Judulnya agak serem, membahas mengenai keamanan dengan metode multi-factor authentication. Postingan ini bukan artikel ilmiah, jadi tak coba untuk membahasnya dengan bahasa yang gampang. Jadi begini, sekarang ini sudah banyak layanan yang keren di Internet, fasilitas yang tadinya nggak ada dan tidak terpikirkan di masa lalu, sekarang sudah tersedia dengan biaya terjangkau atau bahkan murah. Siapa sangka kegiatan berkirim pesan, bersosialisasi, bekerja, dan mencari pekerjaan dapat dilakukan dengan mudah melalui Internet? Seakan-akan sekarang dunia maya dan nyata sudah tidak terlihat bedanya lagi.
Tapi di balik segala kemudahan dan kenyaman itu, tentu ada bahaya yang mengancam. Keamanan data yang kita miliki sebaiknya dijadikan sebagai prioritas utama, karena bagaimanapun juga data pribadi harus tetap menjadi pribadi. Masalahnya, apakah ada hal pribadi di Internet? Saya akan menuliskan mengenai hal ini di postingan lain. Masalah lain yang harus kita waspadai adalah hal autentikasi. Selama ini kita mengandalkan username dan password untuk melindungi semua akun Internet yang kita miliki, tapi apakah itu sudah cukup?
Sekarang ini, sudah sangat banyak tools untuk menemukan password. Mulai dari yang berbentuk software semacam brute password pada komputer lokal, sniffer yang dipasang pada jaringan komputer, hingga yang berbentuk hardware seperti keylogger yang dipasang pada port keyboard. Artinya, serumit apapun password yang kita miliki, pada dasarnya hacker akan mudah mendapatkannya. Hanya butuh waktu dan kesabaran untuk melakukannya, dan percayalah.. Hacker adalah orang yang tekun dan sangat sabar. Lalu apa yang bisa kita lakukan untuk meningkatkan keamanan?
Multi-Factor Authentication
Sesuai dengan yang saya dapatkan dari Wikipedia yang mengatakan bahwa Multi-Factor Authentication (atau ada yang menyebutkan sebagai two-step verification) adalah sebuah metode autentikasi yang menggabungkan beberapa faktor. Antara lain :
- Sesuatu yang hanya user tau (PIN, password, pola)
- Sesuatu yang hanya user miliki (Kartu ATM, smartphone)
- Sesuatu yang hanya user itu sendiri (Sidik jari, retina mata)
Nah, apabila Anda telah menggunakan password untuk mengamankan aplikasi, maka Anda baru hanya menggunakan satu faktor autentikasi saja. Alangkah baiknya jika menggabungkan dengan faktor yang lain. Tapi pada dasarnya kita sudah menggunakan model multi-factor authentication lho.
Saya rasa Anda sudah memiliki rekening bank, pihak bank sudah menerapkan pengamanan ini untuk melindungi Anda. Contohnya pada kartu ATM, bank akan memberikan Anda sebuah kartu ATM dan PIN untuk melindunginya. Jadi bila Anda akan mengambil uang, maka Anda harus memiliki keduanya, tidak bisa hanya salah satu saja. Seandainya kartu ATM Anda hilang atau Anda lupa dengan PIN, maka Anda tidak dapat mengambil uang.
Internet Banking juga sudah menerapkan hal yang sama. Anda akan memiliki username dan password untuk dapat mengakses layanan Internet Banking, selain itu Anda juga akan memiliki token yang berfungsi sebagai autentikasi tambahan apabila akan melakukan transaksi keuangan. Jadi semisal akun Internet Banking Anda ditembus orang, maka diharapkan dia tidak bisa melakukan apa-apa selama dia juga tidak memiliki token Internet Banking.
Bagaimana dengan yang lain?
E-mail dan akun social media sekarang ini merupakan penting yang harus dilindungi, maka dari itu sebaiknya kita menambahkan model multi-factor authentication ini pada akun-akun tersebut. Saya sudah menggunakan ini pada akun Google, Microsoft, Facebook, dan Twitter. Secara garis besar metode yang digunakan sama, saya tetap diminta mengisikan username dan password, kemudian apabila saya login menggunakan komputer yang berbeda dengan biasanya, maka saya akan diminta mengisikan kode unik yang dikirimkan oleh server.
Google, Facebook, dan Twitter menggunakan metode yang sama yakni mengirimkan kode tersebut melalui sms, sehingga saya harus melakukan verifikasi nomor hp saya ke server mereka supaya dapat dikirimi kode melalui sms. Yang berbeda hanya Microsoft yang meminta saya untuk menginstall aplikasi 2-step verification pada smartphone yang nantinya akan menggenerate kode unik untuk nantinya dimasukkan ke form login.
Kesimpulannya, untuk saat ini beberapa akun email dan social media yang saya miliki keamanannya sudah setingkat lebih tinggi daripada biasanya. Saya hanya memastikan smartphone siap digunakan untuk menerima kode unik saat saya akan mengakses akun-akun tersebut selain dari laptop yang biasa saya gunakan.
Jika ingin melihat layanan apa saja yang sudah support dengan 2-factor verification, silakan akses websitenya.
