[INFO][TUTORIAL]Selalu amankan data Google Authenticator anda!

Husna QA

legendary

Activity: 2296

Merit: 2892

#SWGT CERTIK Audited

Quote from: joniboini on October 23, 2019, 03:07:26 AM

Ini thread saya rasa pembahasannya udah cukup, yang dishare di akhir-akhir halaman mulai agak 'menyimpang'. OP ga mau ngelock? Eh lupa, udah ga keliatan sejak 19 September.

OP sepertinya masih fokus di sosmed, tinggal klik report to moderator kalau memang dirasa sudah mulai 'menyimpang'.
Moderator tentu punya kewenangan dan kebijakan dalam hal ini.

Saya coba simpulkan thread ini mulai page 1 sampai page 4.
Beberapa hal yang disarankan diperhatikan dalam menyimpan dan mengamankan data 2fa:

- Unduh dan simpan gambar BarCode
- Salin dan simpan BarCode dan TextCode di tempat/perangkat yang aman
- Jika 2fa berkaitan dengan akun di exchanger, segera lapor ke pihak support exchange/market tersebut
- Print as PDF/Print out, Save page as (html utuh), Print Screen/Screenshot
- Simpan data 2fa secara offline
- Backup data 2fa dibeberapa perangkat
- Aplikasi alternatif selain dari Google Authenticator
- Gunakan fitur semisal App Lock yang berfungsi agar aplikasi Google Authenticator tidak bisa dibuka oleh sembarang user.
- Matikan pemberitahuan saat layar (smartphone) dikunci
- Aktifkan PIN pada kartu SIM (*Pastikan kode PIN ataupun PUK tersimpan dengan baik)
- Cara Import data 2fa (Aegis Authenticator)
- Ecrypt data 2fa

Referensi:
https://bitcointalksearch.org/topic/infotutorialselalu-amankan-data-google-authenticator-anda-5157187 Page 1 - Page 4
https://bitcointalksearch.org/topic/m.51557878
https://bitcointalksearch.org/topic/m.51558138
https://bitcointalksearch.org/topic/m.51562676
https://bitcointalksearch.org/topic/m.51770027
https://bitcointalksearch.org/topic/m.51798686
https://bitcointalksearch.org/topic/m.51896506
https://bitcointalksearch.org/topic/m.52247937
https://bitcointalksearch.org/topic/m.52032835
https://bitcointalksearch.org/topic/m.52796174
https://bitcointalksearch.org/topic/m.52368705
https://bitcointalksearch.org/topic/m.52369263
https://bitcointalksearch.org/topic/m.52798982
https://bitcointalksearch.org/topic/m.52799829

joniboini

legendary

Activity: 2170

Merit: 1789

Ini thread saya rasa pembahasannya udah cukup, yang dishare di akhir-akhir halaman mulai agak 'menyimpang'. OP ga mau ngelock? Eh lupa, udah ga keliatan sejak 19 September.

Husna QA

legendary

Activity: 2296

Merit: 2892

#SWGT CERTIK Audited

Quote from: masulum on October 19, 2019, 07:42:15 AM

-snip-
4. Jangan asal menyambungkan akun cloud yang Anda miliki, karena sekarang banyak yang meminta Anda untuk menghubungkan akun cloud terlebih dahulu untuk lanjut download file. -snip-

Contohnya Google sharer

Quote from: masulum on October 19, 2019, 07:42:15 AM

-snip-
1. Setiap file digital yang disimpan dalam software, maka pastikan software tersebut selalu diupdate secara berkala.-snip-

Sebelum update, jika memungkinkan lihat dulu review dari user lain yang sudah mencoba versi terbaru software tersebut, karena tidak jarang juga file terupdate justru ada bug.
Contohnya beberapa waktu lalu saya 'terpaksa' (karena selalu muncul notifikasi) update OS di smartphone.
Setelah update, beberapa hari kemudian justru muncul masalah,
smartphone tidak bisa di-unlock padahal pattern key yang digunakan sudah benar,
wallet android yang menyimpan salah satu coin datanya hilang dan hingga kini saya belum bisa me-restore-nya.

Btw, untuk Google Authenticator update terakhirnya saja 27 September 2017, belum ada lagi pembaharuan dari aplikasi tersebut.

masulum

legendary

Activity: 2324

Merit: 1604

hmph..

Saya tidak tau mau menyebutnya ini saran atau bukan, mengingat sudah sangat sering dibahas. Dalam penyimpanan digital, ada poin-poin penting yang tidak boleh dilupakan.

1. Setiap file digital yang disimpan dalam software, maka pastikan software tersebut selalu diupdate secara berkala.
2. Hindari download dari penyedia download yang tidak terpercaya. Pastikan halaman download dari pengembang.
3. Nyimpan di cloud, encrypt file untuk dibuka tambah encrypt tambahan seperti kompres ke rar dan password sebelum di upload.
4. Jangan asal menyambungkan akun cloud yang Anda miliki, karena sekarang banyak yang meminta Anda untuk menghubungkan akun cloud terlebih dahulu untuk lanjut download file.
5. Pastikan URL benar, cek pula abjad non-latin, punycode dan sebagainya yang berpotensi phishing.
6. Simpan draft password list offline maupun digital dengan password manager software. Hati2 juga dalam menggunakan software ini.

wildey

sr. member

Activity: 1148

Merit: 254

Quote from: masulum on October 18, 2019, 11:37:07 AM

Quote from: wildey on October 18, 2019, 09:16:39 AM

hanya yang jago bobol winrar yang bisa mengambil file didalam winrar tersebut. jadi walaupun digunakan aktifitas rutin, selama gak ke format, saya pikir itu aman.

Kan jadi ambigu, katanya aman tapi masih bisa di bobol Grin

Nah, karena risiko tersebut, banyak yang lebih menyarankan untuk melakukan print out pada secret code/QR code. Cuman ya, ini buat orang-orang yang sangat kritis terhadap masalah keamanan data. mungkin kalau yakin kaya mas dan sebagian besar orang lainnya yang sepemahaman, cara tersebut emang sudah cukup.

iya sih gan, tapi jarang banget ada yang bisa bobol" gituan, hehe. saya sendiri menggunakan trik ini, dan saya pikir, butuh keahlian khusus untuk membobol winrar, saya juga pernah mencobanya, dan gagal (dlu ada aplikasi yang di donwload, tapi gak tahu pass rarnya, jadi coba" deh).

Quote from: Chikito on October 18, 2019, 05:14:36 PM

Quote from: wildey on October 18, 2019, 09:16:39 AM

kalau mau lebih aman lagi, tinggal masukin aja didalam winrar, <..>

winrar juga gak aman kalau masih pake yag lama gak pernah diupdate : https://bitcointalksearch.org/topic/m.50077412
kalau mau aman dari virus atau hacker kode back up [.json] ditulis di kertas.

yang saya baca ini virusnya aktif pas filenya di ekstrak yah gan ? yah, tapi bagsnya sih emang make 7zip yah, kan sama aja kyk winrar. bgaimanapun, winrar maupun 7zip, bagi yang menggunakan trik ini, aplikasinya perlu di update.

makasih saran dan tambahannya agan" Kiss

Chikito

legendary

Activity: 2366

Merit: 2054

Quote from: wildey on October 18, 2019, 09:16:39 AM

kalau mau lebih aman lagi, tinggal masukin aja didalam winrar, <..>

winrar juga gak aman kalau masih pake yag lama gak pernah diupdate : https://bitcointalksearch.org/topic/m.50077412
kalau mau aman dari virus atau hacker kode back up [.json] ditulis di kertas.

Quote from: Ljunior on October 18, 2019, 10:01:39 AM

Om itu code Real Device punya Om atau Default hanya sekedar contoh?.

Quote from: pandukelana2712 on October 18, 2019, 11:42:30 AM

tetapi dalam code yg terpampang dlm postingan tsb, terdapat parameter "uuid:xxxxxxxx" yg keliatannya adalah real parameter

Quote from: Ljunior on October 18, 2019, 12:26:39 PM

Note:
Tapi analisa sy bisa salah juga, cara terbaik nunggu konfirmasi yg bersangkutan. Grin

Itu JSON asli dari perangkat saya, memang diperuntukan buat analisa/penelitian. Yang namanya penelitian pasti butuh yang original dong.
Gak apa-apa kok, itu isinya cuma 2fa gmail yg sudah tentu akunnya baru dibuat juga.

Tapi tetap ada protect pasword di sini, jadi kalau sudah terimport butuh pasword untuk buka 2fa nya di hape.

Ljunior

full member

Activity: 321

Merit: 152

Save Palestine

sengaja sy ngk sebutin secara 'spesific' parameternya.

Tpi y sudah udh disebutin salahsatunya oleh om pandu Cheesy

Soalnya sy bulak-balik baca code nya, kok ada yg sensitive. Sy compare lagi github, contoh aegis, parameter yg sensitive hanya ditulis kosong.

Note:
Tapi analisa sy bisa salah juga, cara terbaik nunggu konfirmasi yg bersangkutan. Grin

Edit:
Confirmed,

pandukelana2712

hero member

Activity: 728

Merit: 1006

BountyPortal Supporter & Hhampuz is my manager

Quote from: Ljunior on October 18, 2019, 10:01:39 AM

-snip-

karena itulah saya memberikan merit pada postingan tsb...
karena beliau bilang:

Quote from: Chikito on October 18, 2019, 07:57:39 AM

-snip-
ini contoh file : aegis_export.json

tetapi dalam code yg terpampang dlm postingan tsb, terdapat parameter "uuid:xxxxxxxx" yg keliatannya adalah real parameter

biasanya parameter-contoh menulis "******" utk nutupin real code.

masulum

legendary

Activity: 2324

Merit: 1604

hmph..

Quote from: wildey on October 18, 2019, 09:16:39 AM

hanya yang jago bobol winrar yang bisa mengambil file didalam winrar tersebut. jadi walaupun digunakan aktifitas rutin, selama gak ke format, saya pikir itu aman.

Kan jadi ambigu, katanya aman tapi masih bisa di bobol Grin

Nah, karena risiko tersebut, banyak yang lebih menyarankan untuk melakukan print out pada secret code/QR code. Cuman ya, ini buat orang-orang yang sangat kritis terhadap masalah keamanan data. mungkin kalau yakin kaya mas dan sebagian besar orang lainnya yang sepemahaman, cara tersebut emang sudah cukup.

Ljunior

full member

Activity: 321

Merit: 152

Save Palestine

Quote from: Chikito on October 18, 2019, 07:57:39 AM

ini contoh file : aegis_export.json

Code:

^^

Om itu code Real Device punya Om atau Default hanya sekedar contoh?.

Kalau real mending jgn di Expose.

wildey

sr. member

Activity: 1148

Merit: 254

Quote from: Husna QA on July 10, 2019, 07:26:57 PM

Quote from: Samurai trieng on July 09, 2019, 01:24:38 AM

-snip- ada baik nya kita mem-backup data tersebut, dan memindahkan kan nya ke plasd atau ke laptop,

Kalaupun data Google Authenticator mau dibackup ke flashdisk, jangan sampai flashdisk tersebut digunakan 'colok-cabut' ke beberapa komputer yang 'tidak terpercaya', atau dengan kata lain flashdisk-nya tidak digunakan untuk aktifitas 'rutin' mobile transfer data.

kalau mau lebih aman lagi, tinggal masukin aja didalam winrar, skalian kasih password yang hanya kamu yang tahu, karena setahu saya, jika file sudah diwinrarkan, file tidak bisa lagi diserang virus, atau hal lainnya, terlebih lagi winrarnya di password. hanya yang jago bobol winrar yang bisa mengambil file didalam winrar tersebut. jadi walaupun digunakan aktifitas rutin, selama gak ke format, saya pikir itu aman.

Chikito

legendary

Activity: 2366

Merit: 2054

Quote from: Husna QA on October 18, 2019, 05:38:41 AM

BTW, dari SS di Playstore, Aegis bagus juga bisa import 2fa dari aplikasi sejenis lainnya, jadi tidak perlu manual menginput satu persatu data sebelumnya*.

*Saya belum coba cara importnya.

Mungkin bisa edit [.json] dulu lalu diubah file nya yang cocok ke 2fa yg laen

ini contoh file : aegis_export.json

Code:

{
    "version": 1,
    "header": {
        "slots": [
            {
                "type": 1,
                "uuid": "c5975413-6767-45c6-b8ff-115eafd47f43",
                "key": "c0e68ad77ce3eree4234r34838c8c86a01e526eb649c42df481aac435a28",
                "key_params": {
                    "nonce": "8f372f5932132451239b76c7411",
                    "tag": "74a5f36dad37515def5343e49fe4ea9f252b68"
                },
                "n": 32768,
                "r": 8,
                "p": 1,
                "salt": "1080b2a7abe1a7c7c06ewertfc3eddecb377d42d9dc2e2398e44c8f1db860f0ee65ccbc8fab0",
                "repaired": true
            },
            {
                "type": 2,
                "uuid": "b4023wed-2455-4081-8f29-0e858a8509b7d",
                "key": "3946ff034e2b61a6857de3de7080696rertfde335cfd38d9d9156463292240523d",
                "key_params": {
                    "nonce": "0319806bdf3f5bf162d9f4ede",
                    "tag": "68bc7ed602da1eeww43533fd215abd782f4"
                }
            }
        ],
        "params": {
            "nonce": "471cca3c4823237c14a5bd50d44",
            "tag": "e10da8300cb323ert7681f9eed026af11ea1"
        }
    },
    "db": "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"
}

Husna QA

legendary

Activity: 2296

Merit: 2892

#SWGT CERTIK Audited

Quote from: Chikito on October 18, 2019, 02:46:27 AM

-snip-
Saya juga agak gimana kalau pakai auhty, soalnya nomor telepon buat back up sama dengan aplikasi dalam 1 Hape. kalau hape ilang tentu hilang semua kunci 2fa bersama exchange.

migrasi ke Aegis yokk...

Saya menggunakan Authy di laptop dan juga di smartphone, dan versi desktop tersebut yang saya lihat menjadi kelebihan tersendiri yang tidak ada pada Aegis.
BTW, dari SS di Playstore, Aegis bagus juga bisa import 2fa dari aplikasi sejenis lainnya, jadi tidak perlu manual menginput satu persatu data sebelumnya*.

*Saya belum coba cara importnya.

pandukelana2712

hero member

Activity: 728

Merit: 1006

BountyPortal Supporter & Hhampuz is my manager

Quote from: Chikito on October 18, 2019, 02:46:27 AM

Saya juga agak gimana kalau pakai auhty, soalnya nomor telepon buat back up sama dengan aplikasi dalam 1 Hape. kalau hape ilang tentu hilang semua kunci 2fa bersama exchange.

Saya memakai Authy pada kedua telepon saya, dan kedua app memiliki data akun yang sama, karena saya mengaktifkan allow multi device pada settingan authy.
Jika nomor telepon hilang, kita bisa meminta ganti kepada operator selular. Dan keliatannya semua operator selular menyediakan fasilitas tsb, asal nomor telepon yg kita pake tidak kadaluarsa (angus)

Chikito

legendary

Activity: 2366

Merit: 2054

Saya nemu 2Fa bagus neh, baca-baca di thread ini : https://bitcointalksearch.org/topic/aegis-authenticator-a-decent-alternative-to-google-authenticator-and-authy-5192978

Karena penasaran Aegis Aunthenticator saya instal di Hape, menurut saya cukup bagus, karena :

1. Perlindungan pasword dan sidik jari
Bisa pakai pasword atau sidik jari [pilih salah satu]

2. Opsi back up dalam bentuk .json [aegis_export.json]
Jadi beda dengan aplikasi authy, Aegis mengunakan backup berupa file [.json] bisa dipindahkan ke komputer atau flashdisk buat jaga2 kalau hp rusak atau hilang.

Saya juga agak gimana kalau pakai auhty, soalnya nomor telepon buat back up sama dengan aplikasi dalam 1 Hape. kalau hape ilang tentu hilang semua kunci 2fa bersama exchange.

migrasi ke Aegis yokk...

masulum

legendary

Activity: 2324

Merit: 1604

hmph..

Quote from: Husna QA on September 05, 2019, 11:07:13 AM

Kalau saya lihat pada poin pertama, fungsi mematikan notifikasi saat layar terkunci tersebut agar kode 2fa yang didapat tidak langsung bisa dilihat dan harus ada upaya login terlebih dulu untuk membacanya.

Benar sekali mas, fungsi utama menonaktifkan notifikasi lock-screen adalahuntuk mencegah hal tersebut.

Quote from: Husna QA on September 05, 2019, 11:07:13 AM

Untuk poin ke-2 mengenai penggunaan SIM Card PIN, ini mesti berhati-hati juga*, karena biasanya ada batasan 3 kali kesempatan untuk memasukkan pin, jika salah maka SIM card biasanya terblokir (minta PUK, dst), dan ini yang sedikit ribet nantinya karena harus dikonsultasikan ke penyedia layanan/provider sim card tersebut.

*Pastikan kode PIN ataupun PUK tersimpan dengan baik.

Ini yang menjadi kelemahan dari menggunakan SIM PIN, tapi ini cukup baik karena dengan SIM pin ini, dipastikan setiap kali restart, cabut SIM, SIM dipindah ke HP lain, akan meminta PIN ini. untuk mencegah seseorang menggunakan kembali nomor tersebut.

Husna QA

legendary

Activity: 2296

Merit: 2892

#SWGT CERTIK Audited

Quote from: masulum on September 05, 2019, 10:03:56 AM

-snip-

Kalau saya lihat pada poin pertama, fungsi mematikan notifikasi saat layar terkunci tersebut agar kode 2fa yang didapat tidak langsung bisa dilihat dan harus ada upaya login terlebih dulu untuk membacanya.

Kalau untuk kode 2fa dari google authenticator mau tidak mau harus buka aplikasinya

Tambahan ekstra lagi, gunakan app lock pada GA dan aplikasi penting lainnya.

Kemudian sekedar menambahkan sedikit, untuk screen lock nya juga usahakan tidak menggunakan pola swipe, tapi gunakan medium/high security berupa pattern, PIN atau fingerprint.
Untuk poin ke-2 mengenai penggunaan SIM Card PIN, ini mesti berhati-hati juga*, karena biasanya ada batasan 3 kali kesempatan untuk memasukkan pin, jika salah maka SIM card biasanya terblokir (minta PUK, dst), dan ini yang sedikit ribet nantinya karena harus dikonsultasikan ke penyedia layanan/provider sim card tersebut.

*Pastikan kode PIN ataupun PUK tersimpan dengan baik.

masulum

legendary

Activity: 2324

Merit: 1604

hmph..

CARA MENAMBAH TINGKAT KEAMANAN 2FA VIA SMS
_____________________________

Tadinya saya ingin membuat thread baru, cuma daripada nanti kebanyakan thread yang mirip-mirip jadi saya masukkan di sini karena saya pikir masih related dengan 2FA Google. Semoga tutorial ini dapat membantu. Jika ada masukan atau tips lain, jangan sungkan untuk PM saya, nanti saya bantu tambahin tips dari Anda.

Baca artikel selengkapnya di: https://www.kaspersky.com/blog/2fa-notification-trap/23819/

Infografik ini saya khususkan untuk member Indonesia, sebelumnya sudah saya buatkan thread global. Jika momod ingin menghapus salah satunya, saya persilakan.

Husna QA

legendary

Activity: 2296

Merit: 2892

#SWGT CERTIK Audited

Quote from: distiqo on August 31, 2019, 01:48:24 AM

Saya hanya ingin menambahkan, cara yang lebih praktis dengan menggunakan aplikasi "Authy 2-Factor Authentication". -snip-

https://play.google.com/store/apps/details?id=com.authy.authy&hl=en

Sebaiknya mencantumkan sumber om, meskipun hasil dari spinning text atau terjemahan dari bahasa lain.

Untuk cara kerja dari google Authenticator bisa juga dipelajari di:
https://www.google.com/landing/2step/#tab=how-it-works

distiqo

jr. member

Activity: 54

Merit: 16

Quote from: Rasta99 on June 22, 2019, 03:03:48 AM

TUTORIAL

Unduh dan simpan gambar BarCode
Saat pertama kali daftar di market atau dimana saja yang menggunakan Google Authenticator pasti ada BarCode nya. Saran saya unduh gambar tersebut lalu simpan.
Salin TextCode
TextCode adalah kode yang memuat data Google Authenticator kita. Selalu salin dan simpan kode ini dengan baik.
Simpanlah BarCode dan TextCode di tempat yang aman
Simpanlah di tempat yang menurut anda aman, seperti di FlashDisk, SD Card. Saran saya simpan di Cloud Storage seperti Google Drive karena mudah diakses kapan pun dan dimana pun, jangan simpan di HP ataupun di Laptop karena bisa saja HP anda rusak ataupun hilang.

Saya hanya ingin menambahkan, cara yang lebih praktis dengan menggunakan aplikasi "Authy 2-Factor Authentication".
Kenapa pake aplikasi tersebut? Apa bedanya dengan aplikasi 2FA lainnya?
Karena aplikasi tersebut tersedia untuk smartphone dan PC, dan yang membedakan dengan aplikasi 2FA lainya adalah:

- Secure Cloud Backup:
Authy menyediakan cadangan terenkripsi cloud yang aman sehingga Anda tidak akan pernah kehilangan akses 2FA Anda lagi.
Aplikasi ini menggunakan bank algoritma yang sama dan NSA digunakan untuk melindungi informasi mereka.

- Multi Device Synchronization:
Dengan adanya fitur ini Anda cukup menambahkan perangkat ke akun Anda dan semua token 2fa Anda akan secara otomatis disinkronkan.
Authy juga mendukung 8 digit token loh.

sumber: https://play.google.com/store/apps/details?id=com.authy.authy&hl=en

Dari 2 fitur tersebut yang membuat aplikasi Authy berbeda dengan yang lain. Jadi gak perlu repot lagi jika smaratphone atau PC anda error
Cukup Download ulang aplikasi Authy > Login dengan data yang sudah pernah dibuat > Voila token 2FA anda akan direstore kembali.
Sangat mudah memindah data 2FA anda di smartphone atau PC baru anda, Tidak lelah untuk meng-input ulang seluruh data dari awal lagi.

Untuk cara kerja dari google Authenticator bisa juga dipelajari di:
https://www.google.com/landing/2step/#tab=how-it-works

semoga menambah referensi kalian yang sedang kesulitan mengamankan 2FA dengan cara yang lebih mudah.

Topic: [INFO][TUTORIAL]Selalu amankan data Google Authenticator anda! (Read 1288 times)