Apa itu Multi Factor Authentication / Multi Step Authentication?
Autentikasi merupakan cara untuk mengetahui apakah pengguna yang mengakses ke suatu sistem merupakan pengguna yang berhak dan sesuai atau tidak. Untuk memperkuat keamanan pada suatu sistem, autentikasi terhadap banyak faktor yang berhubungan dengan pengguna digunakan sehingga autentikasi tersebut tidak hanya password saja atau PIN saja.
Autentikasi biasa digunakan pada sistem yang penggunanya mengakses sistem tersebut dari jauh, atau ketika seorang pengguna mengakses sebagai hak penuh, dan mengakses database yang berisi informasi rahasia.
Dengan Autentikasi banyak faktor memverifikasi identitas pengguna dengan menggunakan dua dari tiga mekanisme berikut:
- Sesuatu yang diketahui pengguna, seperti password atau passphrase atau PIN
- Sesuatu yang dimiliki pengguna, seperti token atau sertifikat software
- Sesuatu yang berada di pengguna, seperti sidik jari atau retina
Ketika autentikasi banyak faktor diterapkan dengan benar, seorang penyerang akan lebih sulit untuk mengakses sistem dan mendapatkan informasi-informasi rahasia. Hal ini disebabkan karena seorang pengguna harus memktikan bahwa pengguna memiliki akses secara fisik kepada faktor kedua yang dimiliki oleh pengguna (contoh: paspor, token, kartu autentikasi) atau yang berada di diri pengguna (contoh: sidik jari, retina, kontur wajah) atau menggunakan kode yang berubah-ubah setiap kali pengguna ingin mengakses sebuah sistem.
Beberapa kombinasi faktor-faktor autentikasi yang biasa digunakan adalah:
- Token yang dapat membangkitkan angka acak yang digunakan sebagai PIN atau password
- Smartcard yang digunakan bersama dengan smartcard-reader dan PIN atau password
- Kode acak yang berubah-ubah setiap pengguna mengakses sistem yang dikirimkan lewat SMS dan digunakan bersama dengan PIN atau password
- Biometrik seperti sidik jari atau tekstur wajah yang digunakan bersamaan dengan PIN atau password
- Sertifikat software yang disimpan di dalam komputer pengguna atau perangkat media penyimpanan yang dapat diakses dengan menggunakan PIN atau password
Setiap kombinasi autentikasi banyak faktor memiliki kelebihan dan kekurangannya masing-masing. Penggunaannya harus disesuaikan dengan kebutuhan sistem yang akan digunakan. Autentikasi banyak faktor yang penerapannya tidak baik dapat menyebabkan masalah keamanan dan dapat menimbulkan kerentanan terhadap sistem. Autentikasi banyak faktor menjadi sangat efektif apabila salah satu faktornya terpisah secara fisik dari komputer tempat pengguna mengakses sistem, seperti menggunakan token.
Ada beberapa hal yang harus diperhatikan untuk memaksimalkan efektifitas dari autentikasi banya faktor:
- Server tempat autentikasi tidak terhubung ke jaringan lain selain untuk autentikasi. Hal ini dapat dilakukan dengan:
- Mengaplikasikan semua saran keamanan dari produk yang dikeluarkan oleh vendor
- Mengimplementasikan atau membagi-bagi jaringan sesuai dengan ranah kerjanya untuk membatasi mesin dan pengguna yang di dalam jaringan yang dapat mengakses server tempat autentikasi
- Pengguna menggunakan password atau PIN yang sulit dan kompleks sebagai langkah keamanan apabila token atau informasi lainnya mengenai autentikasi dikopi, hilang, atau dicuri
- Jika tidak menggunakan autentikasi banyak faktor, PIN atau password pengguna yang digunakan untuk akses ke sistem dari jauh sebaiknya berbeda dengan password pengguna yang biasa untuk akses ke jaringan.
- Pengguna tidak menyimpan perangkat token dengan perangkat tempat pengguna melakukan akses ke sistem dari jauh.
Two Factor Authentication
Mekanisme one time password atau OTP di tahun 1980. Namun tantangan yang di dapat pada tahun 1980-an ini ada dua hal:
- bagaimana metode yang tepat untuk membuat one time password yang baru setiap waktu yang tidak dapat di tebak namun dapat di validasi oleh system yang terpusat?
- bagaimana metode pengiriman one time password yang aman kepada pengguna?
Akhirnya di tahun 1984, Security Dynamics Technologies, Inc. mempaten kan metodologi OTP dengan mempergunakan device hardware yang kemudian di sebut dengan istilah hardware token. Angka OTP yang di generate akan terus berubah berdasarkan waktu atau istilahnya timed-based OTP. Kemunculan teknologi ini menjadi awal dari istilah Multi Factor Authentication yang sekarang ini kita kenal. Meskipun pada era yang sama, di berikan istilah lain, yaitu: Two Factor Authentication. Periode di mana One Time Password menjadi verifikasi tambahan setelah user memasukkan password yang benar.
Hingga tahun 2020 ini, ada lima faktor yang di jadikan sebagai bagian dari Multi Factor Authentication. Ke lima faktor tersebut saya sebutkan dalam urutannya adalah:
- Something you Know: artinya sesuatu yang diketahui oleh pengguna. Biasanya adalah password, namun pada kasus lainnya ada yang di sebut dengan istilah PIN.
- Something you Have: artinya sesuatu yang dimiliki oleh pengguna. Ada yang berupa SMS yang diterima. Selain itu ada yang berupa software token yang terinstall pada mobile phone, contohnya Authy, Google Authenticator, dan masih banyak lagi. Sebagian lainnya mempergunakan hardware token yang menampilkan angka yang terus berubah.
- Something you are: artinya autentikasi dilakukan dengan membandingkan biometric pengguna data verifikasi yang tersimpan.
- Somewhere you are: artinya proses akan memperhatikan lokasi geografis pengguna saat pengguna melakukan autentikasi. Pengguna yang berasal pada daerah yang memiliki perbedaan lokasi geografis saat proses autentikasi di lakukan akan berpotensi di duga sebagai peretas.
- Something you do: artinya proses verifikasi dilakukan berdasarkan gesture atau touch yang di lakukan oleh pengguna. Misalnya, pengguna di minta menggambar lingkaran atau bentuk lainnya yang kemudian akan di rekam dan di jadikan bagian dari autentikasi. Kecepatan pengguna dan arah garis yang di gambarkan saat verifikasi akan di jadikan pertimbangan dalam autentikasi.
Multi-Step Authentication vs Multi Factor Authentication
Multi-Step Authentication pada praktiknya memverifikasi satu per satu dari faktor yang di tanyakan. Jika jawaban dari satu faktor yang di tanyakan tidak benar, maka respon negatif langsung di berikan oleh sistem. Jadi verifikasi di lakukan satu per satu untuk seluruh faktor yang di tanyakan.
Multi Factor Authentication, meski di tanyakan lebih dari satu faktor, namun verifikasi di lakukan secara bersamaan setelah seluruh pertanyaan di keluarkan. Contoh: di tanyakan tiga faktor pertanyaan pada tahapan autentikasi, dan dua respon terakhir yang di berikan salah.
Pada Multi-Step Authentication, verifikasi akan berhenti di faktor yang kedua setelah sistem mendapatkan incorrect respon pertama kali.
Pada Multi-Factor Authentication, verifikasi di lakukan di akhir dan sistem akan memberikan respon negatif atau penolakan terhadap permintaan akses tanpa menjelaskan faktor mana yang jawabannya tidak sesuai.
Upaya Peningkatan Perlindungan
Sebanyak apapun faktor yang di pergunakan dalam Multi Factor Authentication jika tanpa kehati-hatian pengguna pastinya akan mengurangi manfaat dari perlindungan berlapis ini. Bukan hanya social engineering yang di lakukan pada operator GSM, namun juga ke pihak lain yang menyimpan data yang kita miliki. Ini beberapa tips terkait perlindungan data Anda:
- Hindari penggunaan SMS sebagai One Time Password. Gunakan software token seperti Google Authenticator atau Authy. Jika kondisi mengharuskan mempergunakan SMS sebagai verifikasi, gunakan nomor handphone yang tidak dipergunakan keseharian juga tidak di daftarkan pada akun manapun. Bisa di manfaatkan nomor handphone yang kita miliki dan di pergunakan sebagai Portable Wifi. Perangkat modem portable ini pastinya memiliki kapabilitas menerima SMS. Ini dapat di manfaatkan sebagai salah satu penerima One Time Password.
- Batasi jumlah informasi pribadi yang kita berikan ke Internet. Tingkatkan penggunaan Private Browsing jika hanya ingin surfing mencari informasi. Ini akan membatasi jumlah cookie dan history yang tersimpan pada browser.
- Gunakan akun email yang berbeda antara untuk masing-masing kelompok aktifitas penggunaan. Pisahkan akun email yang di pergunakan untuk Internet Banking, aktifitas profesional harian, dan aktifitas personal seperti akses ke social media. Minimal tiga kelompok pemisahan.
- Matikan fungsi location tracking pada perangkat mobile jika memang tidak sedang di perlukan.
- Meski mempergunakan VPN, hindari untuk meng-klik tautan yang di kirimkan di dalam email. Potensi lokasi dan IP address asli yang kita sembunyikan di belakang VPN masih memungkinkan untuk di peroleh oleh halaman website pada tautan tersebut.
Referensi
(internet) http://www.asd.gov.au/publications/Top_35_Mitigations_Details_2012.htm
(internet) http://www.asd.gov.au/publications/csocprotect/multi_factor_authentication.htm
(internet) https://keamanan-informasi.stei.itb.ac.id/2013/10/30/multi-factor-authentication/
(internet) https://bincangcyber.id/multi-factor-authentication-e13/
bantu aaya