Bitcointalk Sekarang ada OTP -2FA

[blue Snow]

Ane cukup kaget barusan mau login BTT sekarang sudah ada OTP



Untuk pengaturannya ada di seting profil, penampakannya seperti ini



Sejauh ini ane belum mencobanya. Tapi kelihatannya menarik sebagai security tambahan akun forum kita.

selamat mencoba

[1714678644]

1714678644

[BABY SHOES]

theymos tadi malam mengumumkan bahwa 2FA telah di tambahkan ke Bitcointalk (2FA added) - PowerGlove yang mengerjakan tugas ini.

Ane juga belum mencoba gan pake fitur 2FA ini yag ada di bitcointalk, tapi orang orang di sana mungkin sudah mencoba dengan tingkat keamanan akun menggunakan 2FA.

So 2FA does not provide any protection in case of a compromised email

Jadi ini maksud nya 2FA tidak memberikan keamanan apapun bila email disusupi, kalau misalkan email yang di daftar di bitcointalk kita dihack maka tetapi bisa jebol dong 2FA nya?

[armanda90]

Fitur yang sangat membantu sekali saya rasa agar ke depan tidak ada lagi kasus hack akun, cuman untuk OTP 2FA apakah bisa direset via email jika nantinya Hp yang kita gunakan hilang akses dengan 2FA. Banyak hal yang perlu dipersiapkan bagi siapapun yang ingin mencoba fitur ini dan pastikan harus benar-benar menyimpan semua data back up nya karena belum ada rule atau solusi saat applokasi 2FA kereset apakah bisa mencoba via fitur email atau tidak?

Biasanya di exchange market baik lokal ataupun luar saat fiture akses 2FA hilang kita diwajibkan untuk sinkron data dengan cara melakukan KYC ulang, apakah ada update sekaligus dengan pengumuman 2FA dan cara mengatasinya jika suatu saat nanti akses ke aplikasi 2FA yang kita gunakan hilang baik aplikasinya terhapus atau Hp rusak.

[Husna QA]

Ane cukup kaget barusan mau login BTT sekarang sudah ada OTP -snip-

Kalau boleh saran, informasi mengenai Shared secret (Base32) dan QR Code pada screenshot diatas sebaiknya di sensor (dan kalau bisa dihapus di image hosting-nya juga), karena itu termasuk informasi rahasia milik agan.

Saya sendiri belum tahu persis apakah code tersebut tetap tidak berubah ataukah bisa berubah-ubah ketika proses aktif-non aktif fitur 2FA sebagaimana fitur 2FA yang biasanya ada di exchange.

So 2FA does not provide any protection in case of a compromised email

Jadi ini maksud nya 2FA tidak memberikan keamanan apapun bila email disusupi, kalau misalkan email yang di daftar di bitcointalk kita dihack maka tetapi bisa jebol dong 2FA nya?

Itu kalau agan atau orang lain berusaha masuk melalui fitur "Forgot your password?", dimana ada opsi untuk me-remove fitur 2FA.

If you use the forgotten-password function, then there's an option to remove the 2FA. So 2FA does not provide any protection in case of a compromised email. Make sure that your email address is secure. If you don't want to set an email address, use something like yourUserName@invalid.bitcointalk.org; don't use a random nonsense email like y@x.com, since somebody might create that domain/email.

Pertanyaannya cukup kritis, jika demikian untuk apa ada fitur 2FA di Bitcointalk?

Menurut saya itu untuk menambah lapisan keamanan akun. Jika sebelumnya ketika seseorang mengetahui password dari akun user tertentu, maka dia bisa langsung login; Nah sekarang dengan mengaktifkan fitur 2FA dia mesti meng-input kode acak yang dihasilkan dari 2FA tersebut juga; Jika tidak, maka dia harus melewati fitur Forgot your password? yang mana ini berarti dia juga harus punya akses email user yang akunnya akan diambil alih.

Maka dari itu email yang digunakan untuk registrasi perlu dilengkapi 2FA juga untuk pengamanan tambahan. Dan agar lebih aman lagi untuk antisipasi jika semua lapisan keamanan tersebut bisa dijebol, maka agan perlu stake bitcoin address di Bitcointalk untuk keperluan recovery.

[retreat]

Fitur OTP 2FA adalah salah satu fitur keamanan yang paling saya tunggu di forum ini, karena melihat keamanan dari akun di forum ini itu cukup riskan untuk di bobol oleh orang yang tidak bertanggung jawab. Dengan fitur ini setidaknya orang tidak bisa sembarangan untuk login dan mengganti password dari akun kita karena kode  OTP 2FA ada di perangkat kita.
Hal mengenai fitur OTP 2FA yang bisa dihapus melalui fitur "Forgot your password?" itu seharusnya tidak terlalu masalah. Selama kita menjaga agar email yang kita gunakan itu tetap secure dan tidak diretas, saya rasa akan sangat susah bagi orang untuk meretas akun forum kita.

[masulum]

-snip-
Hal mengenai fitur OTP 2FA yang bisa dihapus melalui fitur "Forgot your password?" itu seharusnya tidak terlalu masalah. Selama kita menjaga agar email yang kita gunakan itu tetap secure dan tidak diretas, saya rasa akan sangat susah bagi orang untuk meretas akun forum kita.

makanya sangat tidak dianjurkan untuk menggunakan kombinasi password yang sama untuk banyak akun. ketika seseorang berhasil meretas satu akun, anggap saja akun FB yang berhasil di retas, artinya peretas sudah mengetahui password/mengubah password, sehingga ia dapat melihat informasi akun, jika ada email di dalamnya, maka hacker akan berasumsi password email yang ada pada akun tersebut adalah sama dengan yang digunakan fi FB. kebanyakan hal seperti ini yang terjadi, sehingga ketika kehilangan akun sosial media, korban kehilangan akun email maupun akun lainnya, karena ia menggunakan password yang sama untuk semua akunnya dengan alasan agar mudah diingat.

[Husna QA]

Barusan saya coba fitur 2FA Bitcointalk.
Berikut ini beberapa langkah penggunaan fitur 2FA di Bitcointalk (bagi user yang baru registrasi di forum atau user lain yang mungkin belum mengetahui caranya):

- Ketika Login, masukkan data atau opsi yang tersedia, sementara OTP dikosongkan ketika belum mengaktifkan fitur 2FA.

  

- Langkah berikutnya masuk ke menu Profile -> Modify Profile -> Account Related Settings

  

- Aktifkan opsi pada pertanyaan Enable two-factor authentication? sehingga muncul tanda centang.

- Buka aplikasi 2FA di smartphone atau PC (seperti Google Authenticator, Authy, atau aplikasi lain yang semisalnya),
  Add a code/Add Account dengan men-scan QR Code atau menginput manual kode Shared secret yang ada di profil akun Bitcointalk (nantinya muncul nama akun sesuai user ID, BTCT:u***).

- Isi Confirmation OTP dengan kode acak yang didapat dari aplikasi 2FA sebelumnya.

- Untuk menyimpan perubahan pada settingan profil akun, isi Current Password kemudian klik tombol Change profile.

- Ketika 2FA sudah diaktifkan, maka settingan di Profile berubah seperti berikut ini:

  

Catatan:
- Simpan Shared secret (Base32) dan QR Code ditempat aman dan jangan di bagikan ke orang lain.
- Shared secret dan QR Code berganti baru (di reset) ketika men-disable 2FA yang telah dibuat sebelumnya kemudian mengaktifkan kembali 2FA baru.

[AprilioMP]

Ane cukup kaget barusan mau login BTT sekarang sudah ada OTP

-snip-

Untuk pengaturannya ada di seting profil, penampakannya seperti ini

Saya kaget juga barusan pas login akun.
Langsung menuju profil dan membuka bagian Account Related Settings di profil, ternyata ada pembaharuan keamanan yang luar bisa menurut saya.

Kemudian, saya pergi ke board Meta untuk melihat informasi yang akurat mengenai pembaharuan ini dan ternyata theymos sudah mengumumkannya kemarin dengan judul topik 2FA added.
Mengenai 2FA pada akun bitcointalk.org berdasarkan topik milik theymos, benar memang bahwa ahli SMF yang bernama PowerGlove pernah mengusulkan ini dan saya pernah membacanya.

Tapi, om kenapa kode Shared secret nya dibiarkan dapat terlihat untuk umum? bukankah itu code rahasia seperti yang dikatakan om Husna QA pada diskusi ini.

Memang forum ini luar biasa. Saya dapat mengambil pelajaran bahwa sesuatu yang bersifat open source sangat besar manfaatnya. Siapa saja dapat membagikan ide untuk dipertimbangkan selama ide tersebut bermanfaat.

@theymos dan @PowerGlove hebat sekali.

[Renampun]

fitur 2fa sungguh membantu untuk meningkatkan keamanan akun dan juga menghindari kemungkinan masuk dalam jebakan phising, meksipun begitu saya belum berani mencoba menggunakan 2fa karena selama ini saya melihat akun BTT saya cukup terjaga keamanannya.

makanya sangat tidak dianjurkan untuk menggunakan kombinasi password yang sama untuk banyak akun. ketika seseorang berhasil meretas satu akun, anggap saja akun FB yang berhasil di retas, artinya peretas sudah mengetahui password/mengubah password, sehingga ia dapat melihat informasi akun, jika ada email di dalamnya, maka hacker akan berasumsi password email yang ada pada akun tersebut adalah sama dengan yang digunakan fi FB. kebanyakan hal seperti ini yang terjadi, sehingga ketika kehilangan akun sosial media, korban kehilangan akun email maupun akun lainnya, karena ia menggunakan password yang sama untuk semua akunnya dengan alasan agar mudah diingat.

biasanya yang begini begini cewek sih gan, alasan nya sih bukan hanya karena ingin mudah diingat namun beberapa cewek sengaja membuat password yang gampang di ingat pasangannya juga (sharing akun an password), saya punya 4 password yang berbeda beda dan saya akan menggunakannya random paa akun akun sosial media atau lainnya, saya tidak mau hanya menggunakna satu password saja, resiko di retas sangat besar.

[liuka]

Pertanyaannya cukup kritis, jika demikian untuk apa ada fitur 2FA di Bitcointalk?

Menurut saya itu untuk menambah lapisan keamanan akun. Jika sebelumnya ketika seseorang mengetahui password dari akun user tertentu, maka dia bisa langsung login; Nah sekarang dengan mengaktifkan fitur 2FA dia mesti meng-input kode acak yang dihasilkan dari 2FA tersebut juga; Jika tidak, maka dia harus melewati fitur Forgot your password? yang mana ini berarti dia juga harus punya akses email user yang akunnya akan diambil alih.

Maka dari itu email yang digunakan untuk registrasi perlu dilengkapi 2FA juga untuk pengamanan tambahan. Dan agar lebih aman lagi untuk antisipasi jika semua lapisan keamanan tersebut bisa dijebol, maka agan perlu stake bitcoin address di Bitcointalk untuk keperluan recovery.

Sepertinya tambahan fitur otp 2FA memang sangat di perlukan untuk menjaga akun kita agar tetap aman dari para hacker karena akan menyulitkan seseorang untuk menembus akun kita jika kita mengaktifkan 2FA. saya pikir langkah yang sudah om jelaskan di thread ini cukup bermanfaat bagi member yang ingin mengaktifkan fitur 2FA. 2FA cukup terbukti untuk bisa mengamankan akun kita karena kode di dalammya sulit di tebak oleh hacker. theymos mampu menghadirkan fitur ini tentu saja sebuah langkah maju bagi para pengguna forum untuk dapat menjaga akun mereka dengan sebaik mungkin. banyak kasus dimana akun di hack dan ini solusi yang cukup tepat untuk semua pengguna untuk mengaktifkan fitur 2Fa. cukup tepat bila mana email yang kita pakai juga di aktifkan fitur 2fa dan tentu keamanannya mungkin sudah masuk 90% cukup aman.

[Husna QA]

-snip-

-snip-
Tapi, om kenapa kode Shared secret nya dibiarkan dapat terlihat untuk umum? bukankah itu code rahasia seperti yang dikatakan om Husna QA pada diskusi ini.[/color]

Bisa jadi lupa atau karena untuk sekedar contoh.
Baiknya memang dibuat samar karena itu termasuk informasi rahasia, dan pada panduan penggunaan diatas saya sudah coba edukasi buat yang lain yang ingin mengaktifkan 2FA agar menyimpan code nya dengan aman.

Sebagaimana yang telah saya coba sebelumnya, kode 2FA bisa di reset ketika mengaktifkan ulang 2FA yang baru. Jadi screenshot yang ditampilkan OP tidak bisa lagi digunakan ketika beliau meresetnya; Dengan kata lain tidak mengapa kalau screenshot kode di OP hanya untuk contoh, bukan untuk digunakan.

[Chikito]

Kalau boleh saran, informasi mengenai Shared secret (Base32) dan QR Code pada screenshot diatas sebaiknya di sensor (dan kalau bisa dihapus di image hosting-nya juga), karena itu termasuk informasi rahasia milik agan.

Mungkin kalau untuk sekedar contoh atau untuk sharing knowledge sih boleh saja, soalnya ketika saya coba barusan, Shared secret (Base32) dan QR Code itu akan berubah atau regenarate yang baru ketika kita refresh page login-nya juga. Ya mudah-mudahan saja OP tidak pakai code yang disharing di atas saja.

By the way untuk seting OTP ini user baru mesti menyelesaikan registrasi terlebih dahulu baru bisa seting OTP, kalau sekalian langsung di regisrasi sih tidak bisa, ya sama kayak registrasi exchange, gambling atau website lainnya.

[Husna QA]

Kalau boleh saran, informasi mengenai Shared secret (Base32) dan QR Code pada screenshot diatas sebaiknya di sensor (dan kalau bisa dihapus di image hosting-nya juga), karena itu termasuk informasi rahasia milik agan.

Mungkin kalau untuk sekedar contoh atau untuk sharing knowledge sih boleh saja, soalnya ketika saya coba barusan, Shared secret (Base32) dan QR Code itu akan berubah atau regenarate yang baru ketika kita refresh page login-nya juga. Ya mudah-mudahan saja OP tidak pakai code yang disharing di atas saja.

By the way untuk seting OTP ini user baru mesti menyelesaikan registrasi terlebih dahulu baru bisa seting OTP, kalau sekalian langsung di regisrasi sih tidak bisa, ya sama kayak registrasi exchange, gambling atau website lainnya.

Ya, postingan tersebut ketika saya belum mencobanya:

Kalau boleh saran, informasi mengenai Shared secret (Base32) dan QR Code pada screenshot diatas sebaiknya di sensor (dan kalau bisa dihapus di image hosting-nya juga), karena itu termasuk informasi rahasia milik agan.

Saya sendiri belum tahu persis apakah code tersebut tetap tidak berubah ataukah bisa berubah-ubah ketika proses aktif-non aktif fitur 2FA sebagaimana fitur 2FA yang biasanya ada di exchange.

Namun setelah mencobanya, code tersebut bisa di-reset: https://bitcointalk.org/index.php?topic=5478851.msg63368620#msg63368620
Dan tepat diatas postingan agan Chikito, saya juga menyatakan ini:

-snip-

-snip-
Tapi, om kenapa kode Shared secret nya dibiarkan dapat terlihat untuk umum? bukankah itu code rahasia seperti yang dikatakan om Husna QA pada diskusi ini.

Bisa jadi lupa atau karena untuk sekedar contoh.
Baiknya memang dibuat samar karena itu termasuk informasi rahasia, dan pada panduan penggunaan diatas saya sudah coba edukasi buat yang lain yang ingin mengaktifkan 2FA agar menyimpan code nya dengan aman.

Sebagaimana yang telah saya coba sebelumnya, kode 2FA bisa di reset ketika mengaktifkan ulang 2FA yang baru. Jadi screenshot yang ditampilkan OP tidak bisa lagi digunakan ketika beliau meresetnya; Dengan kata lain tidak mengapa kalau screenshot kode di OP hanya untuk contoh, bukan untuk digunakan.

[Luzin]

Namun setelah mencobanya, code tersebut bisa di-reset: https://bitcointalk.org/index.php?topic=5478851.msg63368620#msg63368620
Dan tepat diatas postingan agan Chikito, saya juga menyatakan ini:

Ya dulu kayaknya saya sempet pengen kayak OTP gini berlaku di Bitcointalk dan akhirnya ada juga. Sesudah baca ini, tadi malam langsung saya aktifin, coba juga untuk reset atau disable lagi. Semoga bisa meminimalisir pencurian akun. Tapi setelah saya aktifin,ada beberapa fitur yang belum maksimal seperti bisa log out otomatis jika akun itu dibuka di device lain.

[Husna QA]

-snip-

Ya dulu kayaknya saya sempet pengen kayak OTP gini berlaku di Bitcointalk dan akhirnya ada juga. Sesudah baca ini, tadi malam langsung saya aktifin, coba juga untuk reset atau disable lagi. Semoga bisa meminimalisir pencurian akun. Tapi setelah saya aktifin,ada beberapa fitur yang belum maksimal seperti bisa log out otomatis jika akun itu dibuka di device lain.

Apakah akun yang sedang login di device lain tersebut masih settingan lama ketika agan mensetting 2FA pada perangkat yang lain, atau sudah sama-sama login menggunakan OTP pada beberapa device tersebut? Saya belum coba compare lagi dengan login di lebih dari satu device ketika sudah menggunakan 2FA.

Sebelum ada fitur 2FA, ketika login pada dua perangkat atau dua browser berbeda masih bisa dijalankan keduanya, kemudian jika pada salah satunya di logout maka di device yang lain, akunnya ikut logout otomatis juga.

[icalical]

Sempat ngikutin ribut-ributnya di Meta, https://bitcointalk.org/index.php?topic=5457330.msg62449855#msg62449855

Banyak yang menentang juga soalnya pada bilang kalau 2FA tu tambah ribet tapi tambahan keamanannya gak sebanding, tapi kalau menurutku asal ada opsi buat pengguna buat mengaktifkan atau menonaktifkan harusnya udah jadi fitur yang bagus. Kalau yang gak mau ribet dan merasa gak nambah keamanan bisa dimatiin. Kalau memang merasa perlu di pakai.

Kalau aku sih belum nyoba karena selalu pakai perangkat dan jaringan pribadi dan jarang buka website aneh aneh, dan phising. Kalau buat yang sering pakai perangkat umum atau kantor, atau pakai wifi di fasilitas umum mungkin bakal merasa perlu buat pencegahan aja.

Mending ada tapi gak butuh, daripada pas butuh tapi gak ada.

[PytagoraZ]

Ane cukup kaget barusan mau login BTT sekarang sudah ada OTP

Wah udah ada OTP gan? ane belom pernah logout jadi gatau ada ke ginian. Btw OTP kadang-kadang jadi masalah juga kalo lama ga aktif dan lupa nyimpen kunci OTPnya bakalan tiwas ga bisa login. Btw apakah ada alternatif lain saat kita kehilangan OTP? apa sig message bisa juga untuk claim akun saat kondisi seperti ini terjadi?

[Husna QA]

Sempat ngikutin ribut-ributnya di Meta, https://bitcointalk.org/index.php?topic=5457330.msg62449855#msg62449855

Banyak yang menentang juga soalnya pada bilang kalau 2FA tu tambah ribet tapi tambahan keamanannya gak sebanding, tapi kalau menurutku asal ada opsi buat pengguna buat mengaktifkan atau menonaktifkan harusnya udah jadi fitur yang bagus. Kalau yang gak mau ribet dan merasa gak nambah keamanan bisa dimatiin. Kalau memang merasa perlu di pakai.

Kalau aku sih belum nyoba karena selalu pakai perangkat dan jaringan pribadi dan jarang buka website aneh aneh, dan phising. Kalau buat yang sering pakai perangkat umum atau kantor, atau pakai wifi di fasilitas umum mungkin bakal merasa perlu buat pencegahan aja.

Mending ada tapi gak butuh, daripada pas butuh tapi gak ada.

Sederhananya tinggal dimanfaatkan saja fungsi enable/disable 2FA nya. Karena member di Bitcointalk juga beragam, ada yang membutuhkan fitur tersebut ada juga yang tidak.
Dan lagi fitur 2FA ini juga merupakan tambahan pengaman saja; Pengamanan utama akun menurut saya tetap ada pada Bitcoin atau PGP signature yang sebelumnya terasosiasi dengan akun, yang mana salah satu diantaranya merupakan syarat untuk proses recovery akun.

Wah udah ada OTP gan? ane belom pernah logout jadi gatau ada ke ginian. Btw OTP kadang-kadang jadi masalah juga kalo lama ga aktif dan lupa nyimpen kunci OTPnya bakalan tiwas ga bisa login. Btw apakah ada alternatif lain saat kita kehilangan OTP? apa sig message bisa juga untuk claim akun saat kondisi seperti ini terjadi?

Kalau agan kehilangan aplikasi untuk akses kode OTP, alternatifnya bisa menggunakan fitur "Forgot your password?", nantinya ada opsi untuk meremove 2FA; Pastikan agan masih memiliki akses ke email yang digunakan saat registrasi di Bitcointalk.

[Luzin]

Apakah akun yang sedang login di device lain tersebut masih settingan lama ketika agan mensetting 2FA pada perangkat yang lain, atau sudah sama-sama login menggunakan OTP pada beberapa device tersebut? Saya belum coba compare lagi dengan login di lebih dari satu device ketika sudah menggunakan 2FA.

Masih seting lama mungkin om, tapi memang saya semenjak seting belum log out si om, saya pake 2 laptop 1 HP. Ketika saya buka lewat laptop 1nya dan HP masih aja stay login. Saya pikir akan otomatis terseting om.

Sebelum ada fitur 2FA, ketika login pada dua perangkat atau dua browser berbeda masih bisa dijalankan keduanya, kemudian jika pada salah satunya di logout maka di device yang lain, akunnya ikut logout otomatis juga.

Saya malah tidak memperhatikan untuk masalah ini. Tapi mungkin karena saya memakai 3 device dan jarang log out kalau ga pas membersihkan history dan cache.

[Chikito]

ada beberapa fitur yang belum maksimal seperti bisa log out otomatis jika akun itu dibuka di device lain.

Setahu saya fitur tambahan ini hanya untuk 2fa saja, sedangkan untuk logout secara otomatis jika membuka akun di web lain itu tentu akan berbeda lagi update-annya. Namun jika sampeyan cukup risih akan keamanan ini, bisa diseting di browser dengan meng-enable-kan "Clear cookies and site data when you quit the browser", jadi ketika sampeyan tutup browser akan diminta login lagi dengan providing 2fa kembali, hal ini berlaku untuk browser lain jika diaktifkan juga.

Pakai cara logout (opsi husna di atas) setiap selesai nge-forum juga bagus, nanti di setiap browser yang masih terbuka akan terlogout semua. Namun, kalau untuk yang mudah lupa seperti saya ini (langsung main tutup browser saja), ya gak bisa. Jadi, kalau saya, ya pakai opsi dengan men-seting "Clear cookies and site data when you quit the browser" di opsi browser yang saya pakai sekarang.