[Newbie][Edukasi] Perbedaan Alur Kerja Otentikasi Tradisional, 2FA dan 2SV

[wedosgibas]

1. 2SV: ekspansi dari single-factor authentication (SFA)
Single-factor (username+password) -> kemudian + kode yang dikirim ke out-of-band* pengguna (contoh, kode yang dikirimkan ke SMS, melalui panggilan telepon, email, atau saluran komunikasi lainnya)
Mekanismenya yaitu: Step pertama yaitu verifikasi dengan single factor dan jika valid, maka akan mengirim kode (OTP) ke pengguna (bisa berupa SMS, panggilan, email dalam jangka waktu tertentu). Jadi, kode itu dikirimkan ke SMS, panggilan, email bukan generating sendiri).

2SV asing namanya bagi saya namun tidak asing penggunaannya.

Dan tentang 2FA, tidak jauh dengan aplikasi GA/ Google Authenticator.
Sayang mengambil contoh sebuah platform exchange/ pertukaran crypto, kan kode yang kita masukkan bisa saling berhubungan dengan akun seterusnya. Apakah ada cara membuat kode atau darimana kode yang dihasilkan sebuah platform exchange untuk diberikan ke usernya untuk di integrasikan lagi ke aplikasi GA?

[1714761920]

1714761920

[1714761920]

1714761920

[1714761920]

1714761920

[joniboini]

Apakah ada cara membuat kode atau darimana kode yang dihasilkan sebuah platform exchange untuk diberikan ke usernya untuk di integrasikan lagi ke aplikasi GA?

Kurang paham dengan pertanyaan agan, tapi kayaknya agan pengen tahu gimana cara kode 2FA itu digenerate. Itu bukan integrasi lagi ke aplikasi GA gan, tapi ya emang kode GA yang dihasilkan dengan prinsip 2FA. Kalau mau baca" tinggal googling saja "gimana kode 2FA dihasilkan", nanti bakal nemu artikel macam ini.

[abhiseshakana]

Sayang mengambil contoh sebuah platform exchange/ pertukaran crypto, kan kode yang kita masukkan bisa saling berhubungan dengan akun seterusnya. Apakah ada cara membuat kode atau darimana kode yang dihasilkan sebuah platform exchange untuk diberikan ke usernya untuk di integrasikan lagi ke aplikasi GA?

Jika yang agan maksud dengan Kode adalah secret key (QR Code) dari sebuah aplikasi 2FA maka kode tersebut digenerate oleh Authenticator Generator yang dimiliki oleh Exchange tersebut. Pada saat secret key dibuat maka ukuran seed yang dihasilkan akan berbeda-beda sesuai dengan algoritma yang digunakan, untuk SHA-1 20 bytes, SHA-256 32 bytes, dan SHA-512 64 bytes.

Dari string seed tersebut akan dihasilkan sebuah secret key atau QR Code dengan jumlah 16/26/32 Character (sesuai dengan algoritma yang digunakan) dalam format Base32.

source https://tools.ietf.org/html/rfc6238

[wedosgibas]

Sayang mengambil contoh sebuah platform exchange/ pertukaran crypto, kan kode yang kita masukkan bisa saling berhubungan dengan akun seterusnya. Apakah ada cara membuat kode atau darimana kode yang dihasilkan sebuah platform exchange untuk diberikan ke usernya untuk di integrasikan lagi ke aplikasi GA?

Jika yang agan maksud dengan Kode adalah secret key (QR Code) dari sebuah aplikasi 2FA maka kode tersebut digenerate oleh Authenticator Generator yang dimiliki oleh Exchange tersebut. Pada saat secret key dibuat maka ukuran seed yang dihasilkan akan berbeda-beda sesuai dengan algoritma yang digunakan, untuk SHA-1 20 bytes, SHA-256 32 bytes, dan SHA-512 64 bytes.

Dari string seed tersebut akan dihasilkan sebuah secret key atau QR Code dengan jumlah 16/26/32 Character (sesuai dengan algoritma yang digunakan) dalam format Base32.

source https://tools.ietf.org/html/rfc6238

Nah ini yang saya maksud secret key nya, maaf karena kurang jelas pertanyaannya saya @joniboini. Berarti Authenticator Generator ini bukan sembarangan dimiliki untuk publik ya alias hanya untuk institusi tertentu kah? Karena fitur itu tidak disertakan jadi satu di aplikasi mobile atau ekstensinya untuk bisa digunakan publik

[abhiseshakana]

Berarti Authenticator Generator ini bukan sembarangan dimiliki untuk publik ya alias hanya untuk institusi tertentu kah? Karena fitur itu tidak disertakan jadi satu di aplikasi mobile atau ekstensinya untuk bisa digunakan publik

Tidak ada batasan buat seseorang jika ingin meng-implementasikan 2FA kedalam website atau aplikasi yang mereka miliki, karena untuk saat ini begitu banyak source code yang menawarkan One-time password generator untuk bisa dikonsumsi oleh publik.

Beberapa contohnya seperti berikut :
https://github.com/speakeasyjs/speakeasy
https://github.com/wstrange/GoogleAuth

[kikukk]

Menurut saya sama saja kalau kita sudah mengerti implementasikan 2FA kedalam website malah akan membuat kita semakin rumit

[Luzin]

Menurut saya sama saja kalau kita sudah mengerti implementasikan 2FA kedalam website malah akan membuat kita semakin rumit

Maksudnya rumit nya bagaimana ya om? jika rumit disini karena kita perlu melakukan beberapa langakah tambahan ane rasa sebanding dengan lapisan keamanan yang kita dapat.

[masulum]

HATI-HATI DENGAN OTP SMS

Mohon maaf bumping thread yang sudah lama tidak ada update. Di sini saya akan berbagi suatu kasus dimana seorang kehilangan Rp399.000.000 di akun banknya karena OTP SMS. Karena OTP SMS merupakan bagian dari otentikasi, saya rasa kejadian ini masih relevan untuk semua member untuk dijadikan pelajaran berharga demi keamanan akun dan aset.

Berikut adalah screenshot yang saya dapatkan dari twitter @hsuff  - posts archive



KRONOLOGI KASUS

1. Korban mendapatkan telepon dari orang asing yang mengatas namakan bank danamon
2. Korban kemudian mendapatkan SMS berisi kode OTP berulang-ulang
3. Telpon asing meminta kode OTP kepada korban
4. Korban tidak percaya, kemudian datang ke bank untuk konfirmasi
5. Bank meminta korban untuk mengabaikan SMS yang masuk
6. Korban terus mendapatkan sms OTP
7. Korban datang ke provider SIMcard untuk menutup kartu
8. Pelaku (orang asing) mengetahui bahwa korban menutup kartu, kemudian kartu diaktifkan kembali
9. Selang beberapa jam, uang senilai 399 juta dihabiskan oleh pelaku.

Keberhasilan pelaku dalam mengaktifkan kembali kartu yang sudah tidak digunakan oleh korban adalah salah satu masalah besar ketika kita menggunakan OTP SMS. SIMcard yang kita miliki adalah miliki provider, provider dapat menutup/membuka kartu suka-suka mereka. Ketika ada orang yang paham aset kita, dan kita hanya mengamankan akun dengan bermodal OTP SMS, maka ketika ada orang lain yang memegang nomor lama kita dapat dengan mudah untuk mengganti akun.

Jadi, pelajaran penting dari kasus di atas adalah, jangan pernah mengganti nomor HP sebelum Anda memperbarui nomor yang digunakan untuk aset. Jika Anda ingin mengganti nomor HP, maka tindakan yang harus dilakukan terlebih dahulu adalah

1. Mengganti nomor HP yang terdaftar di bank terlebih dahulu kalau di exchange, kita menggantinya di profil akun (jika tidak bisa dilakukan sendiri, hubungi CS)
2. Jangan langsung menonaktifkan kartu meskipun Anda sudah memperbarui nomor HP di akun bank/exchange
3. Pilihlah untuk meminta provider SIM untuk memblokir nomor lama Anda terlebih dahulu.
4. Minta provider untuk mengaktifkan nomor lama kembali
5. Tes ulang akun dengan mengecek nomor hp, jika ada yang belum di perbarui, Anda masih bisa melakukannya segera.
6. Bekukan akun bank/exchange sebelum mengganti normor HP.

Semoga kejadian ini membuat kita bisa lebih hati-hati dengan nomor HP yang kita gunakan.

Ingat, mungkin cara ini tidak menjamin 100% akan mengamankan aset Anda. Kehati-hatian dan kewaspadaan Anda dalam mengkonfirmasi OTP adalah yang terpenting yang harus Anda lakukan.

^{note: buat OP jika menurut Anda ini OOT, silakan dihapus}

[abhiseshakana]

7. Korban datang ke provider SIMcard untuk menutup kartu
8. Pelaku (orang asing) mengetahui bahwa korban menutup kartu, kemudian kartu diaktifkan kembali

Rada aneh juga jika dalam selang waktu yang tidak lama No. HP sudah bisa di recycle, harusnya sih rata-rata provider baru akan melakukan recycle (jual kembali) pada No.HP yang tidak aktif dalam jeda waktu 2-4 Bulan. Beda lagi klo pelaku memiliki akses untuk melakukan recycle (bisa saja dia melakukan hacked atau malah bagian dari orang dalam).

Korbannya sendiri menurutku juga kurang waspada, seharusnya sebelum dia menon-aktifkan kartu selulernya segala koneksi layanan perbankan, sosmed, email maupun media-media penting lainnya perlu diputus terlebih dahulu.

[joniboini]

Itu gimana caranya si penipu bisa ngetrigger permintaan OTP akun bank user yang bersangkutan. Berarti login dan pass atau kredensial lainnya udah ketahuan dong? Masalah yang lebih urgent menurut ane kok malah di situ daripada masalah OTP smsnya. Analoginya kalau di exchange ini login dan passwordnya udah ketahuan dan si penipu udah bisa akses akunnya sesuka hati, cuma butuh kode OTP biar bisa WD asetnya.

[Husna QA]

-snip-

Sedikit menambahkan sumber beritanya, saya lihat di sini:
https://www.jawapos.com/surabaya/11/10/2020/tabungan-dokter-eric-ludes-setelah-tujuh-menit-ganti-nomor-hp/
Dari info di atas, pelaku berhasil mengkloning nomor hp korban selang sekitar tujuh menit setelah nomor tersebut ditutup.
Dalam hal ini saya kira pelaku memang sudah berhasil lebih dulu mendapat informasi login ke akun-nya korban, tinggal melewati tahapan OTP tersebut saja.
Ada semacam upaya mempengaruhi psikologi korban juga disini dengan teror/ancaman via telepon, dan canggihnya lagi, telepon-telepon tersebut tidak bisa di reject ataupun di blokir oleh korban.

’’Semestinya yang pertama saya lakukan menutup nomor rekening dulu. Bukan nomor telepon,’’

[masulum]

Rada aneh juga jika dalam selang waktu yang tidak lama No. HP sudah bisa di recycle, harusnya sih rata-rata provider baru akan melakukan recycle (jual kembali) pada No.HP yang tidak aktif dalam jeda waktu 2-4 Bulan. Beda lagi klo pelaku memiliki akses untuk melakukan recycle (bisa saja dia melakukan hacked atau malah bagian dari orang dalam).

Benar mas, ada yang aneh dibagian ini, ketika nomor diblokir, sedangkan kartu sim masih di korban, seharusnya memang tidak bisa pelaku memiliki kartu dengan nomor yang sama. Kalau memang pelaku bisa meretas, Apakah mungkin ada yang tidak beres pada sistem provider? Kalau orang dalam, seharusnya provider lebih mudah untuk melakukan pelacakan dan penangkapan pelaku. Karena ada record pada sistem yang tentunya akun orang dalam yang mengaktifkan kembali nomor tersebut akan tersimpan.

Berarti login dan pass atau kredensial lainnya udah ketahuan dong?

Dalam hal ini saya kira pelaku memang sudah berhasil lebih dulu mendapat informasi login ke akun-nya korban, tinggal melewati tahapan OTP tersebut saja.

Tentunya kalau sudah meminta OTP, pelaku tersebut sudah memiliki poros security pertama yaitu username/email dan password.

Masalah yang lebih urgent menurut ane kok malah di situ daripada masalah OTP smsnya.

memang, masalah utama bisa terjadi pada akun dan passwordnya, tapi kejadian ini menjadikan OTP sebagai bagian penting. Kasus yang bisa saja dilupakan oleh pengguna lain, dimana mereka mengganti nomor hp tapi belum memperbarui data akun, sekalipun mereka ingat untuk memperbarui tentunya proses menjadi lebih panjang, karena nomor sudah terlanjur diganti, maka YBS juga masih harus verifikasi ulang. Sedangkan pada kasus ini hanya berselang 7 menit, dari penutupan nomor, sehingga user harus selalu ingat dan berhati-hati ketika akan mengganti nomor yang memiliki akses OTP

[joniboini]

OTP jasa" fintech dan perbankan sayangnya masih mengandalkan SMS dan bukan Google Auth atau sejenisnya. Sistem keamanan perbankan Indo masih tertinggal dibandingkan exchange/fintech" lain yang udah support 2FA dan kombinasi password yang lebih kompleks. Pelajaran lain dari kasus di atas adalah nomor" penting juga kalau bisa ga ditaruh di sosmed, biar ga 'diteror' seperti cerita di atas.

[abhiseshakana]

OTP jasa" fintech dan perbankan sayangnya masih mengandalkan SMS dan bukan Google Auth atau sejenisnya. Sistem keamanan perbankan Indo masih tertinggal dibandingkan exchange/fintech" lain yang udah support 2FA dan kombinasi password yang lebih kompleks. Pelajaran lain dari kasus di atas adalah nomor" penting juga kalau bisa ga ditaruh di sosmed, biar ga 'diteror' seperti cerita di atas.

OTP (baik itu 2FA maupun 2SV) yang menggunakan opsi autentifikasi SMS menurut saya memang kurang efisien, karena selain memiliki tingkat keamanan yang lebih rentan jika dibandingkan dengan OTP App maupun via token, pada waktu proses pengiriman OTP ke pengguna juga akan dikenakan biaya layanan SMS (jika saldo kurang maka code OTP tidak akan bisa terkirim). Ditambah lagi karena prosesnya berkaitan erat dengan jaringan seluler ada kalanya pengiriman OTP tersebut macet dan mesti di kirim ulang.

[masulum]

Beberapa bulan lalu ada thread yang menanyakan tentang apakah mengaktifkan 2FA menjamin tidak bisa dihack? yang saat ini threadnya sudah dikunci. Saya juga merasa topik yang akan saya berikan ini masih nyambung dengan thread OP dan juga untuk memperjelas jawaban atas thread yang saya sebutkan di awal. karena, pemilik akun yang lengah, mengaktifkan 2FA juga bisa kehilangan akun, begini penjelasnnya, seperti yang saya baca di Hoxhunt.com

1. Bypass 2FA melalui fitur yang disediakan oleh pemilik layanan
Kita tahu hampir semua layanan website memiliki fitur "reset password", penyerang menggunakan metode ini untuk melakukan bypass 2FA. Bagaimana bisa? berdasarkan penjelasan yang ada pada artikel tersebut, penyedia layanan sebagian menonaktifkan 2FA (by system) ketika melakukan reset password, kesuksesan peretas dalam mengubah sandi ini pun pada akhirnya membuat akun dengan 2FA dapat dicuri. Anda dapat mencobanya di beberapa exchange yang Anda gunakan untuk memastikan bahwa 2FA tidak dinonaktifkan setelah permintaan sandi dilakukan. Hal ini akan membantu Anda memastikan bahwa ketika ada peretas berhasil mengubah password Anda, mereka masih harus mengisi 2FA. Dalam hal ini saya mempraktikkan sendiri pada Indodax, setelah melakukan reset password, saya masih harus mengisi 2FA (app) dan ada tambahan penguncian akun yang mana PINnya dikirimkan melalui SMS.


2. Bypass 2FA melalui koneksi dengan social media
Sebagian layanan mengizinkan penggunanya untuk masuk dengan social media. Ketika hacker berhasil menguasai akun social media Anda, mereka bisa melakukan request untuk masuk dengan mudah. Sayangnya, sebagian layanan tidak mengaktifkan 2FA untuk akun yang masuk melalui social media. Untuk bagian ini, saya tidak bisa mempraktikkan sendiri, karena akun social media saya jarang sekali dibuat untuk koneksi ke website.

3. Bypass 2FA melalui brute-force
Metode yang sudah umum dilakukan untuk meretas akun seseorang. Meskipun kemungkinannya kecil untuk bisa langsung mendapatkan kode yang sesuai, namun brute-force ini masih menjadi metode yang sering dilakukan untuk peretasan.

4. Penyimpanan kode rahasia/barcode dalam bentuk digital
Ini adalah kesalahan yang sering kali dilakukan oleh banyak orang, mereka menyimpan kode rahasia atau barcode rahasia dalam bentuk digital. Memang, tidak ada yang salah selama mereka mampu menyimpannya dengan baik dan memastikan keamanan komputer/HPnya. Kesalahan yang timbul adalah, ketika pengguna lebih sering melakukan surving secara tidak aman, hingga PC terkena virus yang dapat mengakses data-data yang disimpan oleh pengguna. Ketika mereka menemukan akun Anda dan berhasil mengambil kode rahasia yang Anda simpan tersebut, maka peretas bebas mengakses akun Anda.

5. Phishing
Website phishing dapat dengan mudah mengelebuhi para pemilik akun. Mereka yang tidak memperhatikan alamat website maupun pengirim email dengan benar, mereka akan mudah menjadi korban untuk mengisi form pada layanan yang salah. Peretas yang juga membuka akun Anda di saat yang bermasaan akan dengan mudah untuk mendapatkan akun Anda karena Anda mengirimkan kode rahasia pada sistem hacker, bukan pada sistem layanan yang sebenarnya.

Itulah beberapa metode yang disebutkan dari Hoxhunt.com, jika post ini sekiranya tidak sesuai dengan OP, silakan ingatkan saya untuk menghapus postingan atau silakan di report ke moderator jika memang diperlukan. Semoga post ini dapat mengedukasi newbie yang berpikir akan aman ketika sudah menggunakan 2FA.

edit:

Untuk bruteforce itu yang dimaksud bruteforce 6 kode yang dikirim, atau seed/secret codenya gan?

Yang dimaksud dalam artikel disini adalah kode 6 digit, hal ini pernah dilakukan percobaan pada OTP, dimana hasilnya dishare melalui artikel lainnya pada halaman ini, jadi saya juga memasukkan poin ini karena menurut saya, 2FA berbasis APP dan OTP juga memiliki kemiripan fungsi.

[joniboini]

Untuk bruteforce itu yang dimaksud bruteforce 6 kode yang dikirim, atau seed/secret codenya gan? Ane rasa ngebruteforce 6 kode yang berubah setiap 30 detik adalah hal yang sia-sia dan buang-buang energi aja. Ane rasa cracker pro juga ga bakal make hal kaya gini. Kalaupun bisa tahu secret codenya juga belum tentu itu secret code yang sama (kecuali yang dibruteforce adalah file yang berisi secret code user yang jadi target). Ane merasa peluangnya sangat kecil metode ini bakal dipake, mending pake keylogger daripada ini.

[irsada]

Maaf om agak keluar dari jalur, ane mau bertanya kalau kita hanya punya private key saja untuk mengakses wallet baik itu wallet ETH , bitcoin, ataupun yang lainnya apakah bisa support untuk pasang autenikator pada wallet tersebut?

[Husna QA]

Maaf om agak keluar dari jalur, ane mau bertanya kalau kita hanya punya private key saja untuk mengakses wallet baik itu wallet ETH , bitcoin, ataupun yang lainnya apakah bisa support untuk pasang autenikator pada wallet tersebut?

Tadi saya coba test membuat wallet di Electrum menggunakan opsi Wallet with two-factor authentication dengan menggunakan seed* yang sudah ada dari wallet lain, baik bertipe Legacy maupun Segwit keduanya tidak bisa di Next untuk melanjutkan meng-create wallet.
Asumsi saya harus menggunakan seed yang sebelumnya juga dibuat menggunakan wallet with 2fa.

Note: untuk wallet lainnya saya belum tahu.
* Karena pertanyaan agan @irsada menggunakan private key sementara di Electrum yang diperlukannya adalah seed, maka perlu konversi Private Key to Seed: https://bitcointalk.org/index.php?topic=3217465.msg33647328#msg33647328

[joniboini]

Yang dimaksud dalam artikel disini adalah kode 6 digit, hal ini pernah dilakukan percobaan pada OTP, dimana hasilnya dishare melalui artikel lainnya pada halaman ini, jadi saya juga memasukkan poin ini karena menurut saya, 2FA berbasis APP dan OTP juga memiliki kemiripan fungsi.

Perlu diingat bahwa implementasi 2FA di tiap website tidak sama dengan hal tersebut. Bisa jadi setelah 3 kali retry akun usernya bakal di lock misalnya. Seperti yang udah dituliskan di artikel itu sendiri, bruteforce ini bisa jalan karena ga ada kode baru setelah beberapa kali salah input dan ga ada limit berapa kali user bisa masukin kodenya. Ane rasa sistem OTP kaya gini beda dengan 2FA via authenticator misalnya yang menggunakan TOTP. Kalau sampai ada situs yang menggunakan sistem keamanan seperti itu memang udah keterlaluan sih.

Maaf om agak keluar dari jalur, ane mau bertanya kalau kita hanya punya private key saja untuk mengakses wallet baik itu wallet ETH , bitcoin, ataupun yang lainnya apakah bisa support untuk pasang autenikator pada wallet tersebut?

Kalau agan cuma ingin nambahin password/lock code sebelum wallet agan dibuka, bisa import saja pkeynya ke wallet yang support password/PIN.

[masulum]

Perlu diingat bahwa implementasi 2FA di tiap website tidak sama dengan hal tersebut. Bisa jadi setelah 3 kali retry akun usernya bakal di lock misalnya.

Ya memang, setiap website memiliki metode keamanan yang berbeda-beda, saya rasa penulis artikel mengenai beberapa metode bypass 2FA tersebut juga paham akan hal tersebut. Menurut saya, alasan pembahasan juga disebutkan bruteforce meskipun kemungkinannya kecil, karena ada kasus yang sudah ada sebelumnya. Jadi, untuk mengingatkan kembali akan potensi tersebut.