two-factor Authentication. Two-factor Authentication mengharuskan anda memverifikasi diri sendiri dua kali. Ketika anda memasukkan nama pengguna dan password anda, anda akan diarahkan ke halaman lain, dimana anda harus memberikan bukti kedua bahwa anda adalah orang yang sebenarnya mencoba untuk login. Sebuah website dapat menggunakan salah satu dari metode verifikasi berikut ini.
- OTP (One Time Password): Setelah memasukkan password, website memberitahu anda untuk memverifikasi diri sendiri dengan memasukkan OTP yang dikirim ke nomor ponsel anda yang terdaftar. Setelah memasukkan OTP yang benar, anda dapat login ke akun anda.
- Prompt Notification: Prompt Notification ditampilkan di smartphone anda jika terhubung ke internet. Anda harus memverifikasi diri sendiri dengan mengetuk tombol "Yes." Setelah itu, anda akan login ke akun anda di PC anda.
- Backup Code: Backup Code berguna ketika dua metode verifikasi di atas tidak berfungsi. Anda dapat login ke akun anda dengan memasukkan salah satu backup code yang telah anda download dari akun anda.
- Aplikasi Authenticator: Dalam metode ini, anda harus menghubungkan akun anda dengan aplikasi authenticator. Kapanpun anda ingin login ke akun anda, anda harus memasukkan kode yang ditampilkan di aplikasi autentikator yang terpasang di smartphone anda.
Ada beberapa metode verifikasi lagi yang dapat digunakan website.
Cara Hacker Menyiasati Two-factor Authentication
Tidak diragukan lagi, Two-factor Authentication membuat akun anda lebih aman. Namun masih banyak cara yang dapat dilakukan hacker atau peretas untuk melewati lapisan keamanan ini.
1. Pencurian Cookie atau Pembajakan Session
Pencurian cookie atau pembajakan session adalah metode mencuri session cookie pengguna. Setelah hacker berhasil mencuri session cookie, ia dapat dengan mudah melewati Two-factor Authentication. Hacker mengetahui banyak metode pembajakan, seperti session fixation, session sniffing, cross-site scripting, serangan malware dan lainnya.
Evilginx adalah salah satu kerangka kerja populer yang digunakan peretas untuk melakukan serangan man-in-the-middle. Dalam metode ini, hacker mengirimkan link phishing ke pengguna yang membawanya ke halaman login proxy. Saat pengguna login ke akunnya menggunakan Two-factor Authentication, Evilginx menangkap kredensial loginnya bersama dengan kode otentikasi. Karena OTP kedaluwarsa setelah digunakan dan juga berlaku untuk jangka waktu tertentu, tidak ada gunanya menangkap kode otentikasi. Tetapi peretas memiliki session cookie pengguna, yang dapat ia gunakan untuk login ke akunnya dan melewati Two-factor Authentication.
2. Duplicate Code Generation
Jika anda telah menggunakan aplikasi Google Authenticator, anda tahu bahwa itu menghasilkan kode baru setelah waktu tertentu. Google Authenticator dan aplikasi authenticator lainnya bekerja pada algoritme tertentu. Random code generator umumnya dimulai dengan value awal untuk menghasilkan angka pertama. Algoritme kemudian menggunakan value pertama ini untuk menghasilkan value kode yang tersisa. Jika hacker dapat memahami algoritme ini, ia dapat dengan mudah membuat kode duplikat dan login ke akun pengguna.
3. Brute Force
Brute Force adalah teknik untuk menghasilkan semua kemungkinan kombinasi password. Waktu untuk memecahkan password menggunakan brute force tergantung pada panjangnya. Semakin panjang password, semakin banyak waktu yang dibutuhkan untuk memecahkannya. Umumnya, kode otentikasi terdiri dari 4 hingga 6 digit, hacker dapat mencoba upaya paksa untuk melewati Two-factor Authentication. Namun sekarang, tingkat keberhasilan serangan brute force berkurang. Ini karena kode otentikasi tetap berlaku hanya untuk waktu yang singkat.
4. Social Engineering
Social Engineering adalah teknik dimana hacker mencoba mengelabui pikiran pengguna dan memaksanya untuk memasukkan kredensial loginnya di halaman login palsu. Tidak peduli apakah penyerang mengetahui nama pengguna dan password anda atau tidak, dia dapat melewati Two-factor Authentication.
Mari kita pertimbangkan kasus pertama dimana hacker mengetahui nama pengguna dan password anda. Dia tidak dapat login ke akun anda karena anda telah mengaktifkan Two-factor Authentication. Untuk mendapatkan kodenya, dia dapat mengirimi anda email dengan link berbahaya, membuat anda takut bahwa akun anda dapat diretas jika anda tidak segera mengambil tindakan. Ketika anda mengklik link tersebut, anda akan diarahkan ke halaman hacker yang meniru keaslian halaman web asli. Setelah anda memasukkan password, akun anda akan diretas.
Sekarang, mari kita ambil kasus lain dimana peretas tidak mengetahui nama pengguna dan password anda. Sekali lagi, dalam hal ini, dia mengirimi anda link phishing dan mencuri nama pengguna dan password anda bersama dengan kode Two-factor Authentication.
5. OAuth
Integrasi OAuth (Open Authorization) memberi pengguna fasilitas untuk login ke akun mereka menggunakan akun pihak ketiga. Ini adalah aplikasi web terkenal yang menggunakan token otorisasi untuk membuktikan identitas antara pengguna dan penyedia layanan. Anda dapat mempertimbangkan OAuth sebagai cara alternatif untuk masuk ke akun anda.
Mekanisme OAuth bekerja dengan cara berikut ini.
- Situs A meminta Situs B (misalnya Facebook) untuk token autentikasi.
- Situs B menganggap bahwa permintaan dibuat oleh pengguna dan memverifikasi akun pengguna.
- Situs B kemudian mengirimkan kode panggilan balik dan mengizinkan hacker login.
Dalam proses di atas, kita telah melihat bahwa hacker tidak perlu memverifikasi dirinya sendiri melalui Two-factor Authentication. Tetapi agar mekanisme bypass ini berfungsi, hacker harus memiliki nama pengguna dan password untuk akun pengguna tersebut.
Begitulah cara hacker dapat melewati otentikasi dua faktor dari akun pengguna.
Cara Mencegah Hacker Melewati Two-factor Authentication
Hacker memang dapat melewati Two-factor Authentication, tetapi dalam setiap metode, mereka membutuhkan persetujuan pengguna yang mereka dapatkan dengan menipu pengguna. Tanpa menipu pengguna, melewati Two-factor Authentication tidak mungkin terjadi. Oleh karena itu, anda harus memperhatikan poin-poin berikut ini agar akun anda tidak kebobolan.
- Sebelum mengklik link apapun, harap periksa keasliannya. Anda dapat melakukan ini dengan memeriksa alamat email pengirim.
- Buat password yang kuat yang berisi kombinasi huruf, angka dan karakter khusus.
- Gunakan hanya aplikasi autentikator asli, seperti Google authenticator, Microsoft authenticator dan lainnya.
- Download dan simpan backup code di tempat yang aman.
- Jangan pernah percaya email phishing yang digunakan hacker untuk mengelabui pikiran pengguna.
- Jangan berbagi security code dengan siapapun.
- Siapkan security key di akun anda, alternatif dari Two-factor Authentication.
- Terus ubah password anda secara teratur.
Two-factor Authentication adalah lapisan keamanan efektif yang melindungi akun anda dari pembajakan. Hacker selalu ingin mendapatkan kesempatan untuk melewati Two-factor Authentication. Jika anda mengetahui mekanisme peretasan yang berbeda dan mengubah password anda secara teratur, anda dapat melindungi akun anda dengan lebih baik.
Semoga bermanfaat! Anda juga dapat membaca artikel saya lainnya tentang apa itu Browser in Browser Attack atau cara agar terlindung dari ransomware dengan Controlled Folder Access di Windows 10/11.
Sekian artikel saya kali ini. Semoga bermanfaat dan membantu anda dalam memahami bagaimana hacker dapat melewati Two-factor Authentication. Jangan lupa tinggalkan komentar anda dibawah ini untuk berbagi pemikiran serta pengalaman anda dalam mengikuti tutorial ini. Terimakasih dan GBU. BERSATU LAWAN COVID-19!!
Post a Comment for "Bagaimana Hacker Dapat Melewati Two-factor Authentication"