Topic: [Newbie][Edukasi] Perbedaan Alur Kerja Otentikasi Tradisional, 2FA dan 2SV - page 2. (Read 1307 times)

Tidak ada batasan buat seseorang jika ingin meng-implementasikan 2FA kedalam website atau aplikasi yang mereka miliki, karena untuk saat ini begitu banyak source code yang menawarkan One-time password generator untuk bisa dikonsumsi oleh publik.

Beberapa contohnya seperti berikut :
https://github.com/speakeasyjs/speakeasy
https://github.com/wstrange/GoogleAuth

Nah ini yang saya maksud secret key nya, maaf karena kurang jelas pertanyaannya saya @joniboini. Berarti Authenticator Generator ini bukan sembarangan dimiliki untuk publik ya alias hanya untuk institusi tertentu kah? Karena fitur itu tidak disertakan jadi satu di aplikasi mobile atau ekstensinya untuk bisa digunakan publik

Jika yang agan maksud dengan Kode adalah secret key (QR Code) dari sebuah aplikasi 2FA maka kode tersebut digenerate oleh Authenticator Generator yang dimiliki oleh Exchange tersebut. Pada saat secret key dibuat maka ukuran seed yang dihasilkan akan berbeda-beda sesuai dengan algoritma yang digunakan, untuk SHA-1 20 bytes, SHA-256 32 bytes, dan SHA-512 64 bytes.

Dari string seed tersebut akan dihasilkan sebuah secret key atau QR Code dengan jumlah 16/26/32 Character (sesuai dengan algoritma yang digunakan) dalam format Base32.

source https://tools.ietf.org/html/rfc6238

Kurang paham dengan pertanyaan agan, tapi kayaknya agan pengen tahu gimana cara kode 2FA itu digenerate. Itu bukan integrasi lagi ke aplikasi GA gan, tapi ya emang kode GA yang dihasilkan dengan prinsip 2FA. Kalau mau baca" tinggal googling saja "gimana kode 2FA dihasilkan", nanti bakal nemu artikel macam ini.

2SV asing namanya bagi saya namun tidak asing penggunaannya.

Dan tentang 2FA, tidak jauh dengan aplikasi GA/ Google Authenticator.
Sayang mengambil contoh sebuah platform exchange/ pertukaran crypto, kan kode yang kita masukkan bisa saling berhubungan dengan akun seterusnya. Apakah ada cara membuat kode atau darimana kode yang dihasilkan sebuah platform exchange untuk diberikan ke usernya untuk di integrasikan lagi ke aplikasi GA?

ya memang bisa. kan ga ada yang bilang ga bisa. bahkan udah dicontohin kan itu seperti misalnya di bidang fintech.

rata-rata apps fintech pake dua hal itu sekaligus, walau untuk login lebih sering cuma nambahin 2fa. tapi kalau agan ganti ip/registrasi/ganti hp, biasanya bakal dimintai kode yang dikirimin via sms ke nomor terdaftar, dan setelah itu ngaktifin 2fa. exchange pun demikian.

Maaf tapi menurut saya ini agak kurang pas gan, karena kalau itu sudah menyangkut jobdesk dari programmer berarti itu juga secara tidak langsung menyangkut dana gan karena programmer pasti mendapat bayaran. Entah itu gaji untuk programmer internal ataupun honor untuk programmer outsource.

Yang benar-benar memang bukan karena dana itu kalau memang seperti jawaban dari agan @abhiseshakana yaitu dari segi keamanannya.

Tapi mungkin SIM Swap tidak akan terlalu menjadi masalah ya, kecuali pihak operator selulernya yang kurang ketat. Karena kalau menyangkut masalah nomor dibutuhkan KTP dan kehadiran secara langsung (pengalaman saya dengan Telkomsel).

Saya lihat contoh kasusnya terjadi pada pengguna Indosat, dan seharusnya pihdak Indosat juga langsung berbenah diri.


Yahh setelah ane baca2 lebih lanjut memang hal ini seperti area abu2, karena bahkan sudah diberitahukan kalau pihak google menganggapnya sama.
Jadi ya lebih baik saya lewati saja pembahasan perbandingan ini.

pertanyaan dari mas @turkandjaydee sudah mendapatkan penjelasan dari mas @abhiseshakana ya. dan memang benar dalam memutuskan untuk menggunakan 2SV atau 2FA ini bukanlah karena masalah dana. Saya ingin menambahkan, dalam pengembangannya, implementasi 2SV dan 2FA ini bisa dilakukan dengan membuat program secara internal dari tim developer mereka sendiri. sedangkan 2FA implementasinya juga bisa dilakukan oleh programmer perusahaan dengan berbagai macam open source atau dari tutorial coding  yang dapat diimplementasikan oleh tim programmer di perusahaan tersebut atau programmer yang dimiliki sudah paham cara implementasinya dari pengalaman sebelumnya. Jadi sangat jelas bukan karena dana.

Mengapa cenderung memilih salah satu dan kenapa exchange menggunakan keduanya? Menurut pendapat saya, tim membuat sistem keamanan berlapis ini karena apa yang ada pada akun tersebut merupakan aset dari para penggunanya. Mereka tentu tidak ingin mengambil risiko jika hanya menerapkan satu metode keamanan saja. Dari sisi pengguna juga demikian, mereka yang ingin akunnya lebih aman, tentu akan mengaktifkan 2FA sebagai tambahan keamanan pada akunnya.

Secara default dari beberapa perusahaan dan layanan menerapkan 2SV. kemudian, memberikan opsi kepada pengguna untuk menambahkan 2FA (atau metode sebaliknya). Jadi, ini akan lebih baik untuk pengguna dan sebagai upaya pemberi layanan untuk menawarkan layanan yang lebih aman buat penggunanya sehingga layanan tersebut memiliki 2SV+2FA secara bersamaan.

Layanan perbankan, aplikasi fintech mobile dsj banyak juga kok yang make 2SV. Coba saja agan download aplikasi fintech semacam apps reksadana, maka registrasi awal agan akan bertemu dengan 2SV. Simply karena mereka ingin memastikan agan memang orang beneran dan karena tidak mungkin 2FA dipakai pada tahap ini. Jadi ya balik lagi seperti yang udah disinggung, kebutuhan dan konteksnya kayak gimana. Tidak sering agan temui di situs" industri yang agan pake bukan berarti di industri lain juga begitu.

* Ane menyebut 2SV dan 2FA sesuai dengan asumsi yang muncul dari diskusi" terakhir di post di atas.

Karena kebijakan tersebut memang mutlak ditangan masing-masing perusahaan, dan saya rasa hal ini tidak ada kaitannya dengan permasalahan "dana". Mungkin pertimbangan pertama ada kaitannya dengan masalah tingkat keamanan dan efisiensi, dimana dalam hal ini 2FA dianggap lebih aman daripada 2SV dan mekanisme 2FA sendiri bisa menggantikan peran 2SV yang notabene tekhnologinya lebih tua.


Seperti yang saya singgung diatas ... Tekhnologi 2FA lebih baru dan memiliki tingkat keamanan yang lebih bagus daripada 2SV. Ketergantungan pengguna 2SV terhadap layanan server dalam mengirimkan OTP terkadang membuat proses autentifikasi tidak bisa dilakukan dengan cepat (pada saat terjadi delay atau ada masalah pada jaringan pengiriman). Ditambah lagi muncul momok "SIM Swap" yang pada akhirnya menjadikan 2SV memiliki celah untuk diterobos oleh orang-orang yang tidak bertanggung jawab.

Kenapa perusahaan tersebut tidak menjalankan 2SV+2FA secara bersamaan? Apakah sudah pasti karena masalah dana pembuatannya atau ada faktor penting lainnya yang mungkin belum saya ketahui?

Lalu berdasarkan pengalaman, saya lebih banyak melihat situs2 yang menggunakan 2FA saja daripada yang menggunakan 2SV (saya tidak ingat pernah melihat situs yang begini ).
Jadi sepertinya 2FA lebih diprioritaskan.

Sederhananya:

2SV adalah kita akan diminta untuk membuktikan bahwa kita adalah benar-benar pemilik akun yang mana untuk mengakses akun yang akan kita buka harus mendapatkan persetujuan yang dikirmkan pada device yang sebelumnya sudah menjadi device yang masuk pada daftar device terpercaya. Atau apapun yang merupakan sesuatu yang kita miliki/percayai sebelumnya seperti email.

Contoh, kita memiliki akun Google yang sudah aktif pada handphone, dan kita mengaktifkan 2SV pada akun kita, maka ketika kita membuka akun Gmail di laptop/smartphone (untuk pertama kali/setelah clear history browser), kita membutuhkan verifikasi tersebut. Contoh implementasi 2SV



Apa yang disebutkan oleh mas Luzin yang mencontohkan akun Indodax ketika kita dikirimi email verifikasi saat login beda IP sudah sesuai dengan contoh implementasi 2SV.

Perlu diketahui pula, tidak semua perusahaan menjalankan 2SV+2FA secara bersamaan seperti pada Indodax. Kebanyakan akan memilih 1 cara, entah cukup dengan 2SV atau dengan 2FA saja.

---

Menurut pandangan perusahaan IT:

Google: 2SV = 2FA/MFA(multi-factor authentication) ( ref: https://support.google.com/a/answer/175197?hl=en&ref_topic=2759193)
Apple: 2SV≠ 2FA (ref: https://support.apple.com/en-us/HT204152)

---

Ini merupakan pemahaman saya, koreksi jika salah  

Mungkin hanya penyebutan istilah saja sih gan, karena autentifikasi menggunakan OTP (via email/sms) juga merupakan bagian mekanisme dari 2SV dan 2FA dan klo dilihat dari sejarahnya dimana tekhnologi 2FA jauh lebih muda (baru) daripada 2SV, sehingga banyak orang yang menganggap jika 2FA adalah versi upgrade dari 2SV.

Jika dilihat dari mekanismenya 2SV bisa dianggap sebagai 2FA, sedangkan 2FA tidak selalu 2SV (jika salah satu model autentifikasinya tidak menggunakan pengiriman OTP dari server).

Oke om terimakasih pembenaranya,
Pemikiran ane sebelumnya , misal si pengguna memiliki akun dan dia menggunakan 2fa (GA/AUTHY) dan 1 verifikasi baru dinamakan 2SV. Apabila dasar 2SV itu dikirim melalui out band yang notabene kode itu hanya diketahui oleh server maka itu salah. Karena seperti yang dikatakan om joni 2fa bisa dilakukan by email,by sms, (misal di akun eobot, binance) tergantung pengaturan. Maka itu ketika pemikiran awal 2SV itu mekanismenya pasword username+2SV(1step )+2fa(Ga,authy,dll) mirip dengan indodax a/bittrex ketikata beda ip.

Tapi kebanyakan layanan (setidaknya yang ane tau) menyebut pengiriman kode tambahan untuk login ini (bukan verifikasi login dari IP baru) dengan nama 2FA. Namanya antara lain '2FA by e-mail', SMS 2FA dst. Kadang disejajarkan dengan opsi semacam Google Authenticator atau Aegis dst. Jadi kayaknya penggunaan term ini kadang tergantung siapa yang menjalankan layanan ya.

2SV bukan 2FA + 1 step verification, tetapi yang benar SFA (1FA) + 1 step verification ... Jadi mekanismenya Username >> Password (SFA) >> Valid >> 1 step verification >> Valid >> Success


Untuk poin ini bisa juga dianggap sebagai pembeda antara 2FA dengan 2SV, dimana pada 2FA jika ada kecocokan code (key, token, pin, dll) antara pengguna dan server maka proses autentifikasi dinyatakan sukses. Sedangkan pada 2SV pengguna harus menunggu code yang dikirimkan oleh server (ibarat mau membuka pintu baru bisa dilakukan jika kuncinya ada).

Ini masalah minor tapi sepertinya perlu dibahas nih. Kalau bisa agan-agan ketika menuliskan istilah yang asing (dan susah menemukan padanannya di bahasa Indonesia dikasih penjelasannya. Misalnya out-of-band itu, ane ketika baca jadi agak kagok dan mikir-mikir maksudnya apaan.

Kalau yang dimaksud out-of-band adalah e-mail, sms, dst, bisa langsung disebutin saja contohnya, atau kalau mau tertib, jelasin maksud term out-of-band setelah kalimat di atas.

Ternyata kategorisasi di industrinya begitu ya, soalnya kalau ane nyebut password dan kode sms termasuk 2FA juga karena dasar asumsinya beda. Menarik".

Dari thread ini, saya jadi penasaran juga perbedaan antara 2FA (Two-factor authentication) dan 2SV (two-step verification). Jadi, sengaja berselancar di google untuk mempelajari lebih lanjut. Karena, saya juga malah baru tahu tentang istilah 2SV. Baca sekilas dari thread ini, awalnya saya kira juga sama, ternyata ada sedikit perbedaan.

Ini saya dapat dari beberapa sumber dan berdasarkan sepenangkapan saya, (tapi mohon untuk dikoreksi jika ternyata ada kekeliruan penafsiran.),

Tujuan 2FA dan 2SV adalah sama, yaitu keduanya membantu para user untuk memperkuat keamanan akun. Di sini, saya juga baru tahu jika faktor otentikasi berasal dari 3 jenis berikut: faktor pengetahuan ("something you know"), faktor kepemilikan ("something you have"), dan faktor bawaan ("something you are").

1. 2SV: ekspansi dari single-factor authentication (SFA)
Single-factor (username+password) -> kemudian + kode yang dikirim ke out-of-band* pengguna (contoh, kode yang dikirimkan ke SMS, melalui panggilan telepon, email, atau saluran komunikasi lainnya)
Mekanismenya yaitu: Step pertama yaitu verifikasi dengan single factor dan jika valid, maka akan mengirim kode (OTP) ke pengguna (bisa berupa SMS, panggilan, email dalam jangka waktu tertentu). Jadi, kode itu dikirimkan ke SMS, panggilan, email bukan generating sendiri).
Contoh:

Image diambil dari www.grahamcluley.com

2. 2FA
Single-factor (username+password) + kode yang dihasilkan oleh hardware / software lain atau smart card (something you have). Jadi, kodenya tidak dikirimkan oleh sistem dari login single-faktor, tetapi generated code. Atau bisa juga Single-factor (username+password) + something you are (bisa menggunakan pemindaian sidik jari, mata, dan lainnya).
Mekanismenya: Pengguna memasukkan 2 faktor verifikasi yang berbeda dan masing-masing memiliki kredensial mereka sendiri yang terpisah.
Sebagai contoh 2FA: single faktor + Google Authetificator (di sini, GA dianggap termasuk dalam something you have, karena GA akan menghasilkan kode (generating code), bukan menerima kiriman kode dari sistem login single faktor. Smart cards dan Yubikeys juga tergolong dalam 2FA.

Sebenarnya, bagan paling lengkap bisa dilihat dari sumber https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/, namun saya sendiri agak bingung dalam membacanya.
Sehingga saya kutipkan dari komentar serta jawaban di website tersebut untuk mempermudah:

Ketiga komentar tersebut diiyakan oleh si penulis Paul Moore.


*out-of-band" (dalam istilah otentifikasi): adalah proses otentikasi yang memanfaatkan saluran komunikasi yang terpisah dari saluran komunikasi utama dari dua entitas yang mencoba membuat koneksi terotentikasi. Bentuk contoh autentikasi OOB termasuk kode yang dikirim ke perangkat seluler melalui SMS, otentikasi melalui saluran suara, kode yang dikirim ke aplikasi seluler tertentu, melalui email, dan saluran komunikasi lainnya

Sumber:
https://security.stackexchange.com/questions/41939/two-step-vs-two-factor-authentication-is-there-a-difference
https://www.grahamcluley.com/factor-authentication-2fa-versus-step-verification-2sv/
https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/
https://lifehacker.com/the-difference-between-two-factor-and-two-step-authenti-1787159870
https://doubleoctopus.com/security-wiki/authentication/out-of-band-authentication/

---------------------------------------
#edited berdasarkan saran dari suhu @joniboini

Untuk 2SV sepemahaman ane lihat di diagaram ini pakai 2FA + 1 step verification, artinya username pasword>valid>1Step verifikasi>valid>2fa>valid>sukses, disini ada satu step verifikasi yang hanya dimiliki server dan dikirimkan kepada kita untuk validasi, sedangkan untuk 2fa username pasword>valid>2fa>valid>sukses, Cara kerja 2FA itu kalau tidak keliru mencocokan kedua kodenya user dan server,  2FA itu kedua belah pihak memiliki sandi yg sama persis.
Sedangkan untuk nama saya juga tidak tau pasti bisa di namai 2SV anggapan ane ya cuma ada 1 step perbedaan yang perlu di jalankan.  Itu saja sih om setahu ane.

Konsep antara 2FA dan 2SV terlihat sama, terlebih jika salah satu model autentifikasi yang digunakan berkaitan dengan OTP (karena keduanya sama-sama memiliki waktu yang sudah ditentukan untuk bisa melakukan proses verifikasi, dan jika batas waktu ini telah lewat maka code tersebut sudah tidak bisa digunakan lagi).

Perbedaan akan kelihatan jika pada 2FA tidak menggunakan model autentifikasi OTP. Contoh menggunakan kombinasi Password dan biometric, maka dalam proses verifikasi ini 2 model autentifikasi yang digunakan benar-benar mutlak ditangan pengguna dan tidak tergantung pada pihak ke-3 (yang mengirimkan code OTP).

Jadi klo saya simpulkan perbedaan dari keduanya hanya terletak pada 2 model autentifikasi yang digunakan, tetapi dari konsep dan cara kerjanya memiliki kesamaan.