TFA Now !!!

26 April 2017
TFA NOW !!!
Jangan takut Buaya kalau Kuda Nil dan Singa siap membela anda
Cipher courtesy of Fast and Furious 8
“I am the crocodile at the watering hole”, ucap Cipher kepada Toretto. Cipher adalah hacker jagoan dalam Fast and Furious 8 dan ia mengklaim dirinya sebagai penguasa dunia hanya karena memiliki kemampuan hacking yang mumpuni. Jadi bagi para pengguna internet awam, berhadapan dengan hacker ibaratnya berhadapan dengan buaya yang siap menerkam. Dalam hal ini menerkam data penting yang anda miliki seperti kredensial penting anda seperti password email, Facebook dan Twitter yang anda miliki. Teknik dan caranya juga sudah sangat banyak seperti menggunakan key logger, mencuri dari cache browser, website phishing atau kecerobohan konyol user sendiri seperti mencatat password di dekat layar komputer supaya mudah dicari, menggunakan password yang sama untuk berbagai layanan yang berbeda atau password yang mudah ditebak.
Lalu bagaimana kalau kita ingin selamat dari terkaman buaya di internet ? Jangan takut, kabar baiknya anda bisa meminta perlindungan dari penguasa internet yang lain, Kuda Nil atau Singa yang ternyata siap membela anda. Siapa Kuda Nil dan Singa di internet ? Tidak lain dan tidak bukan adalah administrator layanan yang anda gunakan. Kuda Nil dan Singa di internet adalah administrator / pemilik layanan yang anda gunakan dan saangat berkepentingan agar penggunanya dapat aman dari ancaman pencurian data seperti pencurian akun layanan. 
Lalu kalau anda bertanya: Siapakah yang lebih sakti di internet antara buaya, kuda nil dan singa ? Jawabannya tergantung medannya. Kalau di dalam aplikasi layanan seperti Facebook, Gmail dan Twitter yang paling berkuasa adalah administrator server dan bukan peretas. Jadi kalau anda takut akun anda di retas, ikuti petunjuk dari administrator layanan ini niscaya akun anda akan aman. Bahkan jika anda mengaktifkan TFA - OTP Two Factor Authentication – One Time Password yang disediakan oleh ketiga layanan tersebut di atas, sekalipun kredensial anda berhasil dicuri oleh peretas, akun anda tetap akan aman dalam penguasaan anda. Sat ini, pengamanan kredensial dengan mengandalkan password saja sudah dianggap sangat lemah dan rentan dari pencurian. Sebagai informasi, perlindungan terhadap kredensial intranet saat ini juga sudah mulai menerapkan TFA – OTP sehingga sekalipun kredensial akses data perusahaan berhasil dicuri peretas, namun akses terhadap data akan tetap terlindungi karena adanya proteksi TFA – OTP dalam proses otentikasi.
Perlindungan Akun Digital
Jika ditanyakan pengamanan utama apa yang anda gunakan untuk melindungi akun digital anda seperti Facebook, Gmail, Twitter dan lainnya ? Kalau jawaban yang anda berikan adalah password / kata kunci berarti anda harus ekstra hati-hati dengan akun digital anda. Apalagi jika anda menggunakan kata kunci yang sama untuk banyak akun digital yang berbeda karena repot mengingat kredensial untuk layanan akun yang berbeda dan jumlahnya banyak sekali. Dari sisi kepraktisan memang hal ini banyak dilakukan karena alih-alih melindungi banyak akun dengan kata kunci yang berbeda-beda, anda malah terkunci sendiri oleh banyaknya kata kunci yang anda buat karena lupa. Belum lagi banyak praktisi sekuriti dan saran dari penyedia layanan digital yang meminta anda mengganti kata kunci secara teratur secara berkala makin membuat anda sulit mengingat kredensial semua akun digital anda.
Apalagi jika akun yang anda miliki adalah akun yang memiliki nilai ekonomi tinggi seperti akun selebriti Facebook dengan follower yang banyak atau akun Twitter verified, makin membuat peretas “ngiler” untuk mengambil alih akun tersebut.
Kelemahan Password
Mungkin luput dari perhatian kita bahwa pengamanan dengan kata kunci pada saat ini dapat dikatakan sudah usang dan ada banyak cara dan kemungkinan kata kunci tersebut bisa diketahui oleh peretas. Jangankan kata kunci yang tidak pernah di rubah, kata kunci yang diganti secara teratur juga bisa diketahui oleh peretas dengan mudah.
Pecurian kata kunci bisa terjadi dengan metode yang mudah seperti menebak-nebak tanggal ulang tahun anak, nama pasangan atau hari ultah perkawinan yang biasanya dengan mudah bisa didapatkan dari internet / Facebook. Ada pula pengguna komputer di kantor yang menuliskan kata kunci dan menempelkan pada layar komputernya dengan pertimbangan supaya mudah dicari ketika ingin login.
Ada teknik yang sedikit lebih canggih menggunakan website phishing yang memalsukan halaman login media sosial dan memancing korbannya yang tidak menyadari untuk masuk ke situs palsu lalu memasukkan kredensial akunnya, biasanya dengan iming-iming menarik seperti akses file porno atau janji mendapatkan keuntungan finansial seperti voucher belanja atau sejenisnya. Lebih celaka lagi jika kata kunci yang digunakan sama untuk semua akun layanan, jadi jika peretas berhasil mendapatkan kredensial akun Facebook, ia seperti mendapatkan jackpot karena akun Gmail, Twitter dan lainnya menggunakan password yang sama.
Ada cara yang lebih canggih lagi dengan menggunakan keylogger / program pengingat ketukan keyboard yang dipasang secara diam-diam ke komputer korbannya baik menggunakan foistware, malware atau trojan. Metode key logger ini akan sangat efektif mencuri kata kunci sekalipun pemilik akun disiplin mengganti kata kunci secara rutin karena semua yang diketikkan pada komputer akan dikirimkan kepada peretas.
Sisi lain dari bahaya hanya mengandalkan kata kunci adalah, sekalipun anda berhasil menjaga kredensial anda dengan baik dan mengamankan akun anda, namun terjadi kecerobohan dari penyedia layanan, maka tetap kredensial anda akan berhasil dicuri seperti kasus bocornya kredensial jutaan akun pengguna Yahoo dan Linked In.
Two Factor Authentication
Jika pengamanan dengan kata kunci sudah sedemikian lemahnya, lalu apa yang bisa anda lakukan untuk melindungi akun digital anda dari ancaman buaya digital ?
Kabar baiknya, ada Kuda Nil dan Singa Digital yang siap membela anda. Solusi untuk mengamankan akun digital anda sebenarnya sudah tersedia cukup lama dan sebenarnya sudah menjadi standar pengamanan minimal yang disediakan oleh penyedia layanan jasa. Bagaimana jika penulis informasikan bahwa bisa mendapatkan perlindungan sekelas perlindungan transaksi internet banking untuk akun digital anda yaitu TFA dan OTP. Jadi, sekalipun kata kunci anda berhasil diketahui oleh peretas, tetap saja ia tidak akan bisa login, apalagi mengambil alih akun anda. Dan kabar baiknya lagi, semuanya bisa anda dapatkan secara GRATIS !!
Google dan Facebook sudah cukup lama menyediakan pengamanan TFA bagi pengguna layanannya. TFA pada Gmail otomatis akan melindungi layanan Google lainnya karena akun Gmail yang terintegrasi dengan layanan Google lainnya seperti Google Drive dan Google Docs. Demikian pula Facebook yang pada awalnya mencoba banyak metode untuk mengamankan akun seperti verifikasi oleh teman ketika akun diambilalih peretas, namun pada akhirnya memang metode TFA ini yang terbukti paling efektif dan tidak melibatkan terlalu banyak pihak untuk verifikasi akun. Pada awalnya Facebook masih menggunakan jasa otentikasi pihak ketiga seperti Authy sebagai layanan TFAnya, namun saat ini Facebook juga sudah memiliki engine OTP sendiri yang ditanamkan pada Facebook di Android dan iPhone dengan nama Code Generator.
Facebook Code Generator
dan melakukan otentikasi secara internal tanpa perlu menggunakan layanan pihak ketiga. Yang paling tertinggal adalah Twitter, yang terhitung paling terlambat menerapkan TFA guna mengamankan akun penggunanya, namun pada saat tulisan ini dibuat, otentikasi dua faktor juga sudah diterapkan oleh Twitter untuk lebih mengamankan penggunanya dari ancaman buaya digital.
Twitter Code Generator
Adapun informasi lebih lengkap untuk mengamankan ketiga layanan di atas dengan TFA dapat diakses dari :
Facebook : https://www.facebook.com/help/loginapprovals
Google : https://www.google.com/landing/2step/#tab=why-you-need-it
Twitter : https://support.twitter.com/articles/20170388

Token, Apps Authenticator dan SMS Authentictor
Pada prinsipnya, TFA menggunakan metode otentikasi menggunakan sarana tambahan yang melekat pada pemilik akun, bisa berupa perangkat keras seperti kalkulator token atau perangkat lunak seperti aplikasi otentikasi seperti Google Authenticator atau. Metode menggunakan perangkat keras tambahan seperti yang dilakukan perbankan tentu merepotkan dan membutuhkan biaya. Sedangkan metode piranti lunak relatif murah karena hanya melakukan instalasi aplikasi otentikasi pada gawai pengguna. Namun metode instalasi piranti lunak otentikator pada gawai tidak bisa di implementasikan pada pengguna yang tidak memiliki telepon pintar, karena itu banyak solusi yang menggunakan metode mengirimkan kode otentikasi ke SMS atau alamat email yang telah ditentukan.
Metode pengiriman otentikasi melalui SMS bahkan banyak digunakan oleh kalangan perbankan sebagai alternatif dari token / piranti lunak otentikasi dan lucunya sempat diiklankan sebagai metode yang sangat aman. Meskipun dari sisi kepraktisan dan jangkauan pengguna yang lebih luas, namun dari sisi sekuriti sebenarnya keamanan metode pengiriman otentikasi melalui SMS sebenarnya lebih lemah dibandingkan otentikasi menggunakan token atau piranti lunak otentikasi, karena teknologi untuk menyadap komunikasi SMS sebenarnya tidak sulit dan mudah dilakukan. Selain itu, dalam beberapa kasus pembobolan akun internet banking di Indonesia yang terjadi di tahun 2017, peretas bahkan cukup nekat untuk mengambil alih nomor telepon yang digunakan oleh pemilik rekening dengan berbekal dokumen kependudukan aspal sehingga bisa melakukan transaksi mobile banking dengan nomor telepon yang telah diambil alih tersebut.

Aplikasi TFA – OTP Intranet
Sebenarnya perlindungan terhadap kredensial tidak hanya digunakan untuk melindungi aktivitas internet. Aset digital korporat seperti database pelanggan, transaksi pelanggan dan data penting lain yang diakses bersama di dalam intranet selama ini hanya mengandalkan kredensial dan salah satu SOP Prosedur Operasi Standar mengganti kata kunci secara berkala malah menjadi beban tersendiri bagi karyawan sehingga terkadang malah diabaikan. Padahal jika kredensial penting seperti akun Active Directory berhasil di retas, ancaman kebocoran data perusahaan berpotensi memberikan kerugian yang sangat besar. Karena itulah sudah saatnya bagi korporasi untuk mempertimbangkan implementasi TFA – OTP guna mengamankan aset digitalnya. Hubungi vendor sekuriti anda atau Vaksincom untuk mendapatkan training gratis mengaktifkan TFA – OTP pada layanan Gmail, Facebook dan Twitter.
Salam,

Alfons Tanujaya

info@vaksin.com
 
PT. Vaksincom
Jl. R.P. Soeroso 7AA
Cikini
Jakarta 10330
Ph : 021 3190 3800

Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom
Twitter : @vaksincom
Share by: