[TANYA]Apakah Mengaktifkan 2FA Jaminan Tidak Kena Hack

[elda34b]

berarti sekuat apapun 2fa itu tidak menjamin keamanan kita atau mungkin bisa dikatakan hanya sedikit mempersulit hacker dlam mengambil data2 penting kita ...( tidak ada yang aman di onlen 

Ya memang. Kalau ada yang aman ga bakal ada mekanisme perlindungan yang rumit gan. Agak naif kalau hanya dengan memasang 2FA atau password agan merasa data agan udah aman.

Iya gan, makannya klo 2fa mending di gadget terpisah, misal klo buka market di pc, 2fa nya dari hp

Mau di PC juga gapapa selama bisa melindungi keamanan PCnya sendiri. Kalau pake di hape juga ada potensi risiko hape hilang dan ga bisa login misalnya. Intinya semua model penggunaan 2FA punya celahnya masing-masing, agan hanya bisa 'aman' bila tahu gimana cara mengamankan diri dari serangan atas celah-celah tersebut.

[1715125702]

1715125702

[1715125702]

1715125702

[1715125702]

1715125702

[1715125702]

1715125702

[erep]

Iya gan, makannya klo 2fa mending di gadget terpisah, misal klo buka market di pc, 2fa nya dari hp

Mau di PC juga gapapa selama bisa melindungi keamanan PCnya sendiri. Kalau pake di hape juga ada potensi risiko hape hilang dan ga bisa login misalnya. Intinya semua model penggunaan 2FA punya celahnya masing-masing, agan hanya bisa 'aman' bila tahu gimana cara mengamankan diri dari serangan atas celah-celah tersebut.

Mau di PC atau HP sih resiko tetap ada tetapi bukan dari sistemnya hanya saja kita tidak safety mengamankan data dan perangkat yang menyimpan akses ke exchange, langkah antisipasi menurut saya adalah menyimpan kode 2FA, data login dan data email pada flashdisk sehingga misalnya kehilangan HP tetap bisa di akses 2FA nya dengan memasukkan kembali kode 2fa pada perangkat lain

[Husna QA]

-snip- langkah antisipasi menurut saya adalah menyimpan kode 2FA, data login dan data email pada flashdisk sehingga misalnya kehilangan HP tetap bisa di akses 2FA nya dengan memasukkan kembali kode 2fa pada perangkat lain

Bukankah flashdisk itu malah rentan terkena virus? ditambah lagi usia pakai dari flashdisk itu setahu saya lebih pendek dari pada harddisk.

Flash memory menyimpan data dalam bentuk muatan listrik. Karena itu dia juga sensitif terhadap medan elektromagnetik, listrik statis, dan sinar X. Jadi bersiap-siaplah kalau tiba-tiba data kamu di flashdisk hilang/rusak(corrupt) tanpa tahu penyebabnya.

Meskipun semua perangkat ada celahnya masing-masing, tapi setidaknya cari perangkat yang celahnya lebih sedikit ketimbang lainnya, apalagi untuk urusan menyimpan data login, email ataupun data kode 2fa.

[skarais]

~snip
Meskipun semua perangkat ada celahnya masing-masing, tapi setidaknya cari perangkat yang celahnya lebih sedikit ketimbang lainnya, apalagi untuk urusan menyimpan data login, email ataupun data kode 2fa.

Sepertinya langkah yang agan utarakan bisa dipertimbangkan. Tapi sampai saat ini tidak banyak orang yang mengetahui perangkat apa yang cocok digunakan untuk meminimalisir celah atau resiko kerusakan. Tidakkah lebih baek agan langsung merekomendasikan ke kami mana perangkat yang cocok digunakan yang spesifikasinya jauh lebih baik ketimbang yang lain.

[Husna QA]

-snip-
Sepertinya langkah yang agan utarakan bisa dipertimbangkan. Tapi sampai saat ini tidak banyak orang yang mengetahui perangkat apa yang cocok digunakan untuk meminimalisir celah atau resiko kerusakan. Tidakkah lebih baek agan langsung merekomendasikan ke kami mana perangkat yang cocok digunakan yang spesifikasinya jauh lebih baik ketimbang yang lain.

Pertanyaannya sudah agak keluar dari inti topik saya kira ...
Untuk macam-macam media penyimpanan data komputer, plus minusnya antara lain bisa dibaca disini:
http://blog.unnes.ac.id/sutrisno/2017/02/10/pengertian-dan-macam-macam-media-penyimpanan-data-komputer/

Kalau untuk perbandingan ketahanan media penyimpanan, antara lain bisa dilihat pada tabel* berikut:

Sumber: https://hakmantenera.wordpress.com/2013/10/22/kapasitas-dan-ketahanan-media-penyimpanan-data_hakman_pawiran_sarim/

*Data tersebut bersifat umum dalam keadaan pemakaian normal dan saya kira tidak sepenuhnya akurat juga, masih banyak faktor yang bisa saja mempersingkat usia pakai perangkat tersebut.
Kembali ke topik

"Apakah Mengaktifkan 2FA Jaminan Tidak Kena Hack"

Berikut ini salah satu video yang membahas tentang 2FA Exploit:

[joniboini]

Bukankah flashdisk itu malah rentan terkena virus? ditambah lagi usia pakai dari flashdisk itu setahu saya lebih pendek dari pada harddisk.

Tergantung konteks pemakaiannya juga om. Kalau cuma dipakai/diakses buat 2FA saja sekali dalam setahun ketika perangkatnya mau direset ya tentu usianya bisa panjang & bisa jadi kebal virus (ketika dibuat read-only). Flashdisk saya yang berasal dari tahun 2003 sampai sekarang masih hidup walaupun udah kebentur dan harus diselotip di sana-sini. Idenya ga begitu buruk selama penerapannya disesuaikan. Tapi tentunya tetap tidak menjamin 2FA tidak kena hack, apalagi kalau exchange/platformnya menerima pergantian 2FA hanya dengan nomor telepon, yang bisa dilakukan lewat SIM swapping.

Tidakkah lebih baek agan langsung merekomendasikan ke kami mana perangkat yang cocok digunakan yang spesifikasinya jauh lebih baik ketimbang yang lain.

Googling gan.

[Husna QA]

-snip- dan harus diselotip di sana-sini. -snip-

Salah satu ciri orang hemat 

-snip- apalagi kalau exchange/platformnya menerima pergantian 2FA hanya dengan nomor telepon, yang bisa dilakukan lewat SIM swapping.

SIM swapping... adakah member disini yang pernah mengalami hal ini...?
Tadi saya coba baca-baca terkait hal tersebut dan ada beberapa tips untuk menghindarinya.

SIM swapping is a big deal, especially if you’re also actively involved in the cryptocurrency community—a great way for an attacker to make a little cash and mess up your life.
-snip-
To prevent this, keep your phone number, date of birth, mailing address, and all other compromising information off as many of your accounts as possible, and don’t share this information publicly if you can avoid it. Some of this data is necessary for certain services, but you don’t need for any of to be searchable on social media. You should cancel and delete any accounts you no longer use as an added precaution.

[joniboini]

Tadi saya coba baca-baca terkait hal tersebut dan ada beberapa tips untuk menghindarinya.

Modus serangan ini sepertinya sudah ada di Indonesia tapi kayaknya gak begitu masif[1]. Mungkin karena butuh biaya dan ilmu yang relatif lebih sulit daripada modus penipuan biasa seperti nelpon dan mengancam keluarga korban ditangkep polisi. Ada beberapa solusi, baik dari segi operator ataupun pengguna itu sendiri. Sebagai pengguna memang yang paling aman ya stay anonymous, atau minimal gak mengumbar data" pribadi di internet. Kalau perlu, nomor hape hanya diketahui oleh orang yang agan kenal. Kalau mau transaksi kontak aja lewat akun Telegram pseudonim khusus.

SIM swapping sering jadi alat untuk menjebol/menerobos 2FA, tapi hal itu juga gak akan terjadi kalau password agan kuat dan selalu waspada. Selalu aktifkan notifikasi log-in atau percobaan log-in agar agan bisa cepat bertindak kalau ada upaya menjebol akun agan. Terutama di situs yang lebih memberatkan konfirmasi lewat telepon/sms daripada 2FA.
[1] https://news.detik.com/berita/d-4325326/polisi-berikan-tips-cegah-kejahatan-sim-swap-fraud

[kaneki007]

2FA Exploit

Untuk masalah exploit, apakah 2fa bisa di jebol dengan menggunakan metode bruteforce? dan jika memang bisa apakah salah satu caranya hanya membatasinya?
seperti contoh jika kita salah memasukan 2fa 5x berturut-turut akun akan di kunci selama 2 jam

Oiya bagi yg belum tau bruteforce mungkin link berikut bisa bermanfaat dan bisa menambah pengetahuan baru
https://www.logique.co.id/blog/2019/04/25/brute-force-attack/

[Husna QA]

Untuk masalah exploit, apakah 2fa bisa di jebol dengan menggunakan metode bruteforce?

Kode yang dihasilkan dengan menggunakan 2FA biasanya random, jadi akan sulit saya kira (untuk saat ini) jikapun ada yang berusaha untuk menjebolnya menggunakan metode bruteforce. Untuk bruteforce password yang sifatnya statis/tidak berubah otomatis saja diperlukan perangkat komputer yang mumpuni.

Teknik ini juga tergantung dari kecepatan prosesor komputer yang digunakan untuk melakukan teknik brute force.

[joniboini]

Untuk masalah exploit, apakah 2fa bisa di jebol dengan menggunakan metode bruteforce? dan jika memang bisa apakah salah satu caranya hanya membatasinya?

Yang dimaksud dijebol, apakah kodenya atau 'seed'-nya? Kalau seednya mungkin lebih mudah dibandingkan jebol kode yang ada limit 30 detik, kecuali agan punya quantum komputer dan bisa melakukan 1 triliun komputasi per sepersepuluh detik. Walaupun begitu, menjebolnya juga susah karena agan juga harus memastikan seednya pas dengan kodenya.

Bakal lebih mudah jebol lewat sim-swap atau MITM daripada brute force kode 2FA.

[Ljunior]

Iya lebih mudah sim-swap kalau skill social engineering nya diatas rata2 dan memiliki DATAnya.

Kalau di Indo minta aja ke Telkomsel,  XL,  dan provider yg ada .

Itu salahsatu bahaya dari kyc.

Rumornya,  twitter jack dorsey diretas oleh Chuckle Squad menggunakan teknik sim-swap.

[kaneki007]

Yang dimaksud dijebol, apakah kodenya atau 'seed'-nya?

Seed nya, pernah liat ada yg share tools nya waktu itu di grup sosmed cuman udah lama banget cuman ane masih inget kalau tools yg dishare nya itu tools untuk bruteforce seed 2fa dan itu juga belum tentu bisa ketebak karena memang harus mengumpulkan wordlist yg sangat banyak
brute force yg wordlist nya aja ribuan butuh waktu beberapa jam kelar

[Husna QA]

-snip-

https://twitter.com/TwitterComms/status/1167591003143847936?s=20

Seed nya, pernah liat ada yg share tools nya waktu itu di grup sosmed cuman udah lama banget cuman ane masih inget kalau tools yg dishare nya itu tools untuk bruteforce seed 2fa dan itu juga belum tentu bisa ketebak karena memang harus mengumpulkan wordlist yg sangat banyak
brute force yg wordlist nya aja ribuan butuh waktu beberapa jam kelar

Di google banyak yang memberikan link tools untuk bruteforce namun peluang untuk berhasil juga tidak mudah, selain itu baiknya tidak disalahgunakan untuk merugikan pihak lain.
btw, dulu saya pernah iseng nyoba tes akses wifi orang lain dan berhasil membuka passwordnya , namun ya sudah tidak saya manfaatkan akses wifi "gratis" itu karena tujuannya memang hanya ingin tahu saya bisa mengaksesnya atau tidak ...

https://www.backtrack-linux.org/
https://www.kali.org/

[Krislaw]

btw, dulu saya pernah iseng nyoba tes akses wifi orang lain dan berhasil membuka passwordnya

Apakah kita bisa mengakses keseluruhan data yang perangkat punya wifi?,
misalkan ada seseorang yang open tethering di HP, dan paswordnya kita dapat, lalu kita masuk ke android yang punya hotspot dan hacking semua data di HP.

[Husna QA]

Apakah kita bisa mengakses keseluruhan data yang perangkat punya wifi?,
misalkan ada seseorang yang open tethering di HP, dan paswordnya kita dapat, lalu kita masuk ke android yang punya hotspot dan hacking semua data di HP.

Saya belum sampai sejauh itu om nge-tes nya, lagi pula ilmu saya masih belum apa-apanya ketimbang om EmJi, om ElJi atau yang lainnya yang memang ahli IT.
btw, bagi yang punya wifi dengan SSID bisa dilihat publik, selain password sebaiknya manfaatkan juga filter MAC Address.
Oh ya, selain 2fa (two-factor authentication) ada istilah lain yang hampir mirip namun sebenarnya ada perbedaan dari cara kerja nya, yakni
2sv (two-step verification).
Referensi kalau mau baca lebih lanjut: https://www.grahamcluley.com/factor-authentication-2fa-versus-step-verification-2sv/

[joniboini]

Apakah kita bisa mengakses keseluruhan data yang perangkat punya wifi?,
misalkan ada seseorang yang open tethering di HP, dan paswordnya kita dapat, lalu kita masuk ke android yang punya hotspot dan hacking semua data di HP.

Bisa-bisa saja terjadi, namun tentu ada metodenya. Misalnya memanfaatkan celah kernel dengan masuk atau mengarahkan user ke Chrome Sandbox, mengirimkan pesan dengan link ke aplikasi berbahaya yang kita buat, dan semacamnya. Terlebih apabila hape atau device pengguna yang lain tidak mengaktifkan firewall.

Tapi ngehack wifi untuk dapetin kode 2FA kayaknya bakal susah karena harus identifikasi sasarannya. Belum lagi kalau ternyata yang ngakses gak punya duit ya sia-sia tenaganya. Malah lebih efisien nyepam email yang berisi reset kode 2FA karena akun Anda sedang dihack, dan semacamnya. Masih banyak yang ketipu dan jumlahnya gak main-main.

[Husna QA]

-snip- Malah lebih efisien nyepam email yang berisi reset kode 2FA karena akun Anda sedang dihack, dan semacamnya. -snip-

Tapi ini bukan merupakan ajakan kan?  

mengirimkan pesan dengan link ke aplikasi berbahaya yang kita buat, dan semacamnya

Kalau metode ini saya pernah melihatnya, seolah mengirim pesan berupa gambar tapi tidak kebuka dan target dikecoh untuk mengklik link tersebut untuk bisa melihat gambarnya, dari situlah spyware masuk ke smartphone target.
btw, diskusi tentang 2fa panjang juga ya ...
@OP apakah sudah bisa ditarik kesimpulan dari permasalahannya?

[joniboini]

btw, diskusi tentang 2fa panjang juga ya ...
@OP apakah sudah bisa ditarik kesimpulan dari permasalahannya?

Sudah tidak aktif dari 26 September. Post terakhir juga bulan Agustus. Kayaknya ga bakal merespons OP om. Direport saja biar dikunci sama mod.