Perusahaan yang menerapkan verifikasi SMS untuk login akun menghadapi sorotan soal tanggung jawab atas serangan SIM swap
(keydiscussions.com)- Serangan SIM swap bekerja dengan membuat operator seluler memindahkan nomor ponsel ke perangkat milik penyerang, lalu mencegat kode login SMS dan reset kata sandi; titik persoalan utamanya adalah pilihan perusahaan yang memasukkan jalur rapuh ini ke alur autentikasi
- SMS dikirim sebagai teks biasa dan bukan protokol untuk keamanan, sehingga ketika dipakai untuk reset kata sandi, pemulihan akun, onboarding, dan login, keselamatan digital pengguna ikut berpindah bersama pemindahan nomor telepon
- Berbagai layanan seperti Apple, Google, Dropbox, PayPal, Block, Chase, Wells Fargo, Robinhood, Schwab, dan Bank of America menggunakan atau pernah menggunakan SMS untuk login, pemulihan, atau 2FA, sementara penyedia cloud seperti Azure, AWS, Twilio, dan Google menawarkan layanan kode sekali pakai berbasis SMS
- Alternatif yang lebih baik adalah reset berbasis email dan aplikasi autentikator seperti Authy dan Google Authenticator; meski SMS 2FA dipakai secara terbatas bersama opsi yang lebih kuat, SMS tidak boleh menjadi fallback untuk pemulihan akun
- Sejak 2024, situasi ini makin diperparah oleh kompromi berkepanjangan terhadap operator besar AS seperti AT&T, T-Mobile, dan Verizon akibat serangan Salt Typhoon, sehingga asumsi bahwa SMS memberi keamanan nyata dalam alur login makin goyah
Struktur yang membuat autentikasi berbasis SMS memperburuk serangan SIM swap
- Serangan SIM swap adalah metode di mana penyerang meminta operator memindahkan nomor ponsel korban ke ponselnya sendiri
- Di AS, aturan portabilitas nomor demi mendorong persaingan membuat operator harus memproses perpindahan nomor dengan mudah
- Setelah nomor dipindahkan, penyerang dapat menerima informasi login SMS atau kode reset kata sandi yang dikirim perusahaan dan mengakses akun
- Kritik bahwa perlindungan nomor oleh operator lemah memang beralasan, tetapi banyak perusahaan juga membangun alur autentikasi mission-critical di atas mata rantai yang rapuh itu
- Gagasan intinya adalah, “Hanya karena seseorang berhasil meyakinkan T-Mobile, AT&T, Verizon, dan lainnya untuk mem-porting nomor saya, bukan berarti keselamatan digital saya juga ikut ter-porting”
SMS tidak dirancang sebagai sarana autentikasi
- SMS adalah pesan teks biasa yang tidak terenkripsi, dan seperti kartu pos, bisa dibaca atau disadap di tengah jalan
- Menggunakan SMS yang bukan protokol keamanan untuk reset kata sandi, pemulihan akun, onboarding, dan login pada dasarnya tidak cocok secara struktural
- 2FA berbasis SMS hanya dianggap sebagai skenario keamanan lemah yang “paling tidak buruk” ketika disediakan bersama opsi 2FA yang lebih kuat
- Sasaran kritik utamanya adalah reset kata sandi berbasis SMS, onboarding pengguna, dan pemulihan akun
- Pilihan yang lebih baik adalah reset kata sandi berbasis email dan aplikasi autentikator seperti Authy dan Google Authenticator
- Jika SMS tetap menjadi fallback pemulihan akun, implementasi 2FA yang lebih kuat pun bisa ikut melemah
Cara perusahaan memasukkan SMS ke dalam alur autentikasi
- Apple pada 2018 mengumumkan fitur isi otomatis passcode SMS di iPhone, yang memperkuat alur penggunaan SMS untuk reset kata sandi dan login akun
- Ada skenario di mana SMS dapat dipakai untuk reset akun Apple
- SMS atau panggilan telepon juga dipakai dalam verifikasi dua langkah untuk akun developer Apple
- Implementasi 2FA native Apple dinilai melemah karena adanya fallback SMS
- Google pada 2019 menyediakan pengisian otomatis kode sekali pakai lewat fitur SMS autofill untuk Android
- Penyedia cloud dan bisnis infrastruktur perpesanan membentuk industri kode SMS
- Di layanan keuangan dan pembayaran pun, reset SMS, login SMS, SMS 2FA, dan pemulihan akun via SMS dipakai luas
- Contohnya Wells Fargo, Cash App, Robinhood, Schwab, PayPal, dan Bank of America
- Opsi SMS ini disediakan sebagai sarana “memverifikasi bahwa ini benar-benar Anda”, tetapi strukturnya juga menguntungkan penyerang SIM swap
- Pada layanan pesan-antar makanan, jejaring sosial, layanan penyimpanan data, dan lain-lain, SMS juga sering dipakai sebagai sarana utama reset akun
- Seperti pada Dropbox, meski ada cara untuk menonaktifkannya, pengguna harus melakukan opt-out sendiri di tiap layanan
- Banyak layanan bahkan tidak menyediakan opt-out
Tanggung jawab desain keamanan lebih penting daripada kenyamanan
- Pengguna mungkin tidak memahami kerentanan reset via SMS, dan menilai hal itu seharusnya bukan tugas pengguna
- SMS bisa terasa lebih nyaman bagi pengguna dibanding reset email atau aplikasi 2FA seperti Authy
- Fitur isi otomatis SMS di iPhone kadang dipuji sebagai fitur iOS yang bagus, tetapi kenyamanan tidak menjamin keamanan
- Tanggung jawab untuk menilai apakah sistem keamanan aman dan bagaimana merancangnya ada pada perusahaan teknologi
- Jika perusahaan mengklaim mengutamakan keselamatan dan keamanan pelanggan tetapi tetap mempertahankan autentikasi berbasis SMS, pelanggan dibiarkan dalam keadaan terekspos
Peningkatan protokol dan regulasi saja tidak cukup
- Upaya memperkuat protokol telepon seperti SHAKEN/STIR belum mencapai adopsi penuh dan penegakan ketat, sehingga sulit dijadikan alasan untuk terus mengirim kode reset kata sandi via SMS
- Sekalipun protokol telepon yang lebih kuat diterapkan, itu tidak akan menghentikan serangan SIM swap itu sendiri
- Inisiatif Sim Verify di UE disebut sebagai cara agar perusahaan yang bergantung pada SMS bisa memeriksa apakah SIM baru saja di-porting
- Belum jelas apakah perubahan semacam ini akan diterapkan dalam waktu dekat di AS, dan pengalaman peluncuran SHAKEN/STIR menunjukkan perubahan bisa memakan waktu lama
- Ada juga komentar Hacker News yang menyebut NIST per Oktober 2023 telah mengeluarkan panduan keras terhadap penggunaan SMS atau panggilan telepon untuk identifikasi pengguna
Risiko operator yang makin buruk sejak 2024
- Pembaruan artikel merangkum bahwa operator besar AS seperti AT&T, T-Mobile, dan Verizon mengalami kompromi berbulan-bulan akibat serangan Salt Typhoon
- Operator-operator ini mengirimkan SMS yang tidak terenkripsi untuk banyak alur login, reaktivasi akun, dan reset kata sandi
- Jika melihat kompromi operator AS dan keberlanjutan serangan SIM swap secara bersamaan, anggapan bahwa SMS memberikan keamanan nyata di bagian mana pun dari alur login perlu ditinggalkan
- Google disebut sebagai contoh yang mulai, dalam batas tertentu, mengakui kelemahan SMS di Gmail dan beralih darinya
- Chase, Block/Square, Apple, dan lainnya masih menjadi contoh yang tetap bergantung pada SMS dalam sebagian proses login
Contoh kerugian pengguna dalam komentar Hacker News
- Saat bepergian ke wilayah tanpa penerimaan SMS, pengguna bisa terkunci dari akunnya
- Kasus bank seperti Bank of America yang mengharuskan SMS 2FA aktif agar 2FA apa pun bisa diaktifkan disebut bermasalah
- Ada juga contoh pengguna yang terkunci dari Viber setelah mengganti nomor, atau Citibank yang meminta verifikasi SMS untuk mengubah nomor telepon akun
- Jika operator mengenakan biaya roaming SMS, pengguna harus membayar untuk sarana keamanan yang rapuh
- Jika saldo prabayar tidak diisi ulang hingga SIM diblokir, pengguna tidak bisa menerima SMS dan akan kesulitan mengakses layanan yang memaksakan SMS
- Seorang komentator yang pernah bekerja di sektor perbankan UE menilai SMS tidak menjadi mapan seperti di AS karena lebih mahal, dan SMS 2FA rentan baik terhadap pelanggaran keamanan maupun penguncian pengguna
Mengapa perlu keluar dari verifikasi identitas berbasis nomor telepon
- Di era deepfake, layanan verifikasi identitas yang kokoh menjadi makin penting
- Layanan identitas palsu berbasis AI makin umum, dan identifikasi sidik suara yang digunakan perusahaan keuangan dan ISP juga bisa tidak lagi berguna menghadapi audio deepfake dan penyerang yang gigih
- Perlu meninggalkan sarana verifikasi identitas seperti SMS yang tidak terenkripsi dan rentan terhadap SIM swap
- Ransomware juga merupakan masalah besar yang dihadapi TI, dan serangan SIM swap disebut sebagai vektor penting untuk kompromi jaringan perusahaan
- Mengurangi login berbasis SMS diajukan sebagai langkah yang dapat membantu meredakan sebagian masalah ransomware
1 komentar
Opini Hacker News
Sebelum sampah SMS membanjir, kode TOTP bisa diisi otomatis oleh 1Password dari perangkat apa pun, di lokasi mana pun.
Sekarang saya harus terus mengeluarkan ponsel, dan meski tidak membutuhkan nomor itu, untuk bepergian saya harus membayar roaming internasional atau menyiapkan penerusan SMS. Wah, keamanan memang hebat
Kalau logikanya nomor telepon selalu bisa dipulihkan ke identitas nyata, jangan paksa saya menyebarkan nomor saya ke semua perusahaan di dunia; cukup buat aplikasi autentikasi terhubung ke SMS
Namun perusahaan-perusahaan bodoh menuntut nomor telepon sambil memblokir penggunaan Google Voice
Mulai dari menunjukkan identitas yang diterbitkan pemerintah, verifikasi sidik jari, sampai tes DNA cepat sungguhan, dipilih sesuai biaya, dan juga bisa menetapkan penerima manfaat akun jika meninggal atau tidak mampu bertindak
Cara saat ini yang bergantung pada email, akun Google, atau SMS untuk verifikasi identitas paling akhir itu absurd. Ketiganya tidak aman, atau berisiko diblokir secara sewenang-wenang, atau sulit dipulihkan, atau tidak memverifikasi identitas nyata sehingga rentan terhadap spam
Bantahan yang umum adalah semacam: WhatsApp akan memblokir reset password dan sebagainya jika nomor tidak digunakan selama 90 hari, jadi tidak masalah
Setelah itu biasanya berlanjut ke: kalau begitu cukup ajukan perubahan nomor ponsel ke bank secara tertulis, jadi tidak masalah
Memakai SMS untuk tindakan penting pada akun itu mengerikan
Tolong jangan ikat akun ke nomor telepon
Edit: saya mengubah baris pertama untuk memperjelas bahwa yang saya maksud bukan notifikasi sekali pakai dan sejenisnya
Saya setuju lebih baik memakai Authenticator dan Passkeys, tetapi jangan sampai menyangkal kelebihan SMS juga
Saya sering melihat pasangan saling memakai ponsel dan mengetahui password masing-masing, dan saya tidak tahu apakah saya bisa mempercayai seseorang sejauh itu. Saya rasa saya bahkan tidak akan memberikan password kepada ibu kandung saya, padahal beliau tidak pernah memberi saya alasan untuk tidak percaya
Yang terburuk adalah ini bukan pilihan. Layanan-layanan tiba-tiba begitu saja mulai memakai SMS sebagai autentikasi dua faktor
Kalau saya mengganti nomor telepon, saya tidak tahu harus bagaimana. Jika saya tidak lagi mengendalikan nomor lama sehingga tidak bisa masuk ke akun, bagaimana cara menggantinya ke nomor baru? Bagaimana jika suatu hari sebuah akun yang tidak terpikir untuk saya perbarui tiba-tiba meminta 2FA? Secara keseluruhan ini sistem yang benar-benar buruk
STOP, itu okeSaat saya berkemah selama 2 minggu, badai besar melewati negara bagian tempat asal saya, dan listrik padam selama 5 hari. Tanpa notifikasi SMS, saya tidak akan tahu, dan begitu pulang saya bisa langsung mengosongkan kulkas dan freezer
Bahkan jika telepon dibajak, email masih ada
Dari sudut pandang pengguna akhir, ada juga kemudahan penggunaan nyata. Meski masalah seperti ini menimpa 1% pengguna, bagi miliaran orang lain bisa jadi tidak ada masalah. Murah dan nyaman. Ponsel menerima pesan lalu mengisinya otomatis
Tidak perlu berpindah aplikasi untuk memeriksa email. Selama email tidak dibajak, akun selalu bisa dipulihkan. Kalau kehilangan email memang disayangkan, tetapi hal seperti itu memang terjadi, dan karena itulah password perlu diganti berkala serta multi-factor authentication perlu diaktifkan
Keamanan tidak akan pernah bisa 100%. Itu sia-sia. Ia harus cukup nyaman dan cukup aman agar berfungsi untuk sebanyak mungkin orang
Hampir semua orang di luar HN tidak peduli dan tidak memahaminya. Mereka juga tidak perlu. Pakai aplikasi untuk melakukan yang perlu dilakukan, lalu lanjut
Backend biarkan ditangani para geek
Di Argentina, pengguna Movistar pernah mengalami masalah besar terkait SMS Payoneer. Saya sempat mencoba mengunggahnya ke HN, tetapi tenggelam
Terjemahan kasar dari tweet berbahasa Spanyol yang penuh insight [1] kira-kira seperti ini:
“Misteri Payoneer terpecahkan.
#PayoneerHacked
Berhati-hatilah. Facebook, Twitter, dan lainnya juga berbagi gateway yang sama untuk menghemat biaya SMS
Saya tinggalkan tangkapan layar SMS yang tiba ke korban pada dini hari. Korban tidak mungkin membagikannya lewat phishing apa pun, dan SMS-SMS ini diperlukan untuk mengosongkan akun
Apa pun yang Anda baca di media… buahnya banyak dan saladnya berlimpah, tetapi sausnya sedikit. Sumber aslinya ada di sini
Terima kasih kepada semua yang membantu”
[1] https://twitter.com/julitolopez/status/1748440685743587811
Ada pernyataan bahwa “[pelanggan] merasa [reset lewat SMS] lebih praktis daripada reset lewat email”, tetapi secara pribadi saya kesal setiap kali harus login ke akun Google dengan verifikasi telepon
Saya harus bangun dari meja untuk mencari ponsel, dan kadang ponsel ada di ruangan lain. Itu hanya supaya bisa menerima panggilan atau pesan berisi kode
Sebagai perbandingan, TOTP jauh lebih nyaman. Karena saya menyimpan kode di KeePassXC, saya tidak perlu bangun dari meja
Google menyebut opsi ini “Dapatkan kode verifikasi dari aplikasi Google Authenticator”, meskipun Anda belum pernah memakai Authenticator
https://www.google.com/account/about/passkeys/
https://blog.google/technology/safety-security/passkeys-defa...
Situs yang mendukung passkeys: https://passkeys.directory/
Saat kehilangan nomor telepon pun benar-benar menyebalkan
Saya sudah bertahun-tahun tidak bisa login ke akun Google utama. Saya punya nama pengguna, kata sandi, alamat email pemulihan, dan semua email juga diteruskan ke saya, tetapi karena nomor telepon yang terhubung ke akun sudah tidak ada, saya jelas-jelas diperlakukan sebagai penyusup
Satu-satunya solusi adalah kembali ke rentang IP yang tampak seperti lokasi “rumah” semula dan berdoa semoga berhasil. Ada banyak hal yang ingin saya katakan kepada orang di internal Google yang menganggap tidak mengizinkan akses atau pemulihan akun sebagai hal yang baik
Kartu identitas di negara saya memiliki chip yang memakai kriptografi kunci publik. Jika Google mengizinkan akun Google ditautkan secara permanen ke identitas negara, masalahnya akan selesai, setidaknya bagi penduduk UE
Dengan begitu kita bisa memakai satu YubiKey tanpa khawatir kehilangannya, dan meskipun dicuri, akun tetap bisa dipulihkan
Namun Google tidak punya helpdesk, juga tidak ada cara untuk melaporkan bug. Malulah, Google
Hal yang paling saya benci adalah ketika perusahaan bersikeras bahwa nomor Google Voice saya “tidak bisa digunakan untuk autentikasi”, atau lebih terang-terangan lagi, “bukan nomor telepon/ponsel yang valid”
Beberapa perusahaan awalnya mengizinkan saya mendaftar dengan nomor ini, lalu pada suatu titik setelah pendaftaran mereka mengubah kebijakannya. Biasanya saya baru tahu setelah terkunci dari akun
Untungnya, kebanyakan hanya aplikasi toko atau layanan pembayaran yang bisa saya hindari ke depannya. Karena jelas mereka tidak menghargai transaksi saya. Tapi saya khawatir suatu hari bank saya melakukan hal yang sama dan mengunci saya dari akun
Semua orang punya ponsel, kebanyakan jarang mengganti nomor, dan banyak orang lebih mudah memberikan nomor telepon daripada nomor jaminan sosial
Mereka tidak peduli pada keamanan akun atau apakah itu nomor valid yang dikendalikan pengguna. Mereka hanya menginginkan nomor untuk mengidentifikasi pengguna secara unik, yang sudah ada di basis data perusahaan teknologi iklan yang membayar paling mahal untuk data pengguna
Saya menulis sedikit di komentar lain pada tulisan ini tentang mengapa sebaiknya tidak memakai Google Voice: https://news.ycombinator.com/item?id=39270503
Pengalaman saya mungkin tidak berlaku untuk semua orang, tetapi menurut saya bergantung pada Google Voice yang “gratis” tetap berisiko
Sebagai sanggahan, login SMS dan pemulihan akun punya pengalaman pengguna yang baik, dan operator telekomunikasi secara keseluruhan perlu menaikkan standar
Saya sedang memakai komputer desktop; jangan kirimi saya ponsel setiap kali login hanya karena mereka tidak mau mendukung FIDO atau autentikasi dua faktor sungguhan lainnya
Laptop saya punya pemindai sidik jari, ponsel saya punya Face ID, dan di USB saya ada YubiKey. Pakai saja itu
Email jelas lebih baik. Alasan utamanya adalah penyedia email berada di bawah kendali pengguna, atau seperti domain kustom milik geek seperti kita, atau entitas besar dan impersonal seperti Google. Bukan target yang mudah diubah oleh penyerang seperti penyedia nomor telepon
Saya bekerja di penyedia identitas, dan cukup banyak orang yang meminta kami mendukung fitur ini, terutama dari sudut pandang pengalaman pengguna
Seperti yang dikatakan di atas, penyedia nomor telepon juga harus bertanggung jawab. Jika tren mendorong nomor telepon sebagai pengenal global untuk ranah offline dan online terus berlanjut, operator harus memberlakukan lebih banyak persyaratan untuk perubahan nomor telepon
“Selama bertahun-tahun, orang-orang di industri selalu mengatakan seperti ini. ‘Menyediakan autentikasi berbasis SMS secara keseluruhan lebih baik untuk keamanan pelanggan. Ada kekurangannya, tetapi lebih nyaman daripada metode lain, misalnya verifikasi email yang jauh lebih aman.’ Terhadap itu saya berkata, ‘Siapa Anda sampai mengambil keamanan dari pelanggan?’”
Juga:
“Dapat dimengerti bahwa sebagian besar kemarahan terkait serangan SIM swap diarahkan ke operator. Memang, operator menjaga keamanan nomor telepon pelanggan dengan buruk, dan mereka bisa bertanggung jawab atas cacat itu. Namun intinya begini: keamanan operator selalu buruk, bahkan sebagian memburuk karena sistem hukum, tetapi perusahaan lain tetap memilih membangun sistem misi-kritis di atas mata rantai lemah itu.”
Juga:
“SMS buruk dari sisi keamanan, tetapi memungkinkan pendaftaran pelanggan baru, misalnya onboarding Uber, dan reset kata sandi dilakukan hampir tanpa gesekan. Perusahaan merasa harus menandingi pesaing yang mengadopsi teknik ini.”
Bagian terakhir ini sayangnya tertimpa saat pembaruan tulisan WordPress, dan sudah ditambahkan kembali
Saya setuju SMS adalah faktor autentikasi multifaktor yang buruk
Namun meminta orang memasang aplikasi adalah beban yang sangat besar, sehingga SMS menyebar luas. Selain itu, orang juga tidak pernah menyimpan kode pemulihan
Anda bisa memakai Authy dan mencadangkan kode, tetapi itu hampir masuk wilayah “untuk teknisi”
Pada akhirnya, satu-satunya solusi realistis bagi orang biasa adalah SMS. Operator seluler harus dibuat agar SIM swap menjadi lebih sulit
Di sana, untungnya SMS cukup mahal sehingga bank menganggapnya tidak ekonomis untuk digunakan sebagai faktor kata sandi sekali pakai, dan terlalu tidak aman untuk dipakai sendirian dalam autentikasi pembayaran, sehingga diperlukan faktor kedua
Akibatnya bank menyediakan cara yang lebih aman atau lebih ergonomis. Misalnya aplikasi autentikasi khusus bank yang sering kali tetap berfungsi tanpa internet atau sinyal seluler, seperti saat bepergian internasional, autentikator perangkat keras, WebAuthN, dan sebagainya
Bukan “mari membuat SIM swap lebih sulit”, melainkan perusahaan keuangan harus menaikkan standar dan menyediakan cara yang tidak rentan terhadap pembobolan keamanan maupun pengguna yang terkunci
Untuk pelaporan pajak perlu MyGovID. Ini juga kurang bagus
Mari terapkan logika yang sama ke hal lain
Perusahaan yang menerapkan login dengan kata sandi harus bertanggung jawab atas pencurian Post-it
Perusahaan yang menerapkan autentikasi dua faktor lewat email harus bertanggung jawab atas pencurian akun email
Saya tidak tahu apakah logika ini masuk akal. Saya berulang kali melihat hal seperti ini. Ada pihak yang tidak melanggar hukum dan bisa bekerja sama dengan penegakan hukum, lalu ada pelaku kriminal yang tidak mematuhi hukum menyerang pelanggan mereka. Karena kita tidak bisa menjentikkan jari dan membuat pemerintah menjadikan kejahatan pencurian dua atau tiga kali lebih ilegal, orang-orang umumnya menangkap pihak yang tidak bersalah dan mencoba membuat hidup mereka lebih sulit
Kita perlu menarik napas dalam-dalam dan melepaskannya. Tidak ada tingkat yang tidak berbahaya dalam menghukum orang tak bersalah alih-alih orang yang bersalah
Ini mungkin terdengar aneh dan gila, tetapi orang yang mengganti SIM-lah yang harus bertanggung jawab atas serangan SIM swap. Apa? Menyalahkan penjahat? Posisi yang berani, tapi benar
Setahu saya, tidak ada operator seluler konsumen di AS yang menerapkan perlindungan memadai untuk mencegah hal seperti SIM swap tanpa izin
Perusahaan yang menerapkan autentikasi dua faktor SMS seharusnya mengetahui fakta ini, dan jika mereka dengan sadar menjual sistem autentikasi dua faktor yang sangat cacat kepada konsumen sebagai “lebih aman”, mereka harus bertanggung jawab saat sistem itu gagal
Semakin cepat autentikasi dua faktor SMS mati, semakin cepat pula situs web usang yang hanya menerapkan autentikasi dua faktor SMS terpaksa menerapkan metode yang benar-benar aman
Mungkin mereka seharusnya bisa berbuat lebih baik, tetapi upaya untuk “menghukum” mereka terasa seperti legislasi retroaktif. Seharusnya buat regulasi baru dan hukum insiden di masa depan, bukan menghukum kasus ini
Serangan SIM swap tidak bisa dikendalikan
Dari sudut pandang penyedia layanan online, penggunaan SMS sepenuhnya masuk akal
Dua tujuan berikut sangat mirip tetapi berbeda
SMS sangat efektif untuk nomor 2, karena hampir tidak ada orang yang bisa mengakses 100 nomor telepon berbeda
Memiliki nomor ponsel biasanya melibatkan proses pribadi yang membutuhkan hal seperti alamat, paspor, atau nomor jaminan sosial. Ada prosedur yang harus dilewati
Alasan perusahaan bergantung pada SMS adalah karena mereka bisa mengalihdayakan prosedur kenali pelanggan ke operator telekomunikasi. Mereka tidak menggunakannya karena itu solusi paling optimal atau paling aman untuk membuktikan kepemilikan akun
Orang-orang yang terus mengeluh jelas belum pernah membuat keputusan autentikasi semacam ini di perusahaan yang terkait regulasi atau layanan keuangan
Perusahaan bisa saja mewajibkan nomor telepon untuk pembuatan akun, tetapi tidak mengizinkan akun diambil alih hanya dengan SMS yang dikirim ke nomor tersebut
Dengan logika yang sama, perusahaan bisa membenarkan pelacakan pengguna dan penjualan data pribadi. Karena itu menghasilkan uang, dan menghasilkan uang adalah bagian penting dari menjalankan bisnis
Dengan membayar jumlah yang sangat kecil seperti 50 sen per autentikasi, seseorang bisa memakai puluhan atau ratusan nomor telepon. Itu tidak akan menghentikan siapa pun yang punya sedikit saja niat