Topic: [Newbie][Edukasi] Perbedaan Alur Kerja Otentikasi Tradisional, 2FA dan 2SV (Read 1307 times)

2va yang dimaksud sama dengan 2SV sebagaima yang dijelaskan OP di awal post kan... Jadi inti perbedaannya sih di step untuk sampai bisa masuk ke akun dan juga model autentifikasinya.

---

Oh ya.. bukan berarti juga karena 2SV menggunakan proses verifikasi yang lebih banyak dari 2FA lantas bisa dikatakan bisa lebih aman/tidak memiliki kekurangan.

Kalau dibaca secara teori Keduanya Hampir sama , dan bertujuan sama yaitu mengamankan Akun . Tapi secara pengalaman berhadapan langsung mungkin bisa terasa Perbedaannya .
2fa : Biasanya Login Dulu Baru Verifikasi (dapat sms OTP). Selesai (biasanya di marketplace yang menggunakan ini )
2va : Masukin User name Password , lalu minta otp baru Login . Setelah klik Login kadang  belum selesai , terkadang masih ada Email Verifikasi (kadang terjadi kalau beda IP) biasanya terjadi di exchanger.

Paling kalau mau coba, test import Private Key di akun web wallet https://www.blockchain.com/ ; lalu dibagian Security setting-nya aktifkan Two-Step Verification. Fungsi 2fa tersebut sebenarnya untuk akun di blockchain.com, jadinya semua wallet/address yang diimport private key nya tersebut mengikut ke settingan 2fa akun di blockchain.com tersebut.

Note: saya pribadi cenderung tidak merekomendasikan blockchain.com atau web wallet lainnya sebagai penyimpanan utama aset crypto.

Memang yang ane tanya untuk wallet kang, bukan untuk private key. Tadi om Husna sudah mencoba di wallet electrom dan menjelaskan secara rinci kang.karena kan autenikator itu memang pihak ketiga yang sudah terpercaya.

Ada juga paling pakai pihak ketiga dimana agak berbahaya kalau diimplementasikan, Privatekey itu mutlak tidak bisa ditambah atau dikurangi pengaman lain semacam 2fa. walau wallet pun bisa dipakaikan pin tapi bukan mengamankan privatekey-nya tapi sebagai pengaman wallet tersebut.

Ya memang, setiap website memiliki metode keamanan yang berbeda-beda, saya rasa penulis artikel mengenai beberapa metode bypass 2FA tersebut juga paham akan hal tersebut. Menurut saya, alasan pembahasan juga disebutkan bruteforce meskipun kemungkinannya kecil, karena ada kasus yang sudah ada sebelumnya. Jadi, untuk mengingatkan kembali akan potensi tersebut.

Perlu diingat bahwa implementasi 2FA di tiap website tidak sama dengan hal tersebut. Bisa jadi setelah 3 kali retry akun usernya bakal di lock misalnya. Seperti yang udah dituliskan di artikel itu sendiri, bruteforce ini bisa jalan karena ga ada kode baru setelah beberapa kali salah input dan ga ada limit berapa kali user bisa masukin kodenya. Ane rasa sistem OTP kaya gini beda dengan 2FA via authenticator misalnya yang menggunakan TOTP. Kalau sampai ada situs yang menggunakan sistem keamanan seperti itu memang udah keterlaluan sih.

Kalau agan cuma ingin nambahin password/lock code sebelum wallet agan dibuka, bisa import saja pkeynya ke wallet yang support password/PIN.

Tadi saya coba test membuat wallet di Electrum menggunakan opsi Wallet with two-factor authentication dengan menggunakan seed* yang sudah ada dari wallet lain, baik bertipe Legacy maupun Segwit keduanya tidak bisa di Next untuk melanjutkan meng-create wallet.
Asumsi saya harus menggunakan seed yang sebelumnya juga dibuat menggunakan wallet with 2fa.

Note: untuk wallet lainnya saya belum tahu.

---

* Karena pertanyaan agan @irsada menggunakan private key sementara di Electrum yang diperlukannya adalah seed, maka perlu konversi Private Key to Seed: https://bitcointalksearch.org/topic/m.33647328

Maaf om agak keluar dari jalur, ane mau bertanya kalau kita hanya punya private key saja untuk mengakses wallet baik itu wallet ETH , bitcoin, ataupun yang lainnya apakah bisa support untuk pasang autenikator pada wallet tersebut?

Untuk bruteforce itu yang dimaksud bruteforce 6 kode yang dikirim, atau seed/secret codenya gan? Ane rasa ngebruteforce 6 kode yang berubah setiap 30 detik adalah hal yang sia-sia dan buang-buang energi aja. Ane rasa cracker pro juga ga bakal make hal kaya gini. Kalaupun bisa tahu secret codenya juga belum tentu itu secret code yang sama (kecuali yang dibruteforce adalah file yang berisi secret code user yang jadi target). Ane merasa peluangnya sangat kecil metode ini bakal dipake, mending pake keylogger daripada ini.

Beberapa bulan lalu ada thread yang menanyakan tentang apakah mengaktifkan 2FA menjamin tidak bisa dihack? yang saat ini threadnya sudah dikunci. Saya juga merasa topik yang akan saya berikan ini masih nyambung dengan thread OP dan juga untuk memperjelas jawaban atas thread yang saya sebutkan di awal. karena, pemilik akun yang lengah, mengaktifkan 2FA juga bisa kehilangan akun, begini penjelasnnya, seperti yang saya baca di Hoxhunt.com

1. Bypass 2FA melalui fitur yang disediakan oleh pemilik layanan
Kita tahu hampir semua layanan website memiliki fitur "reset password", penyerang menggunakan metode ini untuk melakukan bypass 2FA. Bagaimana bisa? berdasarkan penjelasan yang ada pada artikel tersebut, penyedia layanan sebagian menonaktifkan 2FA (by system) ketika melakukan reset password, kesuksesan peretas dalam mengubah sandi ini pun pada akhirnya membuat akun dengan 2FA dapat dicuri. Anda dapat mencobanya di beberapa exchange yang Anda gunakan untuk memastikan bahwa 2FA tidak dinonaktifkan setelah permintaan sandi dilakukan. Hal ini akan membantu Anda memastikan bahwa ketika ada peretas berhasil mengubah password Anda, mereka masih harus mengisi 2FA. Dalam hal ini saya mempraktikkan sendiri pada Indodax, setelah melakukan reset password, saya masih harus mengisi 2FA (app) dan ada tambahan penguncian akun yang mana PINnya dikirimkan melalui SMS.


2. Bypass 2FA melalui koneksi dengan social media
Sebagian layanan mengizinkan penggunanya untuk masuk dengan social media. Ketika hacker berhasil menguasai akun social media Anda, mereka bisa melakukan request untuk masuk dengan mudah. Sayangnya, sebagian layanan tidak mengaktifkan 2FA untuk akun yang masuk melalui social media. Untuk bagian ini, saya tidak bisa mempraktikkan sendiri, karena akun social media saya jarang sekali dibuat untuk koneksi ke website.

3. Bypass 2FA melalui brute-force
Metode yang sudah umum dilakukan untuk meretas akun seseorang. Meskipun kemungkinannya kecil untuk bisa langsung mendapatkan kode yang sesuai, namun brute-force ini masih menjadi metode yang sering dilakukan untuk peretasan.

4. Penyimpanan kode rahasia/barcode dalam bentuk digital
Ini adalah kesalahan yang sering kali dilakukan oleh banyak orang, mereka menyimpan kode rahasia atau barcode rahasia dalam bentuk digital. Memang, tidak ada yang salah selama mereka mampu menyimpannya dengan baik dan memastikan keamanan komputer/HPnya. Kesalahan yang timbul adalah, ketika pengguna lebih sering melakukan surving secara tidak aman, hingga PC terkena virus yang dapat mengakses data-data yang disimpan oleh pengguna. Ketika mereka menemukan akun Anda dan berhasil mengambil kode rahasia yang Anda simpan tersebut, maka peretas bebas mengakses akun Anda.

5. Phishing
Website phishing dapat dengan mudah mengelebuhi para pemilik akun. Mereka yang tidak memperhatikan alamat website maupun pengirim email dengan benar, mereka akan mudah menjadi korban untuk mengisi form pada layanan yang salah. Peretas yang juga membuka akun Anda di saat yang bermasaan akan dengan mudah untuk mendapatkan akun Anda karena Anda mengirimkan kode rahasia pada sistem hacker, bukan pada sistem layanan yang sebenarnya.

Itulah beberapa metode yang disebutkan dari Hoxhunt.com, jika post ini sekiranya tidak sesuai dengan OP, silakan ingatkan saya untuk menghapus postingan atau silakan di report ke moderator jika memang diperlukan. Semoga post ini dapat mengedukasi newbie yang berpikir akan aman ketika sudah menggunakan 2FA.

---

edit:
Yang dimaksud dalam artikel disini adalah kode 6 digit, hal ini pernah dilakukan percobaan pada OTP, dimana hasilnya dishare melalui artikel lainnya pada halaman ini, jadi saya juga memasukkan poin ini karena menurut saya, 2FA berbasis APP dan OTP juga memiliki kemiripan fungsi.

OTP (baik itu 2FA maupun 2SV) yang menggunakan opsi autentifikasi SMS menurut saya memang kurang efisien, karena selain memiliki tingkat keamanan yang lebih rentan jika dibandingkan dengan OTP App maupun via token, pada waktu proses pengiriman OTP ke pengguna juga akan dikenakan biaya layanan SMS (jika saldo kurang maka code OTP tidak akan bisa terkirim). Ditambah lagi karena prosesnya berkaitan erat dengan jaringan seluler ada kalanya pengiriman OTP tersebut macet dan mesti di kirim ulang.

OTP jasa" fintech dan perbankan sayangnya masih mengandalkan SMS dan bukan Google Auth atau sejenisnya. Sistem keamanan perbankan Indo masih tertinggal dibandingkan exchange/fintech" lain yang udah support 2FA dan kombinasi password yang lebih kompleks. Pelajaran lain dari kasus di atas adalah nomor" penting juga kalau bisa ga ditaruh di sosmed, biar ga 'diteror' seperti cerita di atas.

Benar mas, ada yang aneh dibagian ini, ketika nomor diblokir, sedangkan kartu sim masih di korban, seharusnya memang tidak bisa pelaku memiliki kartu dengan nomor yang sama. Kalau memang pelaku bisa meretas, Apakah mungkin ada yang tidak beres pada sistem provider? Kalau orang dalam, seharusnya provider lebih mudah untuk melakukan pelacakan dan penangkapan pelaku. Karena ada record pada sistem yang tentunya akun orang dalam yang mengaktifkan kembali nomor tersebut akan tersimpan.

---

Tentunya kalau sudah meminta OTP, pelaku tersebut sudah memiliki poros security pertama yaitu username/email dan password.

---

memang, masalah utama bisa terjadi pada akun dan passwordnya, tapi kejadian ini menjadikan OTP sebagai bagian penting. Kasus yang bisa saja dilupakan oleh pengguna lain, dimana mereka mengganti nomor hp tapi belum memperbarui data akun, sekalipun mereka ingat untuk memperbarui tentunya proses menjadi lebih panjang, karena nomor sudah terlanjur diganti, maka YBS juga masih harus verifikasi ulang. Sedangkan pada kasus ini hanya berselang 7 menit, dari penutupan nomor, sehingga user harus selalu ingat dan berhati-hati ketika akan mengganti nomor yang memiliki akses OTP

Sedikit menambahkan sumber beritanya, saya lihat di sini:
https://www.jawapos.com/surabaya/11/10/2020/tabungan-dokter-eric-ludes-setelah-tujuh-menit-ganti-nomor-hp/

---

Dari info di atas, pelaku berhasil mengkloning nomor hp korban selang sekitar tujuh menit setelah nomor tersebut ditutup.
Dalam hal ini saya kira pelaku memang sudah berhasil lebih dulu mendapat informasi login ke akun-nya korban, tinggal melewati tahapan OTP tersebut saja.
Ada semacam upaya mempengaruhi psikologi korban juga disini dengan teror/ancaman via telepon, dan canggihnya lagi, telepon-telepon tersebut tidak bisa di reject ataupun di blokir oleh korban.

Itu gimana caranya si penipu bisa ngetrigger permintaan OTP akun bank user yang bersangkutan. Berarti login dan pass atau kredensial lainnya udah ketahuan dong? Masalah yang lebih urgent menurut ane kok malah di situ daripada masalah OTP smsnya. Analoginya kalau di exchange ini login dan passwordnya udah ketahuan dan si penipu udah bisa akses akunnya sesuka hati, cuma butuh kode OTP biar bisa WD asetnya.

Rada aneh juga jika dalam selang waktu yang tidak lama No. HP sudah bisa di recycle, harusnya sih rata-rata provider baru akan melakukan recycle (jual kembali) pada No.HP yang tidak aktif dalam jeda waktu 2-4 Bulan. Beda lagi klo pelaku memiliki akses untuk melakukan recycle (bisa saja dia melakukan hacked atau malah bagian dari orang dalam).

Korbannya sendiri menurutku juga kurang waspada, seharusnya sebelum dia menon-aktifkan kartu selulernya segala koneksi layanan perbankan, sosmed, email maupun media-media penting lainnya perlu diputus terlebih dahulu.

---

Mohon maaf bumping thread yang sudah lama tidak ada update. Di sini saya akan berbagi suatu kasus dimana seorang kehilangan Rp399.000.000 di akun banknya karena OTP SMS. Karena OTP SMS merupakan bagian dari otentikasi, saya rasa kejadian ini masih relevan untuk semua member untuk dijadikan pelajaran berharga demi keamanan akun dan aset.

Berikut adalah screenshot yang saya dapatkan dari twitter @hsuff  - posts archive

---

KRONOLOGI KASUS

1. Korban mendapatkan telepon dari orang asing yang mengatas namakan bank danamon
2. Korban kemudian mendapatkan SMS berisi kode OTP berulang-ulang
3. Telpon asing meminta kode OTP kepada korban
4. Korban tidak percaya, kemudian datang ke bank untuk konfirmasi
5. Bank meminta korban untuk mengabaikan SMS yang masuk
6. Korban terus mendapatkan sms OTP
7. Korban datang ke provider SIMcard untuk menutup kartu
8. Pelaku (orang asing) mengetahui bahwa korban menutup kartu, kemudian kartu diaktifkan kembali
9. Selang beberapa jam, uang senilai 399 juta dihabiskan oleh pelaku.

---

Keberhasilan pelaku dalam mengaktifkan kembali kartu yang sudah tidak digunakan oleh korban adalah salah satu masalah besar ketika kita menggunakan OTP SMS. SIMcard yang kita miliki adalah miliki provider, provider dapat menutup/membuka kartu suka-suka mereka. Ketika ada orang yang paham aset kita, dan kita hanya mengamankan akun dengan bermodal OTP SMS, maka ketika ada orang lain yang memegang nomor lama kita dapat dengan mudah untuk mengganti akun.

Jadi, pelajaran penting dari kasus di atas adalah, jangan pernah mengganti nomor HP sebelum Anda memperbarui nomor yang digunakan untuk aset. Jika Anda ingin mengganti nomor HP, maka tindakan yang harus dilakukan terlebih dahulu adalah

1. Mengganti nomor HP yang terdaftar di bank terlebih dahulu kalau di exchange, kita menggantinya di profil akun (jika tidak bisa dilakukan sendiri, hubungi CS)
2. Jangan langsung menonaktifkan kartu meskipun Anda sudah memperbarui nomor HP di akun bank/exchange
3. Pilihlah untuk meminta provider SIM untuk memblokir nomor lama Anda terlebih dahulu.
4. Minta provider untuk mengaktifkan nomor lama kembali
5. Tes ulang akun dengan mengecek nomor hp, jika ada yang belum di perbarui, Anda masih bisa melakukannya segera.
6. Bekukan akun bank/exchange sebelum mengganti normor HP.

Semoga kejadian ini membuat kita bisa lebih hati-hati dengan nomor HP yang kita gunakan.

Ingat, mungkin cara ini tidak menjamin 100% akan mengamankan aset Anda. Kehati-hatian dan kewaspadaan Anda dalam mengkonfirmasi OTP adalah yang terpenting yang harus Anda lakukan.

^{note: buat OP jika menurut Anda ini OOT, silakan dihapus}

Maksudnya rumit nya bagaimana ya om? jika rumit disini karena kita perlu melakukan beberapa langakah tambahan ane rasa sebanding dengan lapisan keamanan yang kita dapat.

Menurut saya sama saja kalau kita sudah mengerti implementasikan 2FA kedalam website malah akan membuat kita semakin rumit