TEMPO.CO, Jakarta - Pengamat keamanan siber dari Vaksincom, Alfons Tanujaya, mengupas layanan Two Factor Authentication (2FA) yang diberikan kepada pengguna Twitter yang berbayar atau Twitter Blue. Seperti diketahui Twitter membuat layanan Twitter Blue dengan biaya langganan Rp. 120 ribu per bulan atau Rp 1,25 juta per tahun. Selain mendapatkan verifikasi berlogo centang biru, layanan mencakup bookmark folder, opsi membatalkan tweet, dan berbagai fasilitas lainnya, termasuk autentikasi dua faktor.

Untuk layanan autentifikasi itu berlaku per 20 Maret lalu. Jika pelanggan Twitter Blue hanya mengandalkan perlindungan 2FA SMS untuk melindungi akunnya, maka perlindungan tersebut akan dinonaktifkan dan akun Twitter hanya dilindungi dengan password. Ini, menurut Alfons, secara teknis lebih rentan terhadap aksi peretasan dibandingkan pengguna Twitter lain yang menggunakan layanan autentifikasi dua faktor gratisan.

Dia menjelaskan, autentifikasi yang hanya bisa digunakan oleh akun Twitter Blue adalah 2FA menggunakan SMS. Sedangkan 2FA menggunakan aplikasi otentikasi (Google Authenticator, Authy, atau Microsoft Authenticator) masih gratis. Dan, menurut Alfons, secara teknis, Twitter Blue dengan 2FA SMS lebih mudah diretas dibandingkan Twitter biasa yang dilindungi 2FA Authenticator.

“Hal ini karena cara kerja 2FA SMS yang melibatkan pihak ketiga dan aplikasi SMS itu sendiri adalah aplikasi jadul yang tidak terenkripsi dan isinya mudah disadap,” kata Alfons..

SMS adalah aplikasi perpesanan yang diciptakan oleh Friedhelm Hillebrand dan Bernard Ghillabaert di tahun 1984 dan digunakan pertama kali 1992. Teknologi yang sudah berumur 21 tahun itu dinilainya kurang ideal jika digunakan sebagai sarana otentikasi karena tidak terenkripsi. Selain juga melibatkan pihak ketiga dalam pengirimannya sehingga dapat disadap dan dibaca isinya.

Menurut data Vaksincom, berbagai kelemahan 2FA SMS ini pula yang dieksploitasi dalam pembobolan akun m-banking. Caranya, memalsukan aplikasi pencuri SMS. Beberapa contohnya muncul dalam sejumlah aplikasi (APK) jahat modus kurir online, tagihan BPJS, undangan pernikahan, dan yang terbaru, surat tilang. Jika aplikasi palsu tersebut dijalankan oleh korbannya, Alfons menerangkan, pelaku akan mencuri SMS otorisasi m-banking.

"Alasan utama SMS masih digunakan sampai hari ini sebagai sarana 2FA adalah karena unsur kemudahan dimana tanpa perlu menginstal aplikasi tambahan," katanya sambil menambahkan, "Pengguna ponsel dapat menerima SMS dan popularitas SMS sangat tinggi."

Sedangkan aplikasi otentikasi, dia membandingkan, tidak melibatkan pihak ketiga dalam pengiriman kode one time password (OTP) dan lebih sulit dibaca karena terenkripsi. Aplikasi otentikasi bisa diunduh dan diinstal secara gratis dari Play Store atau Apps Store. Beberapa proteksi lain juga bisa ditambahkan seperti PIN dan perlindungan terhadap tangkapan layar (screenshot).

Jadi, menurut Alfons, "Jelas pengamanan 2FA dengan aplikasi otentikasi lebih aman daripada menggunakan SMS."

Perlindungan Autentifikasi 2 Faktor di Twitter

Per tanggal 20 Maret 2023 perlindungan 2FA menggunakan SMS pada pengguna Twitter biasa telah dinonaktifkan. Jika mengaktifkannya maka secara otomatis akun Twitter menjadi rentan diambil alih karena hanya mengandalkan kredensial username dan password.

Dampaknya akan lebih besar jika pengguna memakai kata kunci yang sama untuk berbagai akun yang dimiliki. Ini, kata Alfons, seperti yang pernah terjadi pada kasus kebocoran password pada Yahoo dan Linked In yang secara otomatis akan membocorkan password akun pengguna yang lainnya karena Username umumnya menggunakan alamat email atau nomor telepon.

Ancaman lain yang berbahaya adalah jika pengguna terperdaya situs phishing dan memasukkan kredensial ke situs tersebut. Apalagi kalau perangkat mengandung keylogger yang akan mencuri ketukan keyboard dan perangkat tidak memiliki perlindungan Identity Protection yang akan melindungi secara otomatis dari aksi phising dan keylogger.

“Jika anda pengguna Twitter biasa, segera mengaktifkan perlindungan 2FA berbasis aplikasi guna mengamankan akun,” kata Alfons. Selain itu, ia juga menyarankan bagi pengguna Twitter Blue, sekalipun pengamanan 2FA berbasis SMS tersedia, namun sebaiknya memilih pengamanan 2FA berbasis aplikasi karena secara teknis dapat mengamankan akun lebih baik daripada 2FA berbasis SMS.

Pilihan Editor: Gelar Doktor di India Tak Wajib Publikasi Makalah, Tekan Praktik Jurnal Predator