Topic: [Diskusi] Pencurian Kode Aplikasi Google Authenticator - page 2. (Read 1045 times)

Akses ke 2fa ataupun backupnya itu sendiri apa ada yang meretas juga atau baru sampai ke email akun dan password om di exchange tersebut saja yang berhasil diretas sehingga dapat notifikasi ketika ada yang berusaha login?

Oh ya.. di komputernya sudah terpasang antivirus kah? Kalau misal sudah, dan ternyata ada kasus sampai om mendapat beberapa notifikasi bahkan dari beberapa akun exchange seperti itu... saran saya sebaiknya om lakukan clean install OS nya berjaga-jaga dari kemungkinan sudah masuknya virus, malware, dsm yang bisa saja bersumber dari flashdisk atau media lain dan tidak terdeteksi antivirus tersebut.

Pernah mengalami di Exchange Hitbtc tiba tiba dapat notif Email login padahal saat itu saya sudah pasang 2Fa di account. 3 X saya pernah kejadian dan semua itu setelah saya cek tanggal. kurang lebih 2 Tahun setelah Backup 2fa saya pasang ada yang berhasil masuk. Secara PC yang saya gunakan jarang buka situs yang menjuru ke Phising/Download File sembarangan. Sekarang lebih rutin 2Fa setiap minggu saya ganti.

Binance, Hitbtc,Yobit tiga exchange yang pernah dapat notif login.

makasih bang atas informasinya, dengan adanya ini saya bisa mengetahui dan memahami google authenticator lebih detail sampai ada pencurian kode aplikasi. sehingga saya bisa berhati-hati dalam menggunakan google authenticator.

Masuk ke Settings --> Accounts --> Backups
Di atas sebenarnya sudah saya cantumkan link singkatnya. Berikut ini link lainnya yang lebih detail lagi perihal cara backup dan restore Authy Keys:
https://authy.com/blog/how-the-authy-two-factor-backups-work/

Cloud storage yang dijadikan untuk backup tersebut adalah cloud yang disediakan Authy, saya tidak melihat ada opsi layanan cloud lainnya.
Pastikan mengaktifkan password untuk meng-encrypt data backup dan pastikan juga jangan sampai kehilangan akses password tersebut.

Untuk trik ini ada caranya atau link ke tentang step by stepnya gk ya? soalnya selama ini saya hanya back up di hp lain, mungkin kalau bisa back di cloud kan lebih mudah bahkan tidak butuh hp satu lagi untuk jaga2 jika terjadi sesuatu dengan hp yang satu lainnya.

Untuk Authy sebenarnya ada juga fitur Authenticator backup (ada opsi untuk meng-encrypt nya juga) yang disimpan di cloud untuk berjaga-jaga jika sekiranya device/hp yang terinstall authy tersebut hilang; dan backup data yang di encrypt tersebut hanya bisa di decrypt di device dengan menggunakan password yang dibuat sebelumnya.
https://authy.com/features/backup/

btw, saya juga menggunakan Authy namun versi desktop.
Note: sebaiknya diberikan pengamanan ekstra semisal anti-virus/anti-spyware di device yang tersimpan aplikasi Authenticator ini, baik untuk versi desktop ataupun versi smartphone.

Kayaknya ada sih google authicator versi PC atau lebih tepatnya add on di chrome, saya pernah lihat beberapa teman menggunakan good authicator versi ini. Tetapi saya lebih sering menggunakan authy versi android cuman untuk jaga2 saya lakukan back up di hp yang lain satu lagi, jika terjadi apa2 dengan hp yang satu masih ada kesempatan di hp yang satu lain lagi, mungkin teman - teman bisa mencoba jika hanya memiliki satu hp saja bisa di back up di hp orang tua atau hp saudara karena takutnya jika tidak di back up hp rusak atau hilang susah untuk recovery authy.

Nah jadi gini nih agan-agan!. Walaupun sudah di lengkapi dengan 2FA (Google Authenticator) sebaiknya lebih berhati-hati lagi karena pencurian akun bisa lewat apa saja, terkadang kita lalai dalam suatu hal dan membuat celah si pencuri tersebut.

Saya pengguna 2FA tapi bukan GA.
Apakah benar? Benar dalam hal apa om? Kalau "masalah uninstal" saya membaca sepintas di atas om bukan Gunakan GA dari google mungkin ini baik karena secara aplikasi GA yang om instal kredibilitasnya belum banyak ulasan jadi mungkin bisa lebih berbahaya. Kalau saya segera setel ulang lagi GA baru,yang banyak digunakan kayaknya Authy dan GA. Masihkah aman? Saya sendiri selama menggunkan aman-aman saja, dan proteksi selanjutnya agan lebih hati-hati sudah dijelaskan alasannya sama om senior diatas.

Sederhananya, address tempat menyimpan aset kripto itu ibarat gembok, nah private key itu ibarat anak kunci yang digunakan untuk bisa membukanya.
Password maupun Authenticator yang digunakan untuk bisa mengakses akun di exchanger bukanlah jaminan bahwa asset yang agan 'titipkan' disana sepenuhnya aman.

Agar diskusi tidak semakin melebar dari tema thread, berikut ini beberapa referensi yang mungkin bisa dipelajari lebih lanjut:
Custodial vs. Non Custodial Wallets - "Not your keys, not your coin" Explained.
List of Hacked Exchanges, since 2011
Apakah alamat aset kripto di akun Indodax saya bisa dijadikan alamat wallet?

Disaat agan masih memiliki akses terhadap akun Indodax agan memang lebih baik jika melakukan penyetelan ulang terhadap fungsi 2FA, sehingga disaat QR-Code/Secret Key baru muncul agan bisa mem-backup data tersebut (melakukan screenshot). Sebenarnya buat pengguna Indodax yang memang kehilangan akses 2FA terhadap akunnya masih memiliki kesempatan untuk me-reset Google Authenticator tersebut
https://help.indodax.com/saya-tidak-bisa-mengakses-google-authenticator-saya-apa-yang-harus-saya-lakukan/

Dan jangan lupa setelah mendapatkan QR-Code 2FA baru (sesuai dengan apa yg ada ditopik thread ini) pastikan Device yang agan gunakan untuk menjalankan App 2FA bersih dari jangkauan virus/malware/trojan, serta install aplikasi tersebut dari sumber yang terpecaya (official source).


Dengan Private key agan akan memiliki akses penuh terhadap address yang agan miliki, karena address diturunkan oleh private key melalui public key.

Ada sebuah slogan terkenal yang diucapkan oleh Andreas Antonopoulos "Your keys, your Bitcoin. Not your keys, not your Bitcoin"

Maaf baru nimbrung. Ngomong-ngomong kok saya jadi agak merasa aneh mengamati judul thread dengan arah pembahasannya ya ?

Menurut saya, penamaan judul thread tidak berkorelasi dengan permasalahan yang ingin dipecahkan oleh OP.
Judul thread:

Permasalahannya:

---

Saya pikir OP seharusnya tidak menjadikan thread ini sebagai diskusi jika memang hanya ingin mengetahui apakah yang OP lakukan adalah hal yang benar atau salah. Thread ini lebih layak sebagai thread pertanyaan karena OP hanya ingin mengetahui kebenaran yang telah diragukannya berdasarkan referensi bacaan. Hanya pikiranku

Apakah saya perlu menyarankan perubahan judul dengan alasan agar pembahasannya menjadi lebih sesuai dengan tujuan dan pertanyaan OP ?

Tidak hanya Indodax sebenarnya, kalau diperhatikan pada screenshot settingan security di Latoken yang saya cantumkan sebelumnya juga (#46), opsi authenticator yang dicantumkan adalah dari Google Auth, dan saya masih bisa login ke Latoken ataupun Indodax dengan menggunakan aplikasi authenticator lainnya (Aegis).

Ya, selama settingan pada authenticator lainnya dibuat default maka masih bisa digunakan untuk login.
Tidak seperti pada Google Auth, pada Aegis ada settingan timeout dan bahkan ada pilihan Secure Hashing Algorithm (SHA1/SHA256/SHA512).
Tadi saya coba iseng merubah rentang timeout dan juga opsi SHA nya, alhasil keluar Warning (PIN tidak cocok)
Namun setelah dikembalikan ke rentang 30 detik dan menggunakan SHA1 akhirnya berhasil login.

Dengan adanya proteksi tambahan yang digunakan seharusnya secara teori akan lebih mempersulit buat orang-orang yang tidak bertanggung jawab untuk menjebol akun milik kita (dalam artian pihak exchange memang benar-benar bisa dipercaya dan memiliki tingkat security yang bagus). Karena jika seorang hacker sanggup menjebol sistem dan database exchange maka data-data pengguna exchange tersebut juga akan ikut ter-eksploitasi. Begitu juga jika ada orang dalam (exchange) yang menyalahgunakan kemampuan aksesnya maka akan mudah bagi dirinya untuk mengetahui password dan data yang berkaitan dengan 2FA milik pengguna.

Untungnya sampai saat ini semua akun exchange yang saya miliki masih (mulai dari Indodax, Binance, Bittrex, dll) dalam kondisi aman-aman saja, dan bahkan ada beberapa diantaranya yang sudah berusia 4 tahun 




Setau saya satu Data 2FA bisa diinput berbarengan menggunakan aplikasi 2FA yang berbeda-beda, jadi contohnya meskipun data 2FA tersebut sudah diinput menggunakan GA, pengguna bisa menggunakan code 2FA yang sama (QR-Code/Secret Key) dan memasukkannya ke App 2FA yang lain (seperti authy, microsoft authenticator, dll) pada HP, PC atau perangkat yang berbeda.

Karena basis aplikasi 2FA ini sama maka masing-masing akan menunjukan code OTP yang sama dalam rentang timeout yang sama pula.

Ada rasa aman karena telah memakai keamanan berlapis sesuai dianjurkan oleh Indodax.

Tapi walau pun berlapis, tetap ada rasa tidak aman kalau menyimpan aset di exchange karena private key mereka yang pegang.

Seperti yang mas husna katakan di atas kalau tidak ada back up, Harus recovery ke Indodax [1] dengan menyiapkan persyaratan khusus yaitu Dokumen, seperti KTP dan lain-lain.

[1]. https://help.indodax.com/hubungi-kami/

---

Ada satu hal lagi di Indodax ini, coba perhatikan gambar:



Melihat gambar di atas, sebelum hendak mengubah 2fa dari google ke authy saya menghubungi support Indodax untuk menanyakan apa boleh selain google.

Apa maksud @Asther4me ini google authenticator atau 2fa yang lain seperti authy?, kalau Authy terhapus dari HP gampang direcovery (pakai nomor HP) tanpa menghubungi Indodax pun bisa.

Jika tanpa 2fa, maka untuk login tentunya secara teori tingkat keamanannya berada dibawah dari yang menambahkan 2fa pada security nya. Saya memanfaatkan pengamanan tambahan di Indodax berupa 2fa dengan Google Authenticator sudah sekitar 2 tahunan, alhamdulillah selama itu tidak ada kendala (mudah-mudahan kedepannya masih demikian).

Meskipun ada opsi recovery dari Indodax jika agan kehilangan akses untuk melewati authenticator, namun jika agan belum melakukan backup code/barcode ketika mengaktifkan Authenticator saat ini, saran saya non-aktifkan terlebih dulu authenticator-nya untuk menghapus tautan ke authenticator sebelumnya. Setelah itu agan bisa buat baru/mengaktifkan lagi dan kali ini agan simpan barcode nya (baik dengan screenshot atau cara aman lainnya) untuk keperluan restore dikemudian hari.

Yubikey ini mirip dongle yang biasa digunakan untuk software-software tertentu agar bisa digunakan.
Dulu sempat ada thread diskusi tentang Yubikey ini di board Indonesia :
https://bitcointalksearch.org/topic/yubikey-5176534

Dan sebagaimana disebutkan om abhie di atas, hardware 2fa ini memang masih jarang disupport jika untuk penggunaan di exchanger. Untuk di exchanger Latoken saja (sebagaimana salahsatu kasus yang dialami OP) opsi untuk menghubungkan hardware 2fa belum ada. Exchange lokal semisal Indodax pun opsi pada security nya masih mengandalkan auhtenticator berbasis aplikasi.

Pemakaian 2FA menggunakan hardware berbasis USB dan NFC memang memiliki tingkat keamanan yang lebih baik daripada 2FA berbasis aplikasi. Akan tetapi jika tujuan dari penggunaan 2FA ini diperuntukkan buat memproteksi akun exchange, maka peran 2FA berbasis hardware saat ini sangat terbatas karena tidak semua exchange menyediakan fitur 2FA menggunakan hardware.

Contoh exchange yang memiliki fitur hardware 2FA adalah Binance.



Dan jangan lupa sebelum Perangkat digunakan sebagai media Offline-2FA, terlebih dahulu dipastikan jika sistemnya dalam kondisi yang bersih (dalam arti tidak terjangkit virus/malware apapun) ... Mungkin langkah paling mudah adalah melakukan re-install OS (dari sumber resminya).

Kalau mau lebih aman ane saranin pakai hardware 2fa, sebagaimana hardware wallet bitcoin akan lebih aman karena di luar dari gadget kalian yang tidak gampang disusupi.
di sini https://bitcointalksearch.org/topic/2fa-hw-security-keys-yubikeysuch-5223442 juga dijelaskan hardware 2fa.

bacaan lebih lanjut di sini
https://moonwashedrose.com/cat-artikel/aplikasi-2fa-terbaik-2020/

Yubikey

---

kalau ane sendiri pakai 2fa Authy di HP offline, tidak pernah online, hanya sekali online ketika pasang authy pertama kali dan back-up.

bagaimana cara membuatnya:

1. Persiapkan HP android jadul yang tidak terpakai (biasanya ada di laci meja, kebanyakan android kitkat dengan layar 4 inchi)
2. download authy
3. seting backup nomor hp/email
4. selesai
5. matikan internet lalu aktifkan mode pesawat.
7. lalu memulai dengan scaning website apa saja yang mau dienablin 2fa nya.
8. untuk mengback-up tinggal diaktifkan internet pada hp

Mungkin masuk agan GA yg authy ya gan ? Kalo GA yg buatan google emang adakah ? Tapi sejauh ini saya gk prnh pake GA yg versi desktop,kapan hari mau nyoba tapi tiba2 mikir gimna kalo kompi saya kena virus dll ? Jadi saya mengurungkan niat dan tetep keep di hp saja