Topic: [Newbie][Edukasi] Perbedaan Alur Kerja Otentikasi Tradisional, 2FA dan 2SV (Read 1232 times)

2va yang dimaksud sama dengan 2SV sebagaima yang dijelaskan OP di awal post kan... Jadi inti perbedaannya sih di step untuk sampai bisa masuk ke akun dan juga model autentifikasinya.

---

Oh ya.. bukan berarti juga karena 2SV menggunakan proses verifikasi yang lebih banyak dari 2FA lantas bisa dikatakan bisa lebih aman/tidak memiliki kekurangan.

Kalau dibaca secara teori Keduanya Hampir sama , dan bertujuan sama yaitu mengamankan Akun . Tapi secara pengalaman berhadapan langsung mungkin bisa terasa Perbedaannya .
2fa : Biasanya Login Dulu Baru Verifikasi (dapat sms OTP). Selesai (biasanya di marketplace yang menggunakan ini )
2va : Masukin User name Password , lalu minta otp baru Login . Setelah klik Login kadang  belum selesai , terkadang masih ada Email Verifikasi (kadang terjadi kalau beda IP) biasanya terjadi di exchanger.

Paling kalau mau coba, test import Private Key di akun web wallet https://www.blockchain.com/ ; lalu dibagian Security setting-nya aktifkan Two-Step Verification. Fungsi 2fa tersebut sebenarnya untuk akun di blockchain.com, jadinya semua wallet/address yang diimport private key nya tersebut mengikut ke settingan 2fa akun di blockchain.com tersebut.

Note: saya pribadi cenderung tidak merekomendasikan blockchain.com atau web wallet lainnya sebagai penyimpanan utama aset crypto.

Memang yang ane tanya untuk wallet kang, bukan untuk private key. Tadi om Husna sudah mencoba di wallet electrom dan menjelaskan secara rinci kang.karena kan autenikator itu memang pihak ketiga yang sudah terpercaya.

Ada juga paling pakai pihak ketiga dimana agak berbahaya kalau diimplementasikan, Privatekey itu mutlak tidak bisa ditambah atau dikurangi pengaman lain semacam 2fa. walau wallet pun bisa dipakaikan pin tapi bukan mengamankan privatekey-nya tapi sebagai pengaman wallet tersebut.

Ya memang, setiap website memiliki metode keamanan yang berbeda-beda, saya rasa penulis artikel mengenai beberapa metode bypass 2FA tersebut juga paham akan hal tersebut. Menurut saya, alasan pembahasan juga disebutkan bruteforce meskipun kemungkinannya kecil, karena ada kasus yang sudah ada sebelumnya. Jadi, untuk mengingatkan kembali akan potensi tersebut.

Perlu diingat bahwa implementasi 2FA di tiap website tidak sama dengan hal tersebut. Bisa jadi setelah 3 kali retry akun usernya bakal di lock misalnya. Seperti yang udah dituliskan di artikel itu sendiri, bruteforce ini bisa jalan karena ga ada kode baru setelah beberapa kali salah input dan ga ada limit berapa kali user bisa masukin kodenya. Ane rasa sistem OTP kaya gini beda dengan 2FA via authenticator misalnya yang menggunakan TOTP. Kalau sampai ada situs yang menggunakan sistem keamanan seperti itu memang udah keterlaluan sih.

Kalau agan cuma ingin nambahin password/lock code sebelum wallet agan dibuka, bisa import saja pkeynya ke wallet yang support password/PIN.

Tadi saya coba test membuat wallet di Electrum menggunakan opsi Wallet with two-factor authentication dengan menggunakan seed* yang sudah ada dari wallet lain, baik bertipe Legacy maupun Segwit keduanya tidak bisa di Next untuk melanjutkan meng-create wallet.
Asumsi saya harus menggunakan seed yang sebelumnya juga dibuat menggunakan wallet with 2fa.

Note: untuk wallet lainnya saya belum tahu.

---

* Karena pertanyaan agan @irsada menggunakan private key sementara di Electrum yang diperlukannya adalah seed, maka perlu konversi Private Key to Seed: https://bitcointalksearch.org/topic/m.33647328

Maaf om agak keluar dari jalur, ane mau bertanya kalau kita hanya punya private key saja untuk mengakses wallet baik itu wallet ETH , bitcoin, ataupun yang lainnya apakah bisa support untuk pasang autenikator pada wallet tersebut?

Untuk bruteforce itu yang dimaksud bruteforce 6 kode yang dikirim, atau seed/secret codenya gan? Ane rasa ngebruteforce 6 kode yang berubah setiap 30 detik adalah hal yang sia-sia dan buang-buang energi aja. Ane rasa cracker pro juga ga bakal make hal kaya gini. Kalaupun bisa tahu secret codenya juga belum tentu itu secret code yang sama (kecuali yang dibruteforce adalah file yang berisi secret code user yang jadi target). Ane merasa peluangnya sangat kecil metode ini bakal dipake, mending pake keylogger daripada ini.

Beberapa bulan lalu ada thread yang menanyakan tentang apakah mengaktifkan 2FA menjamin tidak bisa dihack? yang saat ini threadnya sudah dikunci. Saya juga merasa topik yang akan saya berikan ini masih nyambung dengan thread OP dan juga untuk memperjelas jawaban atas thread yang saya sebutkan di awal. karena, pemilik akun yang lengah, mengaktifkan 2FA juga bisa kehilangan akun, begini penjelasnnya, seperti yang saya baca di Hoxhunt.com

1. Bypass 2FA melalui fitur yang disediakan oleh pemilik layanan
Kita tahu hampir semua layanan website memiliki fitur "reset password", penyerang menggunakan metode ini untuk melakukan bypass 2FA. Bagaimana bisa? berdasarkan penjelasan yang ada pada artikel tersebut, penyedia layanan sebagian menonaktifkan 2FA (by system) ketika melakukan reset password, kesuksesan peretas dalam mengubah sandi ini pun pada akhirnya membuat akun dengan 2FA dapat dicuri. Anda dapat mencobanya di beberapa exchange yang Anda gunakan untuk memastikan bahwa 2FA tidak dinonaktifkan setelah permintaan sandi dilakukan. Hal ini akan membantu Anda memastikan bahwa ketika ada peretas berhasil mengubah password Anda, mereka masih harus mengisi 2FA. Dalam hal ini saya mempraktikkan sendiri pada Indodax, setelah melakukan reset password, saya masih harus mengisi 2FA (app) dan ada tambahan penguncian akun yang mana PINnya dikirimkan melalui SMS.


2. Bypass 2FA melalui koneksi dengan social media
Sebagian layanan mengizinkan penggunanya untuk masuk dengan social media. Ketika hacker berhasil menguasai akun social media Anda, mereka bisa melakukan request untuk masuk dengan mudah. Sayangnya, sebagian layanan tidak mengaktifkan 2FA untuk akun yang masuk melalui social media. Untuk bagian ini, saya tidak bisa mempraktikkan sendiri, karena akun social media saya jarang sekali dibuat untuk koneksi ke website.

3. Bypass 2FA melalui brute-force
Metode yang sudah umum dilakukan untuk meretas akun seseorang. Meskipun kemungkinannya kecil untuk bisa langsung mendapatkan kode yang sesuai, namun brute-force ini masih menjadi metode yang sering dilakukan untuk peretasan.

4. Penyimpanan kode rahasia/barcode dalam bentuk digital
Ini adalah kesalahan yang sering kali dilakukan oleh banyak orang, mereka menyimpan kode rahasia atau barcode rahasia dalam bentuk digital. Memang, tidak ada yang salah selama mereka mampu menyimpannya dengan baik dan memastikan keamanan komputer/HPnya. Kesalahan yang timbul adalah, ketika pengguna lebih sering melakukan surving secara tidak aman, hingga PC terkena virus yang dapat mengakses data-data yang disimpan oleh pengguna. Ketika mereka menemukan akun Anda dan berhasil mengambil kode rahasia yang Anda simpan tersebut, maka peretas bebas mengakses akun Anda.

5. Phishing
Website phishing dapat dengan mudah mengelebuhi para pemilik akun. Mereka yang tidak memperhatikan alamat website maupun pengirim email dengan benar, mereka akan mudah menjadi korban untuk mengisi form pada layanan yang salah. Peretas yang juga membuka akun Anda di saat yang bermasaan akan dengan mudah untuk mendapatkan akun Anda karena Anda mengirimkan kode rahasia pada sistem hacker, bukan pada sistem layanan yang sebenarnya.

Itulah beberapa metode yang disebutkan dari Hoxhunt.com, jika post ini sekiranya tidak sesuai dengan OP, silakan ingatkan saya untuk menghapus postingan atau silakan di report ke moderator jika memang diperlukan. Semoga post ini dapat mengedukasi newbie yang berpikir akan aman ketika sudah menggunakan 2FA.

---

edit:
Yang dimaksud dalam artikel disini adalah kode 6 digit, hal ini pernah dilakukan percobaan pada OTP, dimana hasilnya dishare melalui artikel lainnya pada halaman ini, jadi saya juga memasukkan poin ini karena menurut saya, 2FA berbasis APP dan OTP juga memiliki kemiripan fungsi.

OTP (baik itu 2FA maupun 2SV) yang menggunakan opsi autentifikasi SMS menurut saya memang kurang efisien, karena selain memiliki tingkat keamanan yang lebih rentan jika dibandingkan dengan OTP App maupun via token, pada waktu proses pengiriman OTP ke pengguna juga akan dikenakan biaya layanan SMS (jika saldo kurang maka code OTP tidak akan bisa terkirim). Ditambah lagi karena prosesnya berkaitan erat dengan jaringan seluler ada kalanya pengiriman OTP tersebut macet dan mesti di kirim ulang.

OTP jasa" fintech dan perbankan sayangnya masih mengandalkan SMS dan bukan Google Auth atau sejenisnya. Sistem keamanan perbankan Indo masih tertinggal dibandingkan exchange/fintech" lain yang udah support 2FA dan kombinasi password yang lebih kompleks. Pelajaran lain dari kasus di atas adalah nomor" penting juga kalau bisa ga ditaruh di sosmed, biar ga 'diteror' seperti cerita di atas.

Benar mas, ada yang aneh dibagian ini, ketika nomor diblokir, sedangkan kartu sim masih di korban, seharusnya memang tidak bisa pelaku memiliki kartu dengan nomor yang sama. Kalau memang pelaku bisa meretas, Apakah mungkin ada yang tidak beres pada sistem provider? Kalau orang dalam, seharusnya provider lebih mudah untuk melakukan pelacakan dan penangkapan pelaku. Karena ada record pada sistem yang tentunya akun orang dalam yang mengaktifkan kembali nomor tersebut akan tersimpan.

---

Tentunya kalau sudah meminta OTP, pelaku tersebut sudah memiliki poros security pertama yaitu username/email dan password.

---

memang, masalah utama bisa terjadi pada akun dan passwordnya, tapi kejadian ini menjadikan OTP sebagai bagian penting. Kasus yang bisa saja dilupakan oleh pengguna lain, dimana mereka mengganti nomor hp tapi belum memperbarui data akun, sekalipun mereka ingat untuk memperbarui tentunya proses menjadi lebih panjang, karena nomor sudah terlanjur diganti, maka YBS juga masih harus verifikasi ulang. Sedangkan pada kasus ini hanya berselang 7 menit, dari penutupan nomor, sehingga user harus selalu ingat dan berhati-hati ketika akan mengganti nomor yang memiliki akses OTP

Sedikit menambahkan sumber beritanya, saya lihat di sini:
https://www.jawapos.com/surabaya/11/10/2020/tabungan-dokter-eric-ludes-setelah-tujuh-menit-ganti-nomor-hp/

---

Dari info di atas, pelaku berhasil mengkloning nomor hp korban selang sekitar tujuh menit setelah nomor tersebut ditutup.
Dalam hal ini saya kira pelaku memang sudah berhasil lebih dulu mendapat informasi login ke akun-nya korban, tinggal melewati tahapan OTP tersebut saja.
Ada semacam upaya mempengaruhi psikologi korban juga disini dengan teror/ancaman via telepon, dan canggihnya lagi, telepon-telepon tersebut tidak bisa di reject ataupun di blokir oleh korban.

Itu gimana caranya si penipu bisa ngetrigger permintaan OTP akun bank user yang bersangkutan. Berarti login dan pass atau kredensial lainnya udah ketahuan dong? Masalah yang lebih urgent menurut ane kok malah di situ daripada masalah OTP smsnya. Analoginya kalau di exchange ini login dan passwordnya udah ketahuan dan si penipu udah bisa akses akunnya sesuka hati, cuma butuh kode OTP biar bisa WD asetnya.

Rada aneh juga jika dalam selang waktu yang tidak lama No. HP sudah bisa di recycle, harusnya sih rata-rata provider baru akan melakukan recycle (jual kembali) pada No.HP yang tidak aktif dalam jeda waktu 2-4 Bulan. Beda lagi klo pelaku memiliki akses untuk melakukan recycle (bisa saja dia melakukan hacked atau malah bagian dari orang dalam).

Korbannya sendiri menurutku juga kurang waspada, seharusnya sebelum dia menon-aktifkan kartu selulernya segala koneksi layanan perbankan, sosmed, email maupun media-media penting lainnya perlu diputus terlebih dahulu.

---

Mohon maaf bumping thread yang sudah lama tidak ada update. Di sini saya akan berbagi suatu kasus dimana seorang kehilangan Rp399.000.000 di akun banknya karena OTP SMS. Karena OTP SMS merupakan bagian dari otentikasi, saya rasa kejadian ini masih relevan untuk semua member untuk dijadikan pelajaran berharga demi keamanan akun dan aset.

Berikut adalah screenshot yang saya dapatkan dari twitter @hsuff  - posts archive

---

KRONOLOGI KASUS

1. Korban mendapatkan telepon dari orang asing yang mengatas namakan bank danamon
2. Korban kemudian mendapatkan SMS berisi kode OTP berulang-ulang
3. Telpon asing meminta kode OTP kepada korban
4. Korban tidak percaya, kemudian datang ke bank untuk konfirmasi
5. Bank meminta korban untuk mengabaikan SMS yang masuk
6. Korban terus mendapatkan sms OTP
7. Korban datang ke provider SIMcard untuk menutup kartu
8. Pelaku (orang asing) mengetahui bahwa korban menutup kartu, kemudian kartu diaktifkan kembali
9. Selang beberapa jam, uang senilai 399 juta dihabiskan oleh pelaku.

---

Keberhasilan pelaku dalam mengaktifkan kembali kartu yang sudah tidak digunakan oleh korban adalah salah satu masalah besar ketika kita menggunakan OTP SMS. SIMcard yang kita miliki adalah miliki provider, provider dapat menutup/membuka kartu suka-suka mereka. Ketika ada orang yang paham aset kita, dan kita hanya mengamankan akun dengan bermodal OTP SMS, maka ketika ada orang lain yang memegang nomor lama kita dapat dengan mudah untuk mengganti akun.

Jadi, pelajaran penting dari kasus di atas adalah, jangan pernah mengganti nomor HP sebelum Anda memperbarui nomor yang digunakan untuk aset. Jika Anda ingin mengganti nomor HP, maka tindakan yang harus dilakukan terlebih dahulu adalah

1. Mengganti nomor HP yang terdaftar di bank terlebih dahulu kalau di exchange, kita menggantinya di profil akun (jika tidak bisa dilakukan sendiri, hubungi CS)
2. Jangan langsung menonaktifkan kartu meskipun Anda sudah memperbarui nomor HP di akun bank/exchange
3. Pilihlah untuk meminta provider SIM untuk memblokir nomor lama Anda terlebih dahulu.
4. Minta provider untuk mengaktifkan nomor lama kembali
5. Tes ulang akun dengan mengecek nomor hp, jika ada yang belum di perbarui, Anda masih bisa melakukannya segera.
6. Bekukan akun bank/exchange sebelum mengganti normor HP.

Semoga kejadian ini membuat kita bisa lebih hati-hati dengan nomor HP yang kita gunakan.

Ingat, mungkin cara ini tidak menjamin 100% akan mengamankan aset Anda. Kehati-hatian dan kewaspadaan Anda dalam mengkonfirmasi OTP adalah yang terpenting yang harus Anda lakukan.

^{note: buat OP jika menurut Anda ini OOT, silakan dihapus}

Maksudnya rumit nya bagaimana ya om? jika rumit disini karena kita perlu melakukan beberapa langakah tambahan ane rasa sebanding dengan lapisan keamanan yang kita dapat.

Menurut saya sama saja kalau kita sudah mengerti implementasikan 2FA kedalam website malah akan membuat kita semakin rumit

Tidak ada batasan buat seseorang jika ingin meng-implementasikan 2FA kedalam website atau aplikasi yang mereka miliki, karena untuk saat ini begitu banyak source code yang menawarkan One-time password generator untuk bisa dikonsumsi oleh publik.

Beberapa contohnya seperti berikut :
https://github.com/speakeasyjs/speakeasy
https://github.com/wstrange/GoogleAuth

Nah ini yang saya maksud secret key nya, maaf karena kurang jelas pertanyaannya saya @joniboini. Berarti Authenticator Generator ini bukan sembarangan dimiliki untuk publik ya alias hanya untuk institusi tertentu kah? Karena fitur itu tidak disertakan jadi satu di aplikasi mobile atau ekstensinya untuk bisa digunakan publik

Jika yang agan maksud dengan Kode adalah secret key (QR Code) dari sebuah aplikasi 2FA maka kode tersebut digenerate oleh Authenticator Generator yang dimiliki oleh Exchange tersebut. Pada saat secret key dibuat maka ukuran seed yang dihasilkan akan berbeda-beda sesuai dengan algoritma yang digunakan, untuk SHA-1 20 bytes, SHA-256 32 bytes, dan SHA-512 64 bytes.

Dari string seed tersebut akan dihasilkan sebuah secret key atau QR Code dengan jumlah 16/26/32 Character (sesuai dengan algoritma yang digunakan) dalam format Base32.

source https://tools.ietf.org/html/rfc6238

Kurang paham dengan pertanyaan agan, tapi kayaknya agan pengen tahu gimana cara kode 2FA itu digenerate. Itu bukan integrasi lagi ke aplikasi GA gan, tapi ya emang kode GA yang dihasilkan dengan prinsip 2FA. Kalau mau baca" tinggal googling saja "gimana kode 2FA dihasilkan", nanti bakal nemu artikel macam ini.

2SV asing namanya bagi saya namun tidak asing penggunaannya.

Dan tentang 2FA, tidak jauh dengan aplikasi GA/ Google Authenticator.
Sayang mengambil contoh sebuah platform exchange/ pertukaran crypto, kan kode yang kita masukkan bisa saling berhubungan dengan akun seterusnya. Apakah ada cara membuat kode atau darimana kode yang dihasilkan sebuah platform exchange untuk diberikan ke usernya untuk di integrasikan lagi ke aplikasi GA?

ya memang bisa. kan ga ada yang bilang ga bisa. bahkan udah dicontohin kan itu seperti misalnya di bidang fintech.

rata-rata apps fintech pake dua hal itu sekaligus, walau untuk login lebih sering cuma nambahin 2fa. tapi kalau agan ganti ip/registrasi/ganti hp, biasanya bakal dimintai kode yang dikirimin via sms ke nomor terdaftar, dan setelah itu ngaktifin 2fa. exchange pun demikian.

Maaf tapi menurut saya ini agak kurang pas gan, karena kalau itu sudah menyangkut jobdesk dari programmer berarti itu juga secara tidak langsung menyangkut dana gan karena programmer pasti mendapat bayaran. Entah itu gaji untuk programmer internal ataupun honor untuk programmer outsource.

Yang benar-benar memang bukan karena dana itu kalau memang seperti jawaban dari agan @abhiseshakana yaitu dari segi keamanannya.

Tapi mungkin SIM Swap tidak akan terlalu menjadi masalah ya, kecuali pihak operator selulernya yang kurang ketat. Karena kalau menyangkut masalah nomor dibutuhkan KTP dan kehadiran secara langsung (pengalaman saya dengan Telkomsel).

Saya lihat contoh kasusnya terjadi pada pengguna Indosat, dan seharusnya pihdak Indosat juga langsung berbenah diri.


Yahh setelah ane baca2 lebih lanjut memang hal ini seperti area abu2, karena bahkan sudah diberitahukan kalau pihak google menganggapnya sama.
Jadi ya lebih baik saya lewati saja pembahasan perbandingan ini.

pertanyaan dari mas @turkandjaydee sudah mendapatkan penjelasan dari mas @abhiseshakana ya. dan memang benar dalam memutuskan untuk menggunakan 2SV atau 2FA ini bukanlah karena masalah dana. Saya ingin menambahkan, dalam pengembangannya, implementasi 2SV dan 2FA ini bisa dilakukan dengan membuat program secara internal dari tim developer mereka sendiri. sedangkan 2FA implementasinya juga bisa dilakukan oleh programmer perusahaan dengan berbagai macam open source atau dari tutorial coding  yang dapat diimplementasikan oleh tim programmer di perusahaan tersebut atau programmer yang dimiliki sudah paham cara implementasinya dari pengalaman sebelumnya. Jadi sangat jelas bukan karena dana.

Mengapa cenderung memilih salah satu dan kenapa exchange menggunakan keduanya? Menurut pendapat saya, tim membuat sistem keamanan berlapis ini karena apa yang ada pada akun tersebut merupakan aset dari para penggunanya. Mereka tentu tidak ingin mengambil risiko jika hanya menerapkan satu metode keamanan saja. Dari sisi pengguna juga demikian, mereka yang ingin akunnya lebih aman, tentu akan mengaktifkan 2FA sebagai tambahan keamanan pada akunnya.

Secara default dari beberapa perusahaan dan layanan menerapkan 2SV. kemudian, memberikan opsi kepada pengguna untuk menambahkan 2FA (atau metode sebaliknya). Jadi, ini akan lebih baik untuk pengguna dan sebagai upaya pemberi layanan untuk menawarkan layanan yang lebih aman buat penggunanya sehingga layanan tersebut memiliki 2SV+2FA secara bersamaan.

Layanan perbankan, aplikasi fintech mobile dsj banyak juga kok yang make 2SV. Coba saja agan download aplikasi fintech semacam apps reksadana, maka registrasi awal agan akan bertemu dengan 2SV. Simply karena mereka ingin memastikan agan memang orang beneran dan karena tidak mungkin 2FA dipakai pada tahap ini. Jadi ya balik lagi seperti yang udah disinggung, kebutuhan dan konteksnya kayak gimana. Tidak sering agan temui di situs" industri yang agan pake bukan berarti di industri lain juga begitu.

* Ane menyebut 2SV dan 2FA sesuai dengan asumsi yang muncul dari diskusi" terakhir di post di atas.

Karena kebijakan tersebut memang mutlak ditangan masing-masing perusahaan, dan saya rasa hal ini tidak ada kaitannya dengan permasalahan "dana". Mungkin pertimbangan pertama ada kaitannya dengan masalah tingkat keamanan dan efisiensi, dimana dalam hal ini 2FA dianggap lebih aman daripada 2SV dan mekanisme 2FA sendiri bisa menggantikan peran 2SV yang notabene tekhnologinya lebih tua.


Seperti yang saya singgung diatas ... Tekhnologi 2FA lebih baru dan memiliki tingkat keamanan yang lebih bagus daripada 2SV. Ketergantungan pengguna 2SV terhadap layanan server dalam mengirimkan OTP terkadang membuat proses autentifikasi tidak bisa dilakukan dengan cepat (pada saat terjadi delay atau ada masalah pada jaringan pengiriman). Ditambah lagi muncul momok "SIM Swap" yang pada akhirnya menjadikan 2SV memiliki celah untuk diterobos oleh orang-orang yang tidak bertanggung jawab.

Kenapa perusahaan tersebut tidak menjalankan 2SV+2FA secara bersamaan? Apakah sudah pasti karena masalah dana pembuatannya atau ada faktor penting lainnya yang mungkin belum saya ketahui?

Lalu berdasarkan pengalaman, saya lebih banyak melihat situs2 yang menggunakan 2FA saja daripada yang menggunakan 2SV (saya tidak ingat pernah melihat situs yang begini ).
Jadi sepertinya 2FA lebih diprioritaskan.

Sederhananya:

2SV adalah kita akan diminta untuk membuktikan bahwa kita adalah benar-benar pemilik akun yang mana untuk mengakses akun yang akan kita buka harus mendapatkan persetujuan yang dikirmkan pada device yang sebelumnya sudah menjadi device yang masuk pada daftar device terpercaya. Atau apapun yang merupakan sesuatu yang kita miliki/percayai sebelumnya seperti email.

Contoh, kita memiliki akun Google yang sudah aktif pada handphone, dan kita mengaktifkan 2SV pada akun kita, maka ketika kita membuka akun Gmail di laptop/smartphone (untuk pertama kali/setelah clear history browser), kita membutuhkan verifikasi tersebut. Contoh implementasi 2SV



Apa yang disebutkan oleh mas Luzin yang mencontohkan akun Indodax ketika kita dikirimi email verifikasi saat login beda IP sudah sesuai dengan contoh implementasi 2SV.

Perlu diketahui pula, tidak semua perusahaan menjalankan 2SV+2FA secara bersamaan seperti pada Indodax. Kebanyakan akan memilih 1 cara, entah cukup dengan 2SV atau dengan 2FA saja.

---

Menurut pandangan perusahaan IT:

Google: 2SV = 2FA/MFA(multi-factor authentication) ( ref: https://support.google.com/a/answer/175197?hl=en&ref_topic=2759193)
Apple: 2SV≠ 2FA (ref: https://support.apple.com/en-us/HT204152)

---

Ini merupakan pemahaman saya, koreksi jika salah  

Mungkin hanya penyebutan istilah saja sih gan, karena autentifikasi menggunakan OTP (via email/sms) juga merupakan bagian mekanisme dari 2SV dan 2FA dan klo dilihat dari sejarahnya dimana tekhnologi 2FA jauh lebih muda (baru) daripada 2SV, sehingga banyak orang yang menganggap jika 2FA adalah versi upgrade dari 2SV.

Jika dilihat dari mekanismenya 2SV bisa dianggap sebagai 2FA, sedangkan 2FA tidak selalu 2SV (jika salah satu model autentifikasinya tidak menggunakan pengiriman OTP dari server).

Oke om terimakasih pembenaranya,
Pemikiran ane sebelumnya , misal si pengguna memiliki akun dan dia menggunakan 2fa (GA/AUTHY) dan 1 verifikasi baru dinamakan 2SV. Apabila dasar 2SV itu dikirim melalui out band yang notabene kode itu hanya diketahui oleh server maka itu salah. Karena seperti yang dikatakan om joni 2fa bisa dilakukan by email,by sms, (misal di akun eobot, binance) tergantung pengaturan. Maka itu ketika pemikiran awal 2SV itu mekanismenya pasword username+2SV(1step )+2fa(Ga,authy,dll) mirip dengan indodax a/bittrex ketikata beda ip.

Tapi kebanyakan layanan (setidaknya yang ane tau) menyebut pengiriman kode tambahan untuk login ini (bukan verifikasi login dari IP baru) dengan nama 2FA. Namanya antara lain '2FA by e-mail', SMS 2FA dst. Kadang disejajarkan dengan opsi semacam Google Authenticator atau Aegis dst. Jadi kayaknya penggunaan term ini kadang tergantung siapa yang menjalankan layanan ya.

2SV bukan 2FA + 1 step verification, tetapi yang benar SFA (1FA) + 1 step verification ... Jadi mekanismenya Username >> Password (SFA) >> Valid >> 1 step verification >> Valid >> Success


Untuk poin ini bisa juga dianggap sebagai pembeda antara 2FA dengan 2SV, dimana pada 2FA jika ada kecocokan code (key, token, pin, dll) antara pengguna dan server maka proses autentifikasi dinyatakan sukses. Sedangkan pada 2SV pengguna harus menunggu code yang dikirimkan oleh server (ibarat mau membuka pintu baru bisa dilakukan jika kuncinya ada).

Ini masalah minor tapi sepertinya perlu dibahas nih. Kalau bisa agan-agan ketika menuliskan istilah yang asing (dan susah menemukan padanannya di bahasa Indonesia dikasih penjelasannya. Misalnya out-of-band itu, ane ketika baca jadi agak kagok dan mikir-mikir maksudnya apaan.

Kalau yang dimaksud out-of-band adalah e-mail, sms, dst, bisa langsung disebutin saja contohnya, atau kalau mau tertib, jelasin maksud term out-of-band setelah kalimat di atas.

Ternyata kategorisasi di industrinya begitu ya, soalnya kalau ane nyebut password dan kode sms termasuk 2FA juga karena dasar asumsinya beda. Menarik".

Dari thread ini, saya jadi penasaran juga perbedaan antara 2FA (Two-factor authentication) dan 2SV (two-step verification). Jadi, sengaja berselancar di google untuk mempelajari lebih lanjut. Karena, saya juga malah baru tahu tentang istilah 2SV. Baca sekilas dari thread ini, awalnya saya kira juga sama, ternyata ada sedikit perbedaan.

Ini saya dapat dari beberapa sumber dan berdasarkan sepenangkapan saya, (tapi mohon untuk dikoreksi jika ternyata ada kekeliruan penafsiran.),

Tujuan 2FA dan 2SV adalah sama, yaitu keduanya membantu para user untuk memperkuat keamanan akun. Di sini, saya juga baru tahu jika faktor otentikasi berasal dari 3 jenis berikut: faktor pengetahuan ("something you know"), faktor kepemilikan ("something you have"), dan faktor bawaan ("something you are").

1. 2SV: ekspansi dari single-factor authentication (SFA)
Single-factor (username+password) -> kemudian + kode yang dikirim ke out-of-band* pengguna (contoh, kode yang dikirimkan ke SMS, melalui panggilan telepon, email, atau saluran komunikasi lainnya)
Mekanismenya yaitu: Step pertama yaitu verifikasi dengan single factor dan jika valid, maka akan mengirim kode (OTP) ke pengguna (bisa berupa SMS, panggilan, email dalam jangka waktu tertentu). Jadi, kode itu dikirimkan ke SMS, panggilan, email bukan generating sendiri).
Contoh:

Image diambil dari www.grahamcluley.com

2. 2FA
Single-factor (username+password) + kode yang dihasilkan oleh hardware / software lain atau smart card (something you have). Jadi, kodenya tidak dikirimkan oleh sistem dari login single-faktor, tetapi generated code. Atau bisa juga Single-factor (username+password) + something you are (bisa menggunakan pemindaian sidik jari, mata, dan lainnya).
Mekanismenya: Pengguna memasukkan 2 faktor verifikasi yang berbeda dan masing-masing memiliki kredensial mereka sendiri yang terpisah.
Sebagai contoh 2FA: single faktor + Google Authetificator (di sini, GA dianggap termasuk dalam something you have, karena GA akan menghasilkan kode (generating code), bukan menerima kiriman kode dari sistem login single faktor. Smart cards dan Yubikeys juga tergolong dalam 2FA.

Sebenarnya, bagan paling lengkap bisa dilihat dari sumber https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/, namun saya sendiri agak bingung dalam membacanya.
Sehingga saya kutipkan dari komentar serta jawaban di website tersebut untuk mempermudah:

Ketiga komentar tersebut diiyakan oleh si penulis Paul Moore.


*out-of-band" (dalam istilah otentifikasi): adalah proses otentikasi yang memanfaatkan saluran komunikasi yang terpisah dari saluran komunikasi utama dari dua entitas yang mencoba membuat koneksi terotentikasi. Bentuk contoh autentikasi OOB termasuk kode yang dikirim ke perangkat seluler melalui SMS, otentikasi melalui saluran suara, kode yang dikirim ke aplikasi seluler tertentu, melalui email, dan saluran komunikasi lainnya

Sumber:
https://security.stackexchange.com/questions/41939/two-step-vs-two-factor-authentication-is-there-a-difference
https://www.grahamcluley.com/factor-authentication-2fa-versus-step-verification-2sv/
https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/
https://lifehacker.com/the-difference-between-two-factor-and-two-step-authenti-1787159870
https://doubleoctopus.com/security-wiki/authentication/out-of-band-authentication/

---------------------------------------
#edited berdasarkan saran dari suhu @joniboini

Untuk 2SV sepemahaman ane lihat di diagaram ini pakai 2FA + 1 step verification, artinya username pasword>valid>1Step verifikasi>valid>2fa>valid>sukses, disini ada satu step verifikasi yang hanya dimiliki server dan dikirimkan kepada kita untuk validasi, sedangkan untuk 2fa username pasword>valid>2fa>valid>sukses, Cara kerja 2FA itu kalau tidak keliru mencocokan kedua kodenya user dan server,  2FA itu kedua belah pihak memiliki sandi yg sama persis.
Sedangkan untuk nama saya juga tidak tau pasti bisa di namai 2SV anggapan ane ya cuma ada 1 step perbedaan yang perlu di jalankan.  Itu saja sih om setahu ane.

Konsep antara 2FA dan 2SV terlihat sama, terlebih jika salah satu model autentifikasi yang digunakan berkaitan dengan OTP (karena keduanya sama-sama memiliki waktu yang sudah ditentukan untuk bisa melakukan proses verifikasi, dan jika batas waktu ini telah lewat maka code tersebut sudah tidak bisa digunakan lagi).

Perbedaan akan kelihatan jika pada 2FA tidak menggunakan model autentifikasi OTP. Contoh menggunakan kombinasi Password dan biometric, maka dalam proses verifikasi ini 2 model autentifikasi yang digunakan benar-benar mutlak ditangan pengguna dan tidak tergantung pada pihak ke-3 (yang mengirimkan code OTP).

Jadi klo saya simpulkan perbedaan dari keduanya hanya terletak pada 2 model autentifikasi yang digunakan, tetapi dari konsep dan cara kerjanya memiliki kesamaan.

Ane juga bukan ahlinya di bidang ini gan, santai saja. Itu ane nanya beneran bukan sedang menguji layaknya dosen waktu sidang skripsi.

Jadi dari pemahaman agan, mirip dengan gimana Indodax, Triv atau exchange lain ngirimin link login dulu itu juga tetep otentikasi, kalau gitu kenapa namanya jadi 2SV? Bedanya verifikasi sama otentikasi apaan memangnya? Masak hanya gara-gara lebih panjang prosesnya terus namanya berubah gan kalau esensinya sama.

2FA adalah metode autentifikasi (verifikasi) yang menggunakan kombinasi 2 faktor yang berbeda, dan salah satunya tidak harus memakai OTP. Mungkin karena mayoritas 2FA salah satu faktor verifikasinya banyak yang menggunakan OTP (sms, token, app, dll) makanya ada beberapa orang yang menyimpulkan jika 2FA selalu identik dengan OTP.

Saya memperoleh bacaan mengenai ini 2SV, yang saya pahami itu 2 step verifikasi (2SV) selain melalui username pasword, ada lagi 2 step yang harus dilakukan yaitu otentikasi dikirimkan oleh server melalui email/sms jika valid kemudian diminta kode 2fa. Jadi stepnya agak lebih panjang. Apakah ini bukan otentikasi yang dikirim ke email?  Itu sepemahaman saya om mohon diluruskan jika saya keliru.

Maaf om pasword username. Terimakasih saya revisi.

Yang 2SV itu kok ane gagal paham. Bedanya sama 2FA di mana kalau menurut OP? Kok kayaknya sama aja perlu otentikasi tambahan selain password. Dua-duanya kan juga verifikasi ganda (password dan OTP). Mengenai beda IP dan butuh konfirmasi lagi itu menurut ane adalah step verifikasi tambahan tapi tetep make 2FA atau mungkin cuma konfirmasi ke e-mail aja tanpa perlu masukin random code. "Faktor tunggal" yang dimaksud itu apaan?

Latar Belakang
Perkembangan zaman era digital dengan internet memberikan begitu besar manfaat. Perubahan sistem memberikan efisiensi dalam berbagai hal. Adopsi layanan online/social media menggunakan data diri, password, email, no telepon, semakin banyak dan menjadi kebutuhan pokok untuk saat ini. Namun dibalik semua efisiensi melalui layanan online ini sejatinya ada sebuah bahaya yang sedang mengintai kita. Kasus seperti pencurian data rahasia, pencurian password, pencurian asset sudah banyak terjadi  dan ini merugikan kita. Untuk meminimalisir itu semua kita sewajarnya teliti dan memerlukan pencegahan dini melalui digital security yang mengacu pada berbagai cara untuk melindungi akun internet komputer dan file dari pengguna luar yang tidak bertanggung jawab. Salah satu cara adalah menambahkan lapisan keamanan otentikasi seperti 2FA atau 2SV.  Namun untuk menerapkan ini sebaiknya perlu memahami tata kerja system digital security yang saat ini banyak digunakan.

Tujuan
Memberikan pemahaman cara kerja lapisan kemanan tambahan dalam system otentikasi bagi akun digital khususnya dalam dunia cryptocurency dan trading untuk meminimalisir kerugian.  Seperti kegiatan dalam crypto tak lepas dari yang namanya akun exchange, wallet yang harus kita berikan keamanan berlapis atau otentifikasi tambahan. Untuk itu saya menulis tread ini untuk megedukasi saya sendiri dan teman teman yang belum paham mengenai langkah bagaimana layanan otentikasi kemanan tambahan bekerja baik berupa yang tradisional, 2fa atau 2SV.  

Isi
Merujuk pada beberapa  akun exchange, social media, dan beberapa akun yang memerlukan otentikasi dalam melakukan login ada beberapa perbedaan yang sering sekali saya amati. Dari sini bisa disimpulkan bahwa ada perbedaan mendasar dalam sistem otentikasi keamanan pada beberapa akun yang saya buat.

1. Sistem kemanan tradisional
Sistem ini tidak menggunakan lapisan otentifikasi tambahan, hanya menggunakan username/akun alamat email kombinasi pasword. Dengan itu anda sudah bisa masuk pada akun anda. Ini digunakan pada akun yang biasanya tidak berhubungan dengan asset, atau akun media social yang tidak membutuhkan prifasi tinggi seperti facebook, ig atau twitter.

Ketika akan login anda diminta memasukan username dan pasword apabila sesuai dengan database maka anda langsung bisa masuk ke akun anda.

2. Sistem Otentikasi 2fa
Sistem ini yang menggunakan proses verifikasi kepemilikikan memakai OTP(one time password) otentifikasi tambahan, atau biasa kita sebut 2fa. Jadi dalam system otentikasi disini memerlukan 2 kata sandi pertama username password kemudian kode sandi atau token dari perangkat lain. Perangkat lain ini bisa bwerwujud Yubikey, GA/ Authy dll.

Ketika akan login anda diminta memasukan Username dan password apabila sesuai dengan database maka anda diminta memasukan kode/ sandi dari perangkat lain jika valid maka anda bisa masuk akun anda. Sistem keamanan ini biasanya diterapkan dalam Web Exchange, ada juga missal di beberapa online shop.

3. Sistem Otentikasi 2SV
Ini hampir mirip dengan system 2fa tapi sistem ini menggunakan verifikasi ganda yaitu username dan pasword ditambah kode yang dikirimkan kepada pengguna di luar jalur.

Ketika akan login anda diminta memasukan Username dan password apabila valid kita akan mendapatkan OTP melalui email atau sms(biasanya berbentuk tautan) jika valid anda diminta memasukan kode GA/Yubikey  valid sukses login. Kalau di exchange saya pikir seperti TRIV, namun kadang diindodax, bittrex ketika ip kita terdeteksi berubah dari terkahir kali login atau oleh system dianggap berbahaya maka kita biasa dikirim email otentikasi. Namun dari system otentikasi tambahan itu semua penggunaannya menjadi pilihan anda artinya anda dapat mengatur sesuai keinginan dan kenyamanan anda. Anda bisa mengaktifkan atau menonaktifkan dalam pengaturan akun anda.

Kesimpulan
Dari sistem otentikasi diatas saya pikir beberapa exchange ataupun akun lainya telah memberikan alternative lapisan keamanan bagi akun kita. Untuk itu sewajarnya kita memaksimalkan fitur itu untuk mengamankan asset, data dari dari para pihak yang tidak bertanggung jawab. Selanjutnya menurut hemat saya mengenai sistem 3 otentikasi diatas dari segi keamanannya 2SV menjadi lapisan otentikasi paling aman walaupun terlihat harus membutuhkan beberapa step lebih panjang.

Maaf om jika pemahaman saya masih sangat dangkal dan pemahaman saya yang salah. Masukan saran sangat saya butuhkan untuk kesempurnaan pengetahuan saya dan tread yang saya buat ini.

Sumber:
- https://en.m.wikipedia.org/wiki/Digital_security
- https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/
- https://security.stackexchange.com/questions/41939/two-step-vs-two-factor-authentication-is-there-a-difference
- https://en.wikipedia.org/wiki/Multi-factor_authentication#Inherent_factors