Ketika datang untuk mengamankan kata sandi dan data sensitif Anda, tidak semua metode otentikasi dua faktor (2FA) diciptakan sama. Banyak layanan masih menawarkan 2FA berbasis SMS, tetapi platform yang sadar keamanan seperti Psono menghindarinya sepenuhnya demi opsi yang lebih kuat seperti WebAuthn, YubiKey, dan TOTP (Time-Based One-Time Passwords).

Ini bukan hanya preferensi—ini adalah kebutuhan untuk keamanan yang kuat. 2FA berbasis SMS memiliki kerentanan signifikan, dan serangan dunia nyata telah membuktikan bahwa ini adalah target mudah bagi peretas. Dalam posting blog ini, kami akan menjelaskan mengapa 2FA SMS lemah dan menyoroti serangan dunia nyata yang menunjukkan kelemahannya.

🔒 Kelemahan dari 2FA Berbasis SMS

Otentikasi berbasis SMS rentan terhadap beberapa metode serangan, termasuk:

  • Penggantian SIM – Penyerang menipu operator seluler untuk mengalihkan nomor telepon korban ke SIM baru, mencegat semua kode SMS.
  • Serangan SS7 – Mengeksploitasi kelemahan dalam protokol Signaling System No. 7 (SS7) secara global untuk mencegat pesan SMS secara jarak jauh.
  • Phishing & Rekayasa Sosial – Menipu pengguna untuk mengungkapkan kode berbasis SMS melalui halaman login palsu.

Risiko-risiko ini menjadikan 2FA berbasis SMS sebagai salah satu bentuk otentikasi yang paling lemah.

🛡️ Mengapa Psono Menggunakan 2FA yang Lebih Kuat

Psono memprioritaskan keamanan dan hanya mendukung metode 2FA yang kuat, termasuk:

  • WebAuthn (FIDO2) – Menggunakan kriptografi kunci publik dan biometrik atau kunci keamanan perangkat keras (misalnya, YubiKey).
  • YubiKey & Kunci Keamanan Lainnya – Token fisik yang memerlukan akses langsung untuk mengautentikasi.
  • TOTP (Google Authenticator, Authy, dll.) – Kata sandi sekali pakai yang dihasilkan pada perangkat daripada dikirimkan melalui SMS.

Metode-metode ini jauh lebih aman karena tahan terhadap phishing, tidak bergantung pada operator seluler, dan menghilangkan risiko pengambilalihan jarak jauh.

📢 Serangan Dunia Nyata pada 2FA SMS

Untuk menggambarkan mengapa Psono menolak mengimplementasikan otentikasi berbasis SMS, berikut adalah serangan dunia nyata yang mengeksploitasi kelemahan tersebut:

1. China Menargetkan Telekomunikasi AS (Eksploitasi SS7 & Lainnya)

Pada Februari 2024, FBI dan CISA mengeluarkan peringatan bersama tentang peretas bersponsor negara Tiongkok menargetkan jaringan telekomunikasi komersial. Serangan-serangan ini mengeksploitasi kerentanan dalam SS7—protokol yang digunakan untuk mengarahkan pesan SMS. Para penyerang dapat mencegat pesan otentikasi, menunjukkan bagaimana 2FA SMS dapat dikompromikan pada tingkat sistemik.

2. Serangan Penggantian SIM terhadap CEO Twitter (X) Jack Dorsey (2019)

Pada 2019, CEO Twitter saat itu, Jack Dorsey, akunnya dibajak melalui serangan penggantian SIM. Peretas meyakinkan operator selulernya untuk mentransfer nomor teleponnya ke kartu SIM mereka, memungkinkan mereka mencegat kode SMS 2FA dan mengambil alih akunnya di Twitter.

3. Serangan Penggantian SIM Coinbase (2021) – Ribuan Dolar Dicuri

Pada 2021, Coinbase mengungkapkan bahwa lebih dari 6.000 pelanggan kehilangan dana akibat serangan penggantian SIM besar-besaran. Peretas mengatur ulang kata sandi korban menggunakan kode SMS yang dicegat, mendapatkan kendali penuh atas akun dan mencuri cryptocurrency.

4. Pelanggaran Data Reddit 2018 – 2FA SMS Gagal

Pada 2018, Reddit mengalami pelanggaran data di mana peretas mengakses akun karyawan meskipun 2FA berbasis SMS diaktifkan. Penyerang menggunakan kode SMS yang dicegat untuk melewati otentikasi, mengekspos data pengguna yang sensitif.

🚀 Masa Depan 2FA: Melampaui SMS

Jika Anda masih menggunakan 2FA berbasis SMS, saatnya beralih ke alternatif yang lebih kuat seperti WebAuthn, YubiKey, atau otentikasi berbasis TOTP. Komitmen Psono terhadap keamanan berarti tidak akan berkompromi dengan menawarkan otentikasi berbasis SMS.

Ingin tetap aman? Gunakan kunci keamanan perangkat keras, aplikasi TOTP, atau otentikasi biometrik—jangan pernah bergantung hanya pada otentikasi berbasis SMS.

Amankan akun Anda dengan cara yang benar—tinggalkan 2FA SMS!

Pertanyaan yang Sering Diajukan Tentang Otentikasi Dua Faktor (2FA)

Apa itu Otentikasi Dua Faktor (2FA) dan mengapa penting?

Otentikasi Dua Faktor (2FA) adalah lapisan ekstra keamanan yang memerlukan dua bentuk otentikasi sebelum memberikan akses ke sebuah akun. Alih-alih hanya menggunakan kata sandi, Anda juga memerlukan faktor kedua, seperti:

  • Kode sekali pakai dari aplikasi autentikator (TOTP)
  • Kunci keamanan perangkat keras (misalnya, YubiKey, Titan Security Key)
  • Otentikasi biometrik (sidik jari, pengenalan wajah)

Ini secara signifikan mengurangi risiko akses yang tidak sah, bahkan jika penyerang mendapatkan kata sandi Anda.

Apa jenis 2FA yang paling kuat?

Faktor kedua yang paling aman adalah yang tahan terhadap phishing dan tidak dapat dengan mudah dicegat. Ini termasuk:

  • Kunci keamanan FIDO2/WebAuthn (misalnya, YubiKey, Titan Security Key)
  • Aplikasi autentikasi berbasis TOTP (Google Authenticator, Authy, Aegis)
  • Passkeys (otentikasi tanpa kata sandi menggunakan biometrik atau kunci keamanan perangkat keras)

Metode yang lebih lemah (untuk dihindari):

  • 2FA berbasis SMS – Rentan terhadap serangan penggantian SIM dan eksploitasi SS7
  • 2FA berbasis email – Dapat dikompromikan jika email Anda diretas

Mengapa 2FA berbasis SMS dianggap tidak aman?

2FA berbasis SMS rentan terhadap beberapa metode serangan, seperti:

  • Serangan Penggantian SIM – Peretas menipu operator seluler Anda untuk mengalihkan nomor Anda ke SIM mereka, membiarkan mereka menerima kode 2FA Anda.
  • Eksploitasi SS7 – Penyerang mencegat pesan SMS dengan mengeksploitasi kerentanan dalam infrastruktur telekomunikasi.
  • Serangan Phishing – Situs web palsu menipu pengguna untuk memasukkan kode SMS mereka, memungkinkan penyerang untuk masuk.

🔹 Alternatif yang lebih baik: Gunakan kunci keamanan perangkat keras atau aplikasi TOTP sebagai pengganti 2FA SMS.

Apa yang terjadi jika saya kehilangan faktor kedua saya (misalnya, ponsel, YubiKey)?

Jika Anda kehilangan akses ke faktor kedua Anda, Anda dapat memulihkan akun Anda dengan:

  1. Menggunakan kode cadangan – Banyak layanan menyediakan kode cadangan satu kali saat menyiapkan 2FA. Simpanlah dengan aman.
  2. Menggunakan perangkat cadangan – Beberapa aplikasi autentikator memungkinkan beberapa perangkat menyimpan kode TOTP.
  3. Menghubungi dukungan – Beberapa layanan menawarkan pemulihan akun, tetapi ini bisa lambat dan memerlukan bukti identitas.
  4. Menggunakan kunci perangkat keras kedua – Jika layanan Anda mendukungnya, daftarkan beberapa kunci keamanan (utama + cadangan).

🔹 Saran pro: Selalu siapkan beberapa metode otentikasi jika satu gagal.

Bisakah peretas melewati 2FA?

Meskipun 2FA secara signifikan meningkatkan keamanan, beberapa metode dapat dilewati dengan serangan tingkat lanjut:

🚨 Metode serangan umum:

  • Serangan phishing – Halaman login palsu menipu pengguna untuk memasukkan baik kata sandi maupun kode 2FA mereka.
  • Serangan Man-in-the-Middle (MitM) – Mencegat token otentikasi melalui jaringan yang tidak aman.
  • Penggantian SIM – Mengarahkan ulang kode SMS ke ponsel penyerang.

Bagaimana mencegahnya:

  • Gunakan otentikasi yang tahan phishing (WebAuthn, passkeys, kunci keamanan).
  • Aktifkan otentikasi yang terikat perangkat (sehingga token tidak dapat digunakan kembali secara jarak jauh).
  • Berhati-hati terhadap halaman login yang mencurigakan – Selalu verifikasi URL sebelum memasukkan kredensial.
ditulis oleh Sascha Pfeiffer pada February 12, 2025
Dokumentasi Psono

Mencari lebih banyak?

Lihat artikel terbaru kami di sini!