Topic: Fitur "cabut sesi" di Indodax (Read 401 times)

Ane akan men-lock thread untuk sementara waktu, karena topik bahasan ane kira cukup sudah sampai di sini. Jika ada informasi terbaru yang kira-kira penting bisa PM ane untuk meng-unlock thread.

Dalam thread ini ane tarik kesimpulan singkat bahwa fitur cabut sesi di exchange Indodax adalah tiada lain untuk memperkuat keamanan bagi pengguna. Semakin ribet bagi pengguna, makin makin sulit juga hacker untuk mengambil alih aset.

betul bang, malah simple dan gak ribet , jadi orang orang gak takut lagi akan kehilangan coin yang gara gara akunnya sering di jebol orang

Saya kira perihal fitur 'cabut sesi' di Indodax tidak terlalu panjang bahasannya, mungkin op bisa mempertimbangkan menarik kesimpulan dari thread nya, atau mungkin jika hendak lebih luas lagi bahasannya bisa ke fitur-fitur baru lainnya dari exchange ini, fitur ini misalnya; (tentunya judul thread mesti disesuaikan).

Iya ane lihat Indodax mencontoh exchange lain untuk segi keamanan, dan captca ngeklopin gambar juga ikutan binance, karena. Sebenernya kalau tidak ruwet dan Tim IT-nya mumpuni apa salahnya, toh itu juga baik untuk sisi pengguna.

Menggunakan browser berbeda juga akan mendapatkan link konfirmasi ke email, jadi gak hanya beda IP.

Saya rasa vitur yang sangat bagus untuk lebih aman akun indodax kita ke depannya nanti, indodax telah menambah vitur cabut sesi pada setiap akun indodax dengan ip log in dari tempat berbeda dengan biasanya, selain itu indodax juga telah memberikan fitur yang cukup aman bagi anggotanya dengan cara authikasi log in, jika log in menggunakan ip yang berbeda dari sebelumnya pihak indodax akan mengirimkan link konfirmasi terlebih dahulu, hal ini sama persis dengan market yang lain seperti bittrex dan binance.

Prinsipnya balik lagi apakah IPnya kedeteksi sama atau engga. Kalau pake VPN dan IPnya dedicated hanya untuk agan bisa juga cuma dapet notif biasa tanpa pake VPN (kalau sesinya ga dicabut). Ga pake VPN kalau IP yang dipakai dynamic dan berubah setiap saat juga bisa bisa diperlakukan layaknya VPN.

Tidak sama. Kalau pakai VPN, akan dapat email bahwa akun Indodax ente mencoba login dari IP yang berbeda.

Sedangkan jika tidak pakai VPN, login akan seperti biasa tanpa ada notifi email. Dengan syarat, tidak cabut sesi di fitur keamanan.

Menurut ane sebagai konsumen semua itu tidak bikin ribet, justru memperkuat keamanan. (kecuali jika ente hacker yang mencoba membobol keamanan yang semakin berlapis, mungkin akan makin ribet)

Ribet atau tidak ribet menurut saya tergantung dari faktor kebiasaan saja. Klo agan mau beradaptasi/berkompromi dengan sistem baru tersebut maka prosesnya tidak akan menjadi ribet lagi. Tetapi jika dari awal agan benar-benar tidak mau ribet ya tinggal cari exchange lain yang sesuai kriteria agan 


Mungkin klo yang bersangkutan sudah mengalami kejadian tidak mengenakkan (aset hilang/dicuri), barulah dia akan sadar betapa pentingnya fitur-fitur proteksi tambahan seperti 2FA.

Pada settingan menu keamanan yang ada di Indodax cukup simpel; Ganti Password, Google Authenticator, & Layanan Aktif (cabut sesi).
Kalau agan tidak mau pakai GA karena 'ribet' tinggal di hapus saja koneksi ke authenticator nya; kalau agan ndak terlalu peduli dengan informasi perangkat manasaja yang masih bisa aktif mengakses akun indodax agan, tinggal diabaikan saja informasinya. Dan tentunya semua resiko tentang keamanan akun agan, ya agan sendiri yang tentukan.

Btw, kalau agan pengguna Binance, fitur sejenis 'cabut sesi' seperti di Indodax ini juga ada di settingan menu keamanannya (pengelolaan perangkat), dan bahkan pada perangkat yang mengakses akun ada history aksesnya masing-masing (lebih detail).

apa yang dibuat ribet?
Perasaan kagak ada yang ribet kog, indodax malah makin kesini makin uptodate, keamanan makin di pikirkan biar gak mudah buat di jebol.
Kalo semua dibikin simpel, login simpel gak perlu 2FA gak perlu autentikasi email dll saya yakin mudah buat di jebol.

Pahami dulu apa tujuan OP ngebuat thread ini. fitur cabut sesi yang dijelaskan oleh OP adalah fitur yang berguna buat mantau perangkat apa saja yang sudah login di akun indodax dan juga bisa melakukan cabut sesi jika ada perangkat yang gak dikenal.

Semakin ribet indodax. . .  Mau itu pakai VPN atau tidak sama saja caranya.

Kalau begitu kebiasaan itu yang mesti diperbaiki gan. Mau seberapa canggih sistem keamanannya kalau kita sendiri yang 'giveaway' keamanan kita ya wasalam tetep.

Itu kayaknya ngambil dari browser agent (UA) yang dikirim sama browser agan. Ga begitu penting juga selama IPnya agan kenali.

Ane rasa harus menggunakan chrome browser dalam arti meremote chrome to chrome.

ane juga terkadang centang Delete cookies and site data when browser is closed di setting untuk menghapus otomatis,

terkadang ane khilaf klik sana-sini tanpa menghiraukan keamanan, setidaknya ada notifikasi jika ada yang berusaha login. Untuk itu ane memisahkan email untuk notifikasi di HP.

---

Sepertinya ini agak error, ane akses pakai HP tapi tertulis desktop

https://i.postimg.cc/gknJvQ07/photo6199361653838031519.jpg

Memang ada aplikasi remote jarak jauh, tapi tidak semudah itu selama agan punya penerapan sistem keamanan yang baik. Masalah hack itu juga tergantung model serangannya, kalau pake script semua browser bisa kena semua, plus rata-rata itu bukan masalah hack browser, tapi agan ngeklik link phishing dan akhirnya agan sendiri yang ngirim data-data penting ke server yang udah disiapin sama hackernya.

Hal ini wajar karena data-data log ini kan disimpan dalam bentuk cookies. Kalau agan wipe cookies tentu perlu konfirmasi ulang.

Kalau saya biasanya setelah menggunakan ccleaner (untuk membersihkan cache browser, session dan lainnya), maka untuk login kembali ke Indodax akan muncul kembali notifikasi yang mengharuskan verifikasi melalui link yang dikirim ke email, tanpa menggunakan fitur "cabut sesi" di Indodax tersebut.







Untuk IP yang sama dan berbeda perangkat (yang sebelumnya belum pernah login ke Indodax), barusan saya coba login di smartphone, dan fitur konfirmasi via email ini muncul pada perangkat baru tersebut.

kalau https://remotedesktop.google.com yang agan sebutkan itu fungsinya sama saja dengan aplikasi teamviewer
dan keduanya adalah aplikasi untuk meremote komputer dari tempat lain
Jika Teamviewer untuk terkoneksi dengan komputer yang ingin diremote menggunakan User ID , maka
Remote desktop dari google menggunakan alamat email ( Jadi harus login dulu ke email gmail baru bisa meremote komputer ditempat lain)

Mudah-mudahan, soalnya ane lihat ada aplikasi remote browser chrome https://remotedesktop.google.com yang bisa meremote browser dari jarak jauh.

Apakah chrome memang gampang sekali dihack?, soalnya ane lihat https://support.google.com/chrome/thread/10096595?hl=en mereka diskusi tentang chrome yang dihacked oleh virus, segitu mudahnya dihack, mungkin saja kedepan bisa meremote browser yang berisi kredensial akun indodax, mudah-mudahan itu tidak terjadi.

Kalau kasusnya begitu, yang terdeteksi login sepertinya IPnya komputer agan. Jadi tergantung IP kompi agan yang diremote itu make IP apaan. Tapi kemungkinan browser agan bisa diremote menurut ane kecil selama menerapkan praktik keamanan yang baik. Hacker mungkin punya potensi lebih mudah nyari mangsa lewat spam phishing e-mail ke berbagai akun atau nyuri cookies dari komputer agan (bisa lewat link phishing, dst).

Semisal ada seseorang hacker punya keahlian me-remote browser ane dari luar negeri untuk buka akun Indodax di komputer di Indonesia, apa opsi notifikasi tersebut lewat email atau telepon?, (ane sudah log out pakai cabut sesi).

Wah saya malah baru tau mengenai informasi ini, soalnya saya kira mau pake IP (VPN) luar/dalam negeri metode verifikasinya bakalan sama saja. Ternyata setelah saya coba barusan login akun Indodax menggunakan VPN (IP Indonesia), metode verifikasinya memang menggunakan media email dan untuk pilihan satunya lagi menggunakan opsi misscall.

Om abhi make VPN yang IPnya di luar negeri ya? Soalnya saya juga sering make VPN atau gonta-ganti IP tapi opsi konfirmasinya lewat e-mail. Dugaan saya sih karena IPnya masih terdeteksi berasal dari Indo, kalau dari luar Indo baru lewat telepon/sms.

Bener mas ... Pada saat kita mencoba login di Indodax tetapi menggunakan IP yang berbeda dari biasanya, maka sistem security Indodax akan meminta verifikasi tambahan (2 Step Verification). Dan setau saya metode verifikasinya ada 2 macam, yakni via code yang dikirimkan lewat sms atau 4 digit terakhir dari no hp (dari pihak indodax) yang melakukan misscall.

* pengalaman yang sering saya rasakan karena menggunakan VPN

Kalau tidak salah walaupun make device yang sama tapi IPnya beda atau IP sama tapi device beda juga perlu konfirmasi lewat e-mail/telepon dulu. Seingat saya ini udah ada dari lama sih, tapi dulu ga ada yang lewat telepon. CMIIW.

Karena seringnya tindak laku physical theft atau pencurian di dunia maya yang memanfaatkan informasi ip web dan address pada browser. Ane kira bagi pengguna Exchange seperti Indodax harus tahu fitur baru ini.

Kebiasaanya hanya tekan log out dan tombol silang merah kanan atas website harus dihilangkan jika urusan dengan exchange atau kredential lainnya. mengapa?, karena informasi tetap tersimpan walaupun telah log out, hal itu bisa dilihat ketika login kembali akan diminta insert kunci 2fa saja.

Di Indodax, fitur ini ada di profil - keamanan, setelah diklik rolling down ke bawah akan menemukan seperti ini


Kalau suka buka Indodax di desktop dan Hp, akan mendapati 2 sesi aktif seperti gambar di atas, kebetulan sudah ane cabut untuk sesi Hp hanya tersisa sesi desktop,

Apa yang terjadi jika menekan logo orange ini?, Maka kalian akan log out, ketika login kembali akan ada pop up seperti di bawah ini.



Untuk login kembali ane harus verifikasi email. Jadi fresh, seperti baru pertama kali login di IP address yang baru. Tapi bukan itu maksud ane, fresh di sini bukan segar dari virus atau hacker, maksud ane, jika siapapun login di mana pun itu, termasuk kalian sendiri akan diminta verifikasi email, jadi ini sebuah tanda, secara tidak langsung sebuah alarm tanda bahaya, jika tidak login namun tiba-tiba ada notifikasi email dari Indodax kalau "anda mencoba login", maka dapat dipastikan itu orang lain yang berusaha mengambil alih dan bisa langsung gerak cepat mengamankan.

Ane buat thread ini cuma ngasih tau aje kalau fitur ini secara tidak langsung membuat keamanan jadi berlapis, jika seseorang dapat mengakses/remote browser dari jauh tentu sangat berbahaya jika hanya logout di perangkat. untuk itu biasakan logout di cabut sesi dan verifikasi email kembali. Lebih baik lagi (menurut ane) Email tersebut ditambah di HP, jadi jika seandainya akun dicoba login oleh orang lain maka akan langsung ada notifikasi saat mobile.

Sekian aje informasi dari ane mudah-mudahan dapat berguna demi keamanan bagi kite semue, Aamiin ya Robbal ‘Aalamiin.