Mengirim SMS dan Otentikasi Dua Faktor: Yang Harus Diketahui Setiap Bisnis

Ketika penjahat menjadi lebih rajin dalam upaya mereka untuk menembus pertahanan pengguna, bisnis harus menjadi lebih aktif dalam menjaga integritas data mereka.

Pelanggan, yang lebih terbiasa mengirim email seolah-olah dikirim melalui pos, mungkin bereaksi tidak nyaman terhadap langkah tambahan apa pun yang diperlukan. Untungnya, pelanggan menjadi lebih terinformasi dan prosesnya semakin mudah.

Tujuannya adalah untuk membuat identifikasi dua faktor semudah mungkin bagi pengguna akhir sementara pada saat yang sama memastikan bahwa sulit bagi penjahat untuk melewatinya.

Kedengarannya tangguh? Santai! Otentikasi dua faktor ( 2FA ) telah berkembang untuk memerangi penjahat pintar itu.

Bagaimana cara kerjanya?

2FA menambahkan lapisan tambahan ke protokol otentikasi. Itu bisa datang dalam berbagai bentuk. Kadang-kadang biometrik, mengharuskan suara, sidik jari, pemindaian retina atau beberapa item unik lainnya menjadi bagian dari campuran.

Ini membutuhkan penyimpanan catatan dan penyimpanan PII (informasi pengenal pribadi) yang ekstensif, yang dapat menambah biaya overhead secara signifikan, serta menyebabkan masalah keamanan tambahan jika penyimpanan tersebut pernah dikompromikan.

Namun, sementara teknik seperti itu mungkin, mereka tidak praktis dalam banyak kasus. Sebaliknya, lembaga seperti bank mengeluarkan kartu identitas unik untuk (misalnya) mengoperasikan mesin anjungan tunai mandiri (ATM). Kartu seperti itu tidak berguna tanpa PIN (nomor identifikasi pribadi).

Keamanan ini bergantung pada memiliki item tertentu dan menggabungkannya dengan pengetahuan tertentu. Kartu bank dapat hilang ketika dompet dicuri atau salah tempat, tetapi kartu itu sendiri tidak berguna tanpa PIN.

Otentikasi dua faktor menambah paradigma 'nama pengguna' dan 'kata sandi' tradisional.

Manfaat Otentikasi Dua Faktor

Geng terorganisir, atau bahkan penjahat solo, telah menemukan strategi untuk mengelabui orang pintar agar membuat beberapa keputusan yang sangat buruk seperti memberikan akses aman kepada orang asing atau berbagi kata sandi.

2FA melalui SMS membuat prosesnya cukup sulit bagi penjahat yang, pada umumnya, sebagian besar dari kita terlalu tidak menarik untuk menarik perhatian.

Menghilangkan Langkah

IoT , atau Internet of Things, telah menjadi anugerah besar bagi umat manusia (dan juga kutukan, dalam beberapa kasus). Ini berarti 5 miliar smartphone saat ini digunakan ditambah banyak perangkat lain yang dapat menerima pesan SMS.

Menurut perkiraan saat ini, 21/2 miliar penduduk bumi membawa setidaknya satu smartphone (selain dari semua perangkat kami yang lain).

Itu ada bersama kami hampir sepanjang waktu, mudah dijangkau, dan kami menjadi sangat bergantung padanya.

Layanan 2FA tidak harus mengeluarkan alat identifikasi rahasia; mereka juga tidak harus menyimpan informasi yang tidak perlu tentang individu.

Kami masih dapat memiliki nama dan kata sandi, tetapi sekarang, setelah mengidentifikasi diri kami sendiri, layanan dapat menggunakan otentikasi SMS untuk mengirimi kami pesan teks dengan PIN sementara yang kedaluwarsa hanya dalam satu atau dua menit.

Anda sekarang mengetahui sesuatu (nama dan kata sandi) dan memiliki sesuatu (ponsel Anda), sehingga Anda dapat melanjutkan. Apa yang bisa lebih mudah?

Takut Hilang, Pelanggan Akan Menggunakannya

Beberapa perusahaan berpikir pelanggan akan memberontak dan membawa bisnis mereka ke tempat lain. Sebagai bukti, mereka sering menunjukkan fakta bahwa hanya 10% pengguna Gmail yang mengaktifkan 2FA – atau, lebih khusus lagi, 90% tidak .

Meskipun menggunakan 2FA tidak diragukan lagi merupakan ide yang bagus, Anda harus menyadari paradigma yang bekerja di sini. Orang sering menggunakan perusahaan keamanan atau layanan email ISP pribadi untuk email 'penting' mereka, dan Gmail untuk menyerap SPAM dan menyediakan komunikasi dengan situs web yang tidak tepercaya.

Mereka yang menggunakannya untuk 'segalanya' cenderung lebih berhati-hati; untuk sisanya, itu tidak sepadan dengan usaha ekstra.

Pelanggan Sekarang Menuntut 2FA untuk Transaksi Finansial

Ketika datang untuk memindahkan uang , di sisi lain, pelanggan cenderung jauh lebih khusus dan mengambil keuntungan dari langkah-langkah keamanan tambahan.

Jika Anda tidak menawarkan layanan otentikasi SMS, mereka akan pindah ke penyedia lain. Situs web populer seperti Amazon, LinkedIn, PayPal, dan DropBox memerlukan 2FA untuk transaksi keuangan dari perangkat yang tidak dikenal, atau untuk bertukar PII.

Untuk kenyamanan, Anda akan sering menemukan kotak centang kecil yang bertuliskan 'Percayai perangkat ini', yang berarti bahwa transaksi di masa mendatang melalui perangkat tersebut secara otomatis dipercaya.

Jika Anda meminjam tablet teman untuk masuk ke rekening bank Anda, Anda akan diminta untuk mendapatkan kode otentikasi satu kali dan terbatas waktu, tetapi pada perangkat Anda yang terdaftar, itu hanya masalah menggunakan kata sandi dan nama Anda yang biasa.

Beberapa situs mengharuskan Anda mengesahkan perangkat sekali saja; lainnya bulanan, atau tahunan. Situs dengan keamanan tinggi memerlukan 2FA di setiap login.

Tantangan Otentikasi Dua Faktor

2FA bukanlah obat mujarab karena peretas ahli dapat melakukan intersepsi SMS dan penerusan panggilan instan – semua ini untuk mengirim kode yang dihasilkan ke tempat lain.

Namun, 'Jangan panik!', seperti yang pernah disarankan Douglas Noel Adams kepada kita. Dibutuhkan sejumlah besar pekerjaan, dan biasanya terbatas pada karyawan yang tidak jujur ​​dalam penyedia layanan GSM, untuk menciptakan peluang eksploitasi ini.

Ketika ada keuntungan signifikan yang bisa didapat, penjahat bersedia mengeluarkan lebih banyak usaha.

Mereka yang mentransfer puluhan ribu atau jutaan (atau dalam kasus selebritas, semua foto telanjang mereka) perlu mengambil tindakan pencegahan tambahan, tetapi itu tidak menyangkut mayoritas populasi.

Beberapa sistem secara intrinsik lemah atau dijaga oleh perwakilan layanan pelanggan yang terlalu ingin mengatur ulang kata sandi. Kemungkinan terbaik untuk tetap dengan perusahaan terkemuka menggunakan layanan nama-merek.

Tentu saja, 2FA bisa menjadi masalah bagi orang yang merasa wajib memiliki smartphone baru setiap tahun. Mereka harus memperbarui semua akun mereka, mengidentifikasi perangkat baru (menambahkan baru dan menghapus izin lama), sebelum mereka dapat mengaksesnya dengan mulus. Begitulah biaya untuk selalu memiliki teknologi terbaru…

Lebih Banyak Alat untuk 2FA

Anda mungkin berpikir ada alat yang lebih baik yang bisa didapat. Ada alat aplikasi, seperti Google Authenticator (lihat contoh pengujian yang berfungsi di sini), yang merupakan bukti terhadap 'intersepsi SMS', atau, jika Anda penggemar Apple, pemberitahuan PUSH yang juga tidak menggunakan sistem SMS.

Anda dapat menggunakan sesuatu seperti itu jika itu menarik bagi Anda. Di lingkungan dengan keamanan tinggi, ada alat yang lebih kuat, dan sering digunakan saat diperlukan.

Anda mungkin pernah mendengar tentang perangkat key-fob seperti USB yang menghasilkan kata sandi acak berdasarkan permintaan, misalnya. Ini berguna untuk sebuah organisasi tetapi jauh lebih sedikit untuk berurusan dengan ribuan anggota masyarakat umum.

Bawa Pulang

Semua ini adalah sistem yang hebat dan mengatasi kelemahan yang dirasakan dari 2FA yang digerakkan oleh SMS. Kenyataannya, bagaimanapun, adalah bahwa kelemahan tersebut kecil dan belum tentu intrinsik. Kesalahannya hampir selalu terletak pada implementasi protokol oleh perusahaan komunikasi individu.

Kelemahan itu akan menjadi akademis pada waktunya saat kami bergerak untuk menghilangkan kerentanan dalam protokol yang dieksploitasi seperti SS7 (digunakan untuk mengaktifkan roaming di jaringan telepon yang berbeda).

SMS adalah pilihan yang sangat baik karena orang sudah memahaminya dengan sangat baik, ada di mana-mana dan mempersulit kehidupan peretas.

Lindungi diri Anda dan klien Anda, seperti yang telah kami lakukan untuk Cloud Data Service, agen pengembangan web dan perangkat lunak yang mengandalkan keamanan SMS 2FA untuk memastikan informasi kliennya tetap pribadi.

Jika Anda menginginkan saluran komunikasi yang andal dan aman untuk klien Anda, hubungi salah satu pakar TextMagic kami melalui Formulir Kontak Online kami atau daftar untuk uji coba gratis, sehingga Anda dapat melihat cara kerjanya sendiri!