Otentikasi dua faktor (2FA), kadang disebut sebagai verifikasi dua langkah, adalah proses keamanan yang menyediakan dua faktor otentikasi yang berbeda untuk memverifikasi pengguna untuk lebih melindungi kredensial pengguna dan sumber daya yang dapat diakses pengguna.

Otentikasi dua faktor memberikan tingkat jaminan yang lebih tinggi daripada metode otentikasi yang bergantung pada otentikasi satu faktor (SFA), di mana pengguna hanya menyediakan satu faktor – biasanya kata sandi atau kode sandi. Metode otentikasi dua faktor bergantung pada pengguna yang memberikan kata sandi dan juga faktor kedua, biasanya baik token keamanan atau faktor biometrik seperti sidik jari atau pemindaian wajah.

Otentikasi dua faktor menambahkan lapisan keamanan tambahan ke proses otentikasi dengan mempersulit penyerang untuk mendapatkan akses ke perangkat seseorang atau akun online. Karena mengetahui kata sandi korban saja tidak cukup untuk melewati pemeriksaan otentikasi.

Otentikasi dua faktor telah lama digunakan untuk mengontrol akses ke sistem dan data yang sensitif, dan penyedia layanan online semakin menggunakan 2FA untuk melindungi kredensial penggunanya dari digunakan oleh peretas yang telah mencuri basis data kata sandi atau menggunakan phishing untuk mendapatkan kata sandi pengguna .

Apa yang menjadi Faktor Otentikasi?

Ada beberapa cara berbeda di mana seseorang dapat disahkan menggunakan lebih dari satu metode otentikasi. Saat ini, sebagian besar metode otentikasi bergantung pada faktor pengetahuan seperti kata sandi tradisional. Sementara metode otentikasi dua faktor menambahkan faktor kepemilikan atau faktor bawaan.

Faktor otentikasi, yang tercantum dalam perkiraan urutan adopsi untuk komputasi, termasuk:

  1. Faktor pengetahuan adalah sesuatu yang diketahui pengguna, seperti kata sandi, PIN, atau jenis rahasia bersama lainnya.
  2. Faktor kepemilikan adalah sesuatu yang dimiliki pengguna, seperti kartu ID, token keamanan, ponsel cerdas, atau perangkat seluler lainnya.
  3. Faktor bawaan, lebih sering disebut faktor biometrik, adalah sesuatu yang melekat dalam diri fisik pengguna. Ini mungkin atribut pribadi yang dipetakan dari karakteristik fisik, seperti sidik jari yang disahkan melalui pembaca sidik jari; faktor bawaan yang umum digunakan termasuk pengenalan wajah dan suara. Ini juga mencakup biometrik perilaku, seperti dinamika keystroke, gaya berjalan, atau pola bicara.
  4. Faktor lokasi, biasanya dilambangkan dengan lokasi dari mana upaya otentikasi dilakukan. Faktor dapat ditegakkan dengan membatasi upaya otentikasi ke perangkat tertentu di lokasi tertentu, atau lebih umum dengan melacak sumber geografis dari upaya otentikasi berdasarkan IP sumber. Alamat atau informasi geolokasi lain yang berasal dari ponsel pengguna atau perangkat lain seperti data GPS.
  5. Faktor waktu membatasi autentikasi pengguna ke rentang waktu tertentu di mana login diizinkan, dan membatasi akses ke sistem di luar rentang waktu selain waktu login diizinkan.

Perlu dicatat bahwa sebagian besar metode otentikasi dua faktor bergantung pada tiga faktor otentikasi pertama, meskipun sistem yang membutuhkan keamanan yang lebih besar dapat menggunakannya untuk menerapkan otentikasi multifaktor, yang dapat mengandalkan dua atau lebih kredensial independen untuk otentikasi yang lebih aman.

Apa itu otentikasi dua faktor?

Otentikasi dua faktor adalah bentuk otentikasi multifaktor. Secara teknis, ini digunakan kapan saja otentikasi dua faktor diperlukan untuk mendapatkan akses ke sistem atau layanan. Namun, menggunakan dua faktor dari kategori yang sama bukan merupakan 2FA; misalnya, memerlukan kata sandi dan shared secret masih dianggap sebagai otentikasi faktor tunggal, karena keduanya merupakan faktor otentikasi yang sama – yaitu faktor pengetahuan.

Sejauh layanan otentikasi faktor tunggal berjalan, ID pengguna dan kata sandi bukan yang paling aman. Satu masalah dengan otentikasi berbasis kata sandi adalah membutuhkan pengetahuan dan ketekunan untuk membuat dan mengingat kata sandi yang kuat. Kata sandi memerlukan perlindungan dari banyak ancaman di dalam, seperti sticky notes atau kertas dengan catatan password yang disimpan secara sembrono dengan kredensial login, hard drive lama, dan eksploitasi social-engineering. Kata sandi juga merupakan mangsa ancaman eksternal, seperti peretas yang menggunakan serangan brute-force, kamus, atau rainbow table.

Dengan cukup waktu dan sumber daya, cracker biasanya dapat melanggar sistem keamanan berbasis kata sandi. Kata sandi tetap menjadi bentuk autentikasi faktor tunggal yang paling umum karena biayanya yang rendah, kemudahan implementasi dan keakraban. Beberapa pertanyaan respons-tantangan dapat memberikan keamanan yang lebih, tergantung pada bagaimana penerapannya, dan metode verifikasi biometrik yang berdiri sendiri juga dapat memberikan metode otentikasi faktor-tunggal yang lebih aman.

Jenis produk otentikasi dua faktor

Ada banyak perangkat dan layanan yang berbeda untuk menerapkan 2FA – dari token, kartu RFID, hingga aplikasi ponsel cerdas.

kartu RFID
kartu RFID

Produk otentikasi dua faktor dapat dibagi menjadi dua kategori: token yang diberikan kepada pengguna untuk digunakan saat masuk, dan infrastruktur atau perangkat lunak yang mengenali dan mengotentikasi akses bagi pengguna yang menggunakan token mereka dengan benar.

Token otentikasi dapat berupa perangkat fisik, seperti key fobs atau smart cards, atau mungkin ada dalam perangkat lunak sebagai aplikasi seluler atau desktop yang menghasilkan kode PIN untuk otentikasi. Kode otentikasi ini, juga dikenal sebagai kata sandi satu kali, biasanya dihasilkan oleh server dan dapat dikenali sebagai otentik oleh perangkat atau aplikasi otentikasi. Kode otentikasi adalah urutan pendek yang ditautkan ke perangkat, pengguna atau akun tertentu dan yang dapat digunakan sekali sebagai bagian dari proses otentikasi.

key fobs

Organisasi perlu menggunakan sistem untuk menerima, memproses, dan mengizinkan – atau menolak – akses ke pengguna yang mengautentikasi dengan token mereka. Ini dapat digunakan dalam bentuk perangkat lunak server, server perangkat keras khusus atau disediakan sebagai layanan oleh vendor pihak ketiga.

Aspek penting dari 2FA adalah memastikan bahwa pengguna yang diotentikasi diberikan akses ke semua sumber daya yang disetujui untuk – dan hanya sumber daya tersebut. Hasilnya, satu fungsi kunci 2FA menghubungkan sistem otentikasi dengan data otentikasi organisasi.

Microsoft menyediakan beberapa infrastruktur yang diperlukan bagi organisasi untuk mendukung 2FA di Windows 10 melalui Windows Hello, yang dapat beroperasi dengan akun Microsoft, serta mengautentikasi pengguna melalui Microsoft Active Directory (AD), Azure AD atau dengan FIDO 2.0.

Cara kerja token perangkat keras 2FA

Token perangkat keras untuk 2FA tersedia untuk mendukung berbagai pendekatan otentikasi. Salah satu token perangkat keras yang populer adalah YubiKey, perangkat USB kecil yang mendukung kata sandi satu kali (one-time passwords), enkripsi dan otentikasi kunci publik, dan protokol Universal 2nd Factor yang dikembangkan oleh FIDO Alliance. Token YubiKey dijual oleh Yubico, Inc., yang berbasis di Palo Alto, California.

Token YubiKey
Token YubiKey

Ketika pengguna dengan YubiKey masuk ke layanan online yang mendukung OTP, seperti Gmail, GitHub atau WordPress, mereka memasukkan YubiKey mereka ke dalam port USB perangkat mereka, masukkan kata sandi mereka, klik di bidang YubiKey dan sentuh tombol YubiKey. YubiKey menghasilkan OTP dan memasukinya di bidang.

OTP adalah kata sandi sekali pakai 44-karakter; 12 karakter pertama adalah ID unik yang mengidentifikasi kunci keamanan yang terdaftar dengan akun. 32 karakter yang tersisa berisi informasi yang dienkripsi menggunakan kunci yang hanya diketahui oleh perangkat dan server Yubico, dibuat selama pendaftaran akun awal.

OTP dikirim dari layanan online ke Yubico untuk pemeriksaan otentikasi. Setelah OTP divalidasi, server otentikasi Yubico mengirim kembali pesan yang mengkonfirmasi bahwa ini adalah token yang tepat untuk pengguna ini. 2FA selesai. Pengguna telah menyediakan dua faktor otentikasi: Kata sandi mereka adalah faktor pengetahuan, dan YubiKey mereka adalah faktor kepemilikan.

Otentikasi dua faktor untuk otentikasi perangkat seluler

Smartphone menawarkan berbagai kemungkinan untuk 2FA, memungkinkan perusahaan untuk menggunakan apa yang paling cocok untuk mereka. Beberapa perangkat mampu mengenali sidik jari; kamera internal dapat digunakan untuk pengenalan wajah atau pemindaian iris dan mikrofon dapat digunakan untuk pengenalan suara. Smartphone yang dilengkapi dengan GPS dapat memverifikasi lokasi sebagai faktor tambahan. Layanan Pesan Suara atau Pesan Singkat (SMS) juga dapat digunakan sebagai saluran untuk otentikasi out-of-band.

two factor authentication
two factor authentication

Apple iOS, Google Android, Windows 10 dan BlackBerry OS 10 semuanya memiliki aplikasi yang mendukung 2FA, memungkinkan ponsel itu sendiri berfungsi sebagai perangkat fisik untuk memenuhi faktor kepemilikan.

Duo Security, yang berbasis di Ann Arbor, Mich., Dan dibeli oleh Cisco pada tahun 2018 seharga $ 2,35 miliar, adalah vendor platform 2FA yang produknya memungkinkan pelanggan untuk menggunakan perangkat tepercaya mereka untuk 2FA. Platform Duo pertama kali menetapkan bahwa pengguna dipercaya sebelum memverifikasi bahwa perangkat seluler mereka juga dapat dipercaya untuk mengautentikasi pengguna.

Aplikasi Authenticator menggantikan kebutuhan untuk mendapatkan kode verifikasi melalui teks, panggilan suara atau email. Misalnya, untuk mengakses situs web atau layanan berbasis web yang mendukung Google Authenticator, pengguna mengetikkan nama pengguna dan kata sandi – faktor pengetahuan. Pengguna kemudian diminta untuk memasukkan nomor enam digit. Alih-alih harus menunggu beberapa detik untuk menerima pesan teks, Authenticator menghasilkan nomor untuk mereka. Angka-angka ini berubah setiap 30 detik dan berbeda untuk setiap login. Dengan memasukkan nomor yang benar, pengguna menyelesaikan proses verifikasi pengguna dan membuktikan kepemilikan perangkat yang benar – faktor kepemilikan.

Apakah otentikasi dua faktor aman?

Sementara otentikasi dua faktor memang meningkatkan keamanan – karena hak untuk mengakses tidak lagi hanya bergantung pada kekuatan kata sandi – skema otentikasi dua faktor hanya seaman komponen terlemahnya. Misalnya, token perangkat keras bergantung pada keamanan penerbit atau produsen. Salah satu kasus paling terkenal dari sistem dua faktor yang dikompromikan terjadi pada 2011, ketika perusahaan keamanan RSA Security melaporkan token otentikasi SecurID-nya telah diretas.

Proses pemulihan akun itu sendiri juga dapat ditumbangkan ketika digunakan untuk mengalahkan otentikasi dua faktor, karena sering mengatur ulang kata sandi pengguna saat ini dan mengirim email kata sandi sementara untuk memungkinkan pengguna untuk login kembali, melewati proses 2FA. Akun Gmail bisnis dari kepala eksekutif Cloudflare diretas dengan cara ini.

Meskipun 2FA berbasis SMS murah, mudah diimplementasikan dan dianggap ramah pengguna, ia rentan terhadap berbagai serangan. NIST telah menghentikan penggunaan SMS dalam layanan 2FA dalam Publikasi Khususnya 800-63-3: Pedoman Identitas Digital. NIST menyimpulkan bahwa kata sandi satu kali yang dikirim melalui SMS terlalu rentan karena portabilitas nomor ponsel, serangan seperti peretasan Signaling System 7 terhadap jaringan ponsel dan malware seperti Eurograbber yang dapat digunakan untuk mencegat atau mengalihkan pesan teks.

Tingkat otentikasi yang lebih tinggi

Sebagian besar serangan berasal dari koneksi internet jarak jauh, sehingga 2FA membuat serangan ini kurang mengancam. Mendapatkan kata sandi tidak cukup untuk akses, dan tidak mungkin seorang penyerang juga bisa mendapatkan faktor otentikasi kedua yang terkait dengan akun pengguna.

Tagged: