SSP Editorial Team

2FA seluler: cara yang benar dan yang salah

·8 mnt baca·Oleh SSP Editorial Team
Sampul SSP Academy untuk panduan autentikasi dua faktor seluler, dengan ikon dompet, kunci, dan perisai di latar gelap.

Autentikasi dua faktor (2FA) adalah salah satu peningkatan keamanan dengan dampak terbesar yang bisa kamu lakukan — tetapi hanya jika kamu memakai jenis yang tepat. Bagi pengguna kripto, jarak antara 2FA yang kuat dan yang lemah adalah jarak antara akun yang bertahan menghadapi penyerang yang gigih dan akun yang tidak. Masalahnya, bentuk 2FA yang paling umum — kode sekali pakai yang dikirim lewat SMS — sekaligus yang paling lemah. Panduan ini mengurutkan pilihan dari yang terburuk ke yang terbaik, menjelaskan alasannya, dan memberimu rencana konkret untuk memperkuat akun-akun di sekitar dompetmu.

Sebuah catatan pembingkaian sebelum mulai: model keamanan SSP sendiri sama sekali bukan "2FA" dalam arti kode sekali pakai. SSP memakai multisig — dua kunci penandatangan independen pada dua perangkat. Kita akan kembali ke alasan mengapa pembedaan ini penting. Pertama, soal kode.

Mengapa 2FA SMS mengecewakan pengguna kripto

Kode sekali pakai lewat SMS terasa seperti keamanan: kamu memasukkan kata sandi, sebuah angka enam digit tiba, kamu mengetiknya. Masalahnya, faktor kedua — kendali atas nomor teleponmu — jauh lebih mudah dicuri daripada yang diduga kebanyakan orang.

Dua kelas serangan yang menimbulkan kerusakan:

  • Penukaran SIM (SIM swapping). Penyerang membujuk (atau menyuap) operator selulermu untuk memindahkan nomormu ke SIM yang ia kendalikan. Begitu nomor itu miliknya, semua kode SMS mengalir kepadanya. Pemegang kripto adalah target favorit justru karena hasilnya besar dan transaksinya tidak bisa dibatalkan.
  • Penyadapan lewat SS7. SS7 adalah protokol persinyalan berusia puluhan tahun yang dipakai jaringan telekomunikasi untuk merutekan panggilan dan pesan. Kelemahan yang sudah dikenal memungkinkan penyerang dengan sumber daya besar menyadap pesan SMS tanpa menyentuh SIM-mu sama sekali.

Ini bukan kekhawatiran pinggiran. National Institute of Standards and Technology Amerika Serikat menggolongkan SMS sebagai autentikator "terbatas" dalam NIST SP 800-63B dan secara eksplisit tidak menyarankan penggunaannya pada sistem baru. Ketika lembaga yang mendefinisikan identitas digital memberitahumu bahwa suatu metode sedang ditinggalkan, anggap itu sebagai sinyal.

2FA SMS tetap lebih baik daripada tanpa 2FA sama sekali. Namun untuk akun apa pun yang menyentuh uangmu, ia seharusnya jadi pilihan terakhirmu, bukan default.

Aplikasi autentikator TOTP: dasar yang praktis

Dasar praktis bagi pengguna kripto adalah aplikasi autentikator TOTP — jenis yang menampilkan kode enam digit berputar yang berubah setiap 30 detik. TOTP didefinisikan oleh RFC 6238, dan ia adalah langkah maju yang nyata dibanding SMS karena satu alasan struktural: tidak ada nomor telepon yang bisa dibajak. Kode dibuat di perangkatmu dari sebuah rahasia bersama, sehingga penukaran SIM dan penyadapan SS7 sama sekali tidak berlaku.

Beberapa aturan membuat TOTP jauh lebih kuat:

  • Gunakan aplikasi, bukan SMS, di mana pun sebuah layanan menawarkan keduanya. Sebagian besar bursa dan penyedia email mendukung aplikasi autentikator.
  • Cadangkan rahasia penyiapan, bukan hanya kodenya. Saat mendaftar, simpan ekspor pemulihan seperti kamu melindungi kredensial sensitif lain mana pun.
  • Jika memungkinkan, pisahkan dari perangkat yang sama tempat kamu masuk, agar satu mesin yang disusupi tidak memegang kedua faktor sekaligus.

TOTP tidak sempurna. Rahasia bersama itu hidup di telepon, sehingga perangkat yang disusupi — atau cadangan awannya yang tidak aman — bisa membocorkan rahasia tersebut. Dan yang krusial, kode TOTP masih bisa di-phishing secara waktu nyata: halaman masuk palsu yang meyakinkan meneruskan kata sandimu dan kode enam digit barumu langsung ke sesi penyerang sebelum kode itu kedaluwarsa. Celah itulah yang ditutup oleh tingkat berikutnya. Jika kamu ingin mengenali halaman-halaman palsu itu, baca telaah kami tentang serangan phishing yang menargetkan pengguna kripto.

Passkey dan kunci perangkat keras: tahan phishing

Passkey FIDO2/WebAuthn dan kunci keamanan perangkat keras adalah tingkat pertama yang benar-benar tahan phishing, dan alasannya elegan: kredensial terikat secara kriptografis ke origin (asal) situs web. Autentikatormu hanya akan masuk ke domain asli tempat ia didaftarkan. Situs phishing yang mirip memiliki origin berbeda, sehingga passkey begitu saja menolak menjawab — tidak ada kode enam digit untuk diteruskan, karena memang tidak ada kode sama sekali.

Sifat ini lebih penting daripada sifat lain mana pun dalam daftar. SMS maupun TOTP sama-sama bergantung pada seseorang membaca sebuah angka dan mengetiknya di suatu tempat; passkey menghapus sepenuhnya rahasia yang bisa disalin manusia. Penyerang yang membangun tiruan persis sampai pikselnya dari halaman masuk bursamu tidak mendapat apa-apa, karena tantangan kriptografis dijawab oleh perangkat keras yang memeriksa origin untukmu.

Kunci keamanan perangkat keras — yang fisik, yang kamu tempelkan atau colokkan — dan passkey platform yang tersimpan di secure element teleponmu atau komputermu sama-sama menerapkan ini. Untuk akun bernilai tinggi, kunci perangkat keras adalah faktor kedua terkuat yang tersedia luas yang bisa kamu beli.

SSP Key adalah penandatangan pendamping, bukan kode

Inilah pembedaan yang membuat orang tersandung: keamanan SSP sama sekali bukan "2FA" dalam arti kode sekali pakai. Ia adalah multisig.

Pengaturan 2FA standar melindungi proses masuk akun. SSP melindungi transaksi itu sendiri. SSP memakai skema 2 dari 2: satu kunci tinggal di ekstensi peramban, yang lain adalah SSP Key di teleponmu. Keduanya harus menandatangani secara independen sebelum dana bisa berpindah. SSP Key adalah penandatangan pendamping kriptografis — bukan angka enam digit yang kamu ketik, melainkan perangkat terpisah yang memegang kunci terpisah dan menghasilkan tanda tangan sungguhan.

Konsekuensinya bersifat struktural. Misalkan seorang penyerang sepenuhnya menyusupi ekstensi peramban-mu — mem-phishing-nya, atau mengambil alih mesin tempat ia berjalan. Dengan kode enam digit di tingkat aplikasi, satu penyusupan itu saja bisa cukup. Dengan SSP tidak: memindahkan dana tetap memerlukan persetujuan independen di teleponmu, tempat kamu melihat detail transaksi dan menandatangani dengan kunci kedua. Sisi peramban sendirian tidak bisa mengirim apa pun. Permukaan tanda tangan kedua yang independen itu adalah hal yang tak akan pernah bisa dilakukan kode enam digit — sebuah kunci yang juga harus disusupi penyerang, di perangkat berbeda, pada saat yang sama.

Agar tepat tentang apa yang dilakukan dan tidak dilakukan ini: SSP melindungi tindakan membelanjakan. Ia tidak menggantikan kebersihan keamanan yang baik pada akun-akun di sekitar dompetmu. Jika kamu baru mengenal modelnya, siapkan dompet SSP pertamamu dan saksikan sendiri alur persetujuan dua perangkat.

Mengamankan akun-akun di sekitar dompetmu

Dompetmu bukan pulau terpencil. Akun-akun di sekelilingnya — email, login bursa, cadangan awan, pengelola kata sandi — sering kali adalah jalan terlunak menuju danamu. Penyerang yang mengambil emailmu bisa menyetel ulang separuh login lainmu dari sana.

Terapkan penjenjangan yang sama pada masing-masingnya:

  • Email: passkey atau kunci perangkat keras jika tersedia; selain itu TOTP. Jangan pernah hanya SMS. Emailmu adalah sakelar utama penyetelan ulang untuk segala hal lain.
  • Bursa: kunci perangkat keras atau passkey untuk login; jangan pernah bergantung pada SMS, dan matikan pemulihan lewat SMS jika bursa mengizinkannya.
  • Awan dan pengelola kata sandi: minimal TOTP, passkey di mana tersedia.
  • Operator seluler: tambahkan PIN pemindahan nomor atau kunci akun untuk menghambat upaya penukaran SIM.

Karena teleponmu kian menyimpan baik autentikatormu maupun SSP Key-mu, perlakukan ia sebagai batas keamanan tersendiri — kunci layar yang kuat, sistem operasi terkini, tanpa aplikasi yang dipasang di luar toko resmi. Untuk lebih lanjut tentang di mana dompet yang berpusat pada telepon unggul dan di mana tidak, lihat dompet kripto seluler: di mana mereka unggul. Dan ketika kamu siap mengeraskan semuanya dalam satu kali jalan, kerjakan daftar periksa swakelola untuk $1.000 pertamamu.

Rencana peningkatan 2FA

Kamu tidak harus melakukan semuanya sekaligus. Kerjakan dari atas ke bawah berdasarkan nilai:

  1. Inventarisasi. Daftar setiap akun yang bisa menyentuh uangmu atau menyetel ulang akun lain: email lebih dulu, lalu bursa, kemudian awan dan pengelola kata sandi.
  2. Hentikan hanya-SMS. Di mana pun SMS adalah satu-satunya faktor keduamu, tambahkan metode yang lebih kuat dan hapus SMS sebagai jalur pemulihan jika layanan mengizinkannya.
  3. Tambahkan TOTP di mana pun ia ditawarkan. Ini adalah dasarmu; ia langsung menutup lubang penukaran SIM dan SS7.
  4. Tingkatkan akun-akun teratasmu ke passkey atau kunci perangkat keras. Email dan bursa lebih dulu — itulah akun yang paling diincar halaman phishing.
  5. Kunci operator. Atur PIN pemindahan nomor agar orang asing tidak bisa memindahkan nomormu.
  6. Periksa ulang tiap kuartal. Opsi autentikasi berubah; layanan yang tahun lalu hanya SMS mungkin kini mendukung passkey.

Program "Secure Our World" dari CISA menerbitkan panduan berbahasa sederhana yang layak dibagikan kepada anggota keluarga yang kurang teknis — lihat CISA.

Lanjutkan

2FA yang kuat adalah satu lapisan. Ia melindungi pintu-pintu di sekitar dompetmu; multisig SSP melindungi pembelanjaan itu sendiri. Bersama-sama mereka menyingkirkan titik-titik kegagalan tunggal yang menjerat kebanyakan orang.

Teruslah membangun dari sini:

Bagikan artikel ini

Artikel terkait

Ilustrasi langkah demi langkah pengaturan wallet SSP di ponsel dan browser

Menyiapkan wallet SSP pertama Anda

Panduan langkah demi langkah SSP Wallet: pasang app dan ekstensi, pasangkan dua perangkat, buat wallet 2-of-2, dan kirim transaksi pertama.

6 min read
Sampul SSP Academy untuk panduan pemula tentang dompet kripto seluler dan SSP Key

Dompet kripto seluler: kelebihan, risiko, dan SSP Key

Apa yang dilakukan dengan baik oleh dompet kripto seluler — selalu di saku, buka kunci biometrik, pindai QR —, batasannya, dan peran SSP Key.

7 min read
Sampul keamanan SSP dengan ikon dompet, kunci, perisai, dan chip, yang menggambarkan panduan serangan phishing kripto.

Serangan Phishing yang Menarget Pengguna Kripto (dan Cara Mengenalinya)

Phishing kripto menargetkan Anda, bukan kriptografinya. Pelajari polanya — wallet drainer, approval phishing, address poisoning — dan bagaimana SSP membantu.

7 min read