1 poin oleh GN⁺ 2024-02-07 | 1 komentar | Bagikan ke WhatsApp
  • Serangan SIM swap bekerja dengan membuat operator seluler memindahkan nomor ponsel ke perangkat milik penyerang, lalu mencegat kode login SMS dan reset kata sandi; titik persoalan utamanya adalah pilihan perusahaan yang memasukkan jalur rapuh ini ke alur autentikasi
  • SMS dikirim sebagai teks biasa dan bukan protokol untuk keamanan, sehingga ketika dipakai untuk reset kata sandi, pemulihan akun, onboarding, dan login, keselamatan digital pengguna ikut berpindah bersama pemindahan nomor telepon
  • Berbagai layanan seperti Apple, Google, Dropbox, PayPal, Block, Chase, Wells Fargo, Robinhood, Schwab, dan Bank of America menggunakan atau pernah menggunakan SMS untuk login, pemulihan, atau 2FA, sementara penyedia cloud seperti Azure, AWS, Twilio, dan Google menawarkan layanan kode sekali pakai berbasis SMS
  • Alternatif yang lebih baik adalah reset berbasis email dan aplikasi autentikator seperti Authy dan Google Authenticator; meski SMS 2FA dipakai secara terbatas bersama opsi yang lebih kuat, SMS tidak boleh menjadi fallback untuk pemulihan akun
  • Sejak 2024, situasi ini makin diperparah oleh kompromi berkepanjangan terhadap operator besar AS seperti AT&T, T-Mobile, dan Verizon akibat serangan Salt Typhoon, sehingga asumsi bahwa SMS memberi keamanan nyata dalam alur login makin goyah

Struktur yang membuat autentikasi berbasis SMS memperburuk serangan SIM swap

  • Serangan SIM swap adalah metode di mana penyerang meminta operator memindahkan nomor ponsel korban ke ponselnya sendiri
    • Di AS, aturan portabilitas nomor demi mendorong persaingan membuat operator harus memproses perpindahan nomor dengan mudah
    • Setelah nomor dipindahkan, penyerang dapat menerima informasi login SMS atau kode reset kata sandi yang dikirim perusahaan dan mengakses akun
  • Kritik bahwa perlindungan nomor oleh operator lemah memang beralasan, tetapi banyak perusahaan juga membangun alur autentikasi mission-critical di atas mata rantai yang rapuh itu
  • Gagasan intinya adalah, “Hanya karena seseorang berhasil meyakinkan T-Mobile, AT&T, Verizon, dan lainnya untuk mem-porting nomor saya, bukan berarti keselamatan digital saya juga ikut ter-porting”

SMS tidak dirancang sebagai sarana autentikasi

  • SMS adalah pesan teks biasa yang tidak terenkripsi, dan seperti kartu pos, bisa dibaca atau disadap di tengah jalan
  • Menggunakan SMS yang bukan protokol keamanan untuk reset kata sandi, pemulihan akun, onboarding, dan login pada dasarnya tidak cocok secara struktural
  • 2FA berbasis SMS hanya dianggap sebagai skenario keamanan lemah yang “paling tidak buruk” ketika disediakan bersama opsi 2FA yang lebih kuat
    • Sasaran kritik utamanya adalah reset kata sandi berbasis SMS, onboarding pengguna, dan pemulihan akun
  • Pilihan yang lebih baik adalah reset kata sandi berbasis email dan aplikasi autentikator seperti Authy dan Google Authenticator
  • Jika SMS tetap menjadi fallback pemulihan akun, implementasi 2FA yang lebih kuat pun bisa ikut melemah

Cara perusahaan memasukkan SMS ke dalam alur autentikasi

  • Apple pada 2018 mengumumkan fitur isi otomatis passcode SMS di iPhone, yang memperkuat alur penggunaan SMS untuk reset kata sandi dan login akun
    • Ada skenario di mana SMS dapat dipakai untuk reset akun Apple
    • SMS atau panggilan telepon juga dipakai dalam verifikasi dua langkah untuk akun developer Apple
    • Implementasi 2FA native Apple dinilai melemah karena adanya fallback SMS
  • Google pada 2019 menyediakan pengisian otomatis kode sekali pakai lewat fitur SMS autofill untuk Android
  • Penyedia cloud dan bisnis infrastruktur perpesanan membentuk industri kode SMS
    • Azure, AWS, Twilio, dan Google menyediakan layanan terkait kode sekali pakai SMS
    • Mereka dikritik karena menjual teknologi yang pada dasarnya sudah rusak sebagai solusi keamanan
  • Di layanan keuangan dan pembayaran pun, reset SMS, login SMS, SMS 2FA, dan pemulihan akun via SMS dipakai luas
    • Contohnya Wells Fargo, Cash App, Robinhood, Schwab, PayPal, dan Bank of America
    • Opsi SMS ini disediakan sebagai sarana “memverifikasi bahwa ini benar-benar Anda”, tetapi strukturnya juga menguntungkan penyerang SIM swap
  • Pada layanan pesan-antar makanan, jejaring sosial, layanan penyimpanan data, dan lain-lain, SMS juga sering dipakai sebagai sarana utama reset akun
    • Seperti pada Dropbox, meski ada cara untuk menonaktifkannya, pengguna harus melakukan opt-out sendiri di tiap layanan
    • Banyak layanan bahkan tidak menyediakan opt-out

Tanggung jawab desain keamanan lebih penting daripada kenyamanan

  • Pengguna mungkin tidak memahami kerentanan reset via SMS, dan menilai hal itu seharusnya bukan tugas pengguna
  • SMS bisa terasa lebih nyaman bagi pengguna dibanding reset email atau aplikasi 2FA seperti Authy
  • Fitur isi otomatis SMS di iPhone kadang dipuji sebagai fitur iOS yang bagus, tetapi kenyamanan tidak menjamin keamanan
  • Tanggung jawab untuk menilai apakah sistem keamanan aman dan bagaimana merancangnya ada pada perusahaan teknologi
  • Jika perusahaan mengklaim mengutamakan keselamatan dan keamanan pelanggan tetapi tetap mempertahankan autentikasi berbasis SMS, pelanggan dibiarkan dalam keadaan terekspos

Peningkatan protokol dan regulasi saja tidak cukup

  • Upaya memperkuat protokol telepon seperti SHAKEN/STIR belum mencapai adopsi penuh dan penegakan ketat, sehingga sulit dijadikan alasan untuk terus mengirim kode reset kata sandi via SMS
  • Sekalipun protokol telepon yang lebih kuat diterapkan, itu tidak akan menghentikan serangan SIM swap itu sendiri
  • Inisiatif Sim Verify di UE disebut sebagai cara agar perusahaan yang bergantung pada SMS bisa memeriksa apakah SIM baru saja di-porting
  • Belum jelas apakah perubahan semacam ini akan diterapkan dalam waktu dekat di AS, dan pengalaman peluncuran SHAKEN/STIR menunjukkan perubahan bisa memakan waktu lama
  • Ada juga komentar Hacker News yang menyebut NIST per Oktober 2023 telah mengeluarkan panduan keras terhadap penggunaan SMS atau panggilan telepon untuk identifikasi pengguna

Risiko operator yang makin buruk sejak 2024

  • Pembaruan artikel merangkum bahwa operator besar AS seperti AT&T, T-Mobile, dan Verizon mengalami kompromi berbulan-bulan akibat serangan Salt Typhoon
  • Operator-operator ini mengirimkan SMS yang tidak terenkripsi untuk banyak alur login, reaktivasi akun, dan reset kata sandi
  • Jika melihat kompromi operator AS dan keberlanjutan serangan SIM swap secara bersamaan, anggapan bahwa SMS memberikan keamanan nyata di bagian mana pun dari alur login perlu ditinggalkan
  • Google disebut sebagai contoh yang mulai, dalam batas tertentu, mengakui kelemahan SMS di Gmail dan beralih darinya
  • Chase, Block/Square, Apple, dan lainnya masih menjadi contoh yang tetap bergantung pada SMS dalam sebagian proses login

Contoh kerugian pengguna dalam komentar Hacker News

  • Saat bepergian ke wilayah tanpa penerimaan SMS, pengguna bisa terkunci dari akunnya
  • Kasus bank seperti Bank of America yang mengharuskan SMS 2FA aktif agar 2FA apa pun bisa diaktifkan disebut bermasalah
  • Ada juga contoh pengguna yang terkunci dari Viber setelah mengganti nomor, atau Citibank yang meminta verifikasi SMS untuk mengubah nomor telepon akun
  • Jika operator mengenakan biaya roaming SMS, pengguna harus membayar untuk sarana keamanan yang rapuh
  • Jika saldo prabayar tidak diisi ulang hingga SIM diblokir, pengguna tidak bisa menerima SMS dan akan kesulitan mengakses layanan yang memaksakan SMS
  • Seorang komentator yang pernah bekerja di sektor perbankan UE menilai SMS tidak menjadi mapan seperti di AS karena lebih mahal, dan SMS 2FA rentan baik terhadap pelanggaran keamanan maupun penguncian pengguna

Mengapa perlu keluar dari verifikasi identitas berbasis nomor telepon

  • Di era deepfake, layanan verifikasi identitas yang kokoh menjadi makin penting
  • Layanan identitas palsu berbasis AI makin umum, dan identifikasi sidik suara yang digunakan perusahaan keuangan dan ISP juga bisa tidak lagi berguna menghadapi audio deepfake dan penyerang yang gigih
  • Perlu meninggalkan sarana verifikasi identitas seperti SMS yang tidak terenkripsi dan rentan terhadap SIM swap
  • Ransomware juga merupakan masalah besar yang dihadapi TI, dan serangan SIM swap disebut sebagai vektor penting untuk kompromi jaringan perusahaan
  • Mengurangi login berbasis SMS diajukan sebagai langkah yang dapat membantu meredakan sebagian masalah ransomware

1 komentar

 
GN⁺ 2024-02-07
Opini Hacker News
  • Sebelum sampah SMS membanjir, kode TOTP bisa diisi otomatis oleh 1Password dari perangkat apa pun, di lokasi mana pun.
    Sekarang saya harus terus mengeluarkan ponsel, dan meski tidak membutuhkan nomor itu, untuk bepergian saya harus membayar roaming internasional atau menyiapkan penerusan SMS. Wah, keamanan memang hebat
    Kalau logikanya nomor telepon selalu bisa dipulihkan ke identitas nyata, jangan paksa saya menyebarkan nomor saya ke semua perusahaan di dunia; cukup buat aplikasi autentikasi terhubung ke SMS

    • Masalahnya, dengan aplikasi autentikasi mereka tidak bisa mendapatkan identifier lintas situs/aplikasi yang relatif stabil untuk dijual demi recehan iklan
    • Kalau generator kode TOTP juga dimasukkan ke password manager, bukankah jumlah faktor autentikasi kembali berkurang menjadi satu?
    • Sulit percaya bahwa saya bisa mempertahankan nomor yang sama saat berganti operator seluler, porting nomor antar-MVNO juga tidak konsisten, dan saya juga bepergian ke luar negeri, jadi saya memakai nomor Google Voice di semua tempat
      Namun perusahaan-perusahaan bodoh menuntut nomor telepon sambil memblokir penggunaan Google Voice
    • Saya berharap ada layanan autentikasi dan identitas yang memungkinkan kita memilih sendiri tingkat kesulitan pemulihan
      Mulai dari menunjukkan identitas yang diterbitkan pemerintah, verifikasi sidik jari, sampai tes DNA cepat sungguhan, dipilih sesuai biaya, dan juga bisa menetapkan penerima manfaat akun jika meninggal atau tidak mampu bertindak
      Cara saat ini yang bergantung pada email, akun Google, atau SMS untuk verifikasi identitas paling akhir itu absurd. Ketiganya tidak aman, atau berisiko diblokir secara sewenang-wenang, atau sulit dipulihkan, atau tidak memverifikasi identitas nyata sehingga rentan terhadap spam
    • Di India, jika tidak isi ulang setiap bulan, kartu SIM berhenti berfungsi; setelah 2 bulan nomornya diblokir, dan setelah 90 hari nomornya dicabut lalu digunakan kembali
      Bantahan yang umum adalah semacam: WhatsApp akan memblokir reset password dan sebagainya jika nomor tidak digunakan selama 90 hari, jadi tidak masalah
      Setelah itu biasanya berlanjut ke: kalau begitu cukup ajukan perubahan nomor ponsel ke bank secara tertulis, jadi tidak masalah
  • Memakai SMS untuk tindakan penting pada akun itu mengerikan

    1. Ponsel bisa hilang atau dicuri
    2. Orang bisa pindah tinggal ke negara lain
    3. Ada serangan terhadap SMS
    4. Nomor telepon digunakan ulang
    5. Pengguna harus mempertahankan paket seluler berbayar
      Tolong jangan ikat akun ke nomor telepon
      Edit: saya mengubah baris pertama untuk memperjelas bahwa yang saya maksud bukan notifikasi sekali pakai dan sejenisnya
      1. Menurut definisi, kalau perangkat 2FA dicuri, ya sudah celaka. Authenticator juga tamat. SMS setidaknya memungkinkan kita menghubungi operator dan mendapatkan kembali nomor yang sama
      2. Ada roaming. Menerima SMS di luar negeri sering kali gratis
      3. Benar
      4. Benar, tetapi jika setidaknya mempertahankan data, mudah untuk menjaganya tetap aktif
      5. Benar, tetapi dengan pengaturan yang baik biayanya hampir tidak ada. Saya mempertahankan kartu SIM Eropa dan Thailand dengan biaya kurang dari 5 dolar AS per tahun, dan nomor Google Voice gratis sejak 2009
        Saya setuju lebih baik memakai Authenticator dan Passkeys, tetapi jangan sampai menyangkal kelebihan SMS juga
    • Saya melihat ponsel yang makin menjadi identitas pribadi sebagai masalah yang sangat besar
      Saya sering melihat pasangan saling memakai ponsel dan mengetahui password masing-masing, dan saya tidak tahu apakah saya bisa mempercayai seseorang sejauh itu. Saya rasa saya bahkan tidak akan memberikan password kepada ibu kandung saya, padahal beliau tidak pernah memberi saya alasan untuk tidak percaya
      Yang terburuk adalah ini bukan pilihan. Layanan-layanan tiba-tiba begitu saja mulai memakai SMS sebagai autentikasi dua faktor
      Kalau saya mengganti nomor telepon, saya tidak tahu harus bagaimana. Jika saya tidak lagi mengendalikan nomor lama sehingga tidak bisa masuk ke akun, bagaimana cara menggantinya ke nomor baru? Bagaimana jika suatu hari sebuah akun yang tidak terpikir untuk saya perbarui tiba-tiba meminta 2FA? Secara keseluruhan ini sistem yang benar-benar buruk
    • Bagus kalau penyedia internet atau perusahaan listrik membuat SMS pemberitahuan pemadaman bersifat opsional dan memperbaruinya secara berkala. Kalau bisa dihentikan dengan STOP, itu oke
      Saat saya berkemah selama 2 minggu, badai besar melewati negara bagian tempat asal saya, dan listrik padam selama 5 hari. Tanpa notifikasi SMS, saya tidak akan tahu, dan begitu pulang saya bisa langsung mengosongkan kulkas dan freezer
    • Menurut saya tidak masalah jika email selalu dikumpulkan
      Bahkan jika telepon dibajak, email masih ada
      Dari sudut pandang pengguna akhir, ada juga kemudahan penggunaan nyata. Meski masalah seperti ini menimpa 1% pengguna, bagi miliaran orang lain bisa jadi tidak ada masalah. Murah dan nyaman. Ponsel menerima pesan lalu mengisinya otomatis
      Tidak perlu berpindah aplikasi untuk memeriksa email. Selama email tidak dibajak, akun selalu bisa dipulihkan. Kalau kehilangan email memang disayangkan, tetapi hal seperti itu memang terjadi, dan karena itulah password perlu diganti berkala serta multi-factor authentication perlu diaktifkan
      Keamanan tidak akan pernah bisa 100%. Itu sia-sia. Ia harus cukup nyaman dan cukup aman agar berfungsi untuk sebanyak mungkin orang
      Hampir semua orang di luar HN tidak peduli dan tidak memahaminya. Mereka juga tidak perlu. Pakai aplikasi untuk melakukan yang perlu dilakukan, lalu lanjut
      Backend biarkan ditangani para geek
    • Saya selalu merasa seram ketika Revolut memaksa penautan nomor telepon
  • Di Argentina, pengguna Movistar pernah mengalami masalah besar terkait SMS Payoneer. Saya sempat mencoba mengunggahnya ke HN, tetapi tenggelam
    Terjemahan kasar dari tweet berbahasa Spanyol yang penuh insight [1] kira-kira seperti ini:
    “Misteri Payoneer terpecahkan.
    #PayoneerHacked

    • Penyerang membobol SMS gateway yang digunakan untuk mengirim autentikasi dua faktor kepada pelanggan Movistar. Platform-platform memakainya untuk menghemat biaya
    • Penyerang melihat pesan autentikasi dua faktor dari Payoneer yang lewat ke nomor Movistar, tetapi untuk mengubah kata sandi dan melakukan transaksi, mereka perlu mengetahui email pengguna Payoneer
    • Jadi mereka membuat situs phishing untuk mencari tahu email di balik tiap nomor telepon, dan dari sana hanya mengambil email. Dengan email + nomor telepon + autentikasi dua faktor yang diakses secara real-time dari SMS gateway yang dibobol, mereka bisa mengubah kata sandi, masuk ke akun, dan mengirim uang. Sebab mereka terus membaca autentikasi dua faktor yang tiba di ponsel Movistar
    • Karena itu para korban melihat beberapa SMS autentikasi dua faktor sungguhan datang pada malam hari, sementara akun mereka dikosongkan
    • Sekalipun pelanggan Payoneer terkena phishing, dalam kondisi normal yang bocor hanya satu autentikasi dua faktor, bukan semua yang dibutuhkan untuk login, menambahkan akun, dan mengirim uang. Syarat yang diperlukan ini menunjukkan bahwa memang ada pembobolan SMS gateway
    • Para korban kehilangan uang karena bagian terakhir dari stack keamanan mereka dibobol
      Berhati-hatilah. Facebook, Twitter, dan lainnya juga berbagi gateway yang sama untuk menghemat biaya SMS
      Saya tinggalkan tangkapan layar SMS yang tiba ke korban pada dini hari. Korban tidak mungkin membagikannya lewat phishing apa pun, dan SMS-SMS ini diperlukan untuk mengosongkan akun
      Apa pun yang Anda baca di media… buahnya banyak dan saladnya berlimpah, tetapi sausnya sedikit. Sumber aslinya ada di sini
      Terima kasih kepada semua yang membantu”
      [1] https://twitter.com/julitolopez/status/1748440685743587811
    • Bagian yang lebih gila lagi adalah Payoneer mengizinkan reset kata sandi akun hanya dengan kode reset yang dikirim lewat SMS, tanpa perlu membuktikan kepemilikan alamat email
  • Ada pernyataan bahwa “[pelanggan] merasa [reset lewat SMS] lebih praktis daripada reset lewat email”, tetapi secara pribadi saya kesal setiap kali harus login ke akun Google dengan verifikasi telepon
    Saya harus bangun dari meja untuk mencari ponsel, dan kadang ponsel ada di ruangan lain. Itu hanya supaya bisa menerima panggilan atau pesan berisi kode
    Sebagai perbandingan, TOTP jauh lebih nyaman. Karena saya menyimpan kode di KeePassXC, saya tidak perlu bangun dari meja

  • Saat kehilangan nomor telepon pun benar-benar menyebalkan
    Saya sudah bertahun-tahun tidak bisa login ke akun Google utama. Saya punya nama pengguna, kata sandi, alamat email pemulihan, dan semua email juga diteruskan ke saya, tetapi karena nomor telepon yang terhubung ke akun sudah tidak ada, saya jelas-jelas diperlakukan sebagai penyusup

    • Google benar-benar buruk dalam hal ini. Bahkan alamat email pemulihan pun tidak dipakai dengan benar
      Satu-satunya solusi adalah kembali ke rentang IP yang tampak seperti lokasi “rumah” semula dan berdoa semoga berhasil. Ada banyak hal yang ingin saya katakan kepada orang di internal Google yang menganggap tidak mengizinkan akses atau pemulihan akun sebagai hal yang baik
    • Hal yang sama terjadi saat bepergian. Saya pernah logout dari akun di luar negeri dan tidak punya akses SNS
    • Banyak orang bilang tidak apa-apa memakai nomor telepon karena metode lain bisa dipakai sebagai cadangan, tetapi saya sudah cukup sering membaca cerita seperti ini, ketika Google meminta semua informasi yang dimilikinya
    • UE akan memiliki dompet identitas digital terintegrasi. Tanda tangan elektronik berkualifikasi juga sudah ada
      Kartu identitas di negara saya memiliki chip yang memakai kriptografi kunci publik. Jika Google mengizinkan akun Google ditautkan secara permanen ke identitas negara, masalahnya akan selesai, setidaknya bagi penduduk UE
      Dengan begitu kita bisa memakai satu YubiKey tanpa khawatir kehilangannya, dan meskipun dicuri, akun tetap bisa dipulihkan
    • Saya yakin ini bug. Jika ada email pemulihan, kebutuhan verifikasi SMS seharusnya dihapus
      Namun Google tidak punya helpdesk, juga tidak ada cara untuk melaporkan bug. Malulah, Google
  • Hal yang paling saya benci adalah ketika perusahaan bersikeras bahwa nomor Google Voice saya “tidak bisa digunakan untuk autentikasi”, atau lebih terang-terangan lagi, “bukan nomor telepon/ponsel yang valid”
    Beberapa perusahaan awalnya mengizinkan saya mendaftar dengan nomor ini, lalu pada suatu titik setelah pendaftaran mereka mengubah kebijakannya. Biasanya saya baru tahu setelah terkunci dari akun
    Untungnya, kebanyakan hanya aplikasi toko atau layanan pembayaran yang bisa saya hindari ke depannya. Karena jelas mereka tidak menghargai transaksi saya. Tapi saya khawatir suatu hari bank saya melakukan hal yang sama dan mengunci saya dari akun

    • Alasan praktik menyedot nomor telepon pengguna demi keuntungan menjadi begitu luas itu sederhana
      Semua orang punya ponsel, kebanyakan jarang mengganti nomor, dan banyak orang lebih mudah memberikan nomor telepon daripada nomor jaminan sosial
      Mereka tidak peduli pada keamanan akun atau apakah itu nomor valid yang dikendalikan pengguna. Mereka hanya menginginkan nomor untuk mengidentifikasi pengguna secara unik, yang sudah ada di basis data perusahaan teknologi iklan yang membayar paling mahal untuk data pengguna
    • Dari pengalaman dengan Google Voice, saya melihat penolakan terhadap Google Voice sebagai sinyal positif yang bisa membantu orang
      Saya menulis sedikit di komentar lain pada tulisan ini tentang mengapa sebaiknya tidak memakai Google Voice: https://news.ycombinator.com/item?id=39270503
      Pengalaman saya mungkin tidak berlaku untuk semua orang, tetapi menurut saya bergantung pada Google Voice yang “gratis” tetap berisiko
    • Viber melakukan itu kepada saya. Akun Viber saya sudah ada sejak 2012, dan saya baru mengetahuinya saat mengganti ponsel
  • Sebagai sanggahan, login SMS dan pemulihan akun punya pengalaman pengguna yang baik, dan operator telekomunikasi secara keseluruhan perlu menaikkan standar

    • Sama sekali tidak, dan ini benar-benar menyebalkan untuk ditangani
      Saya sedang memakai komputer desktop; jangan kirimi saya ponsel setiap kali login hanya karena mereka tidak mau mendukung FIDO atau autentikasi dua faktor sungguhan lainnya
      Laptop saya punya pemindai sidik jari, ponsel saya punya Face ID, dan di USB saya ada YubiKey. Pakai saja itu
    • Saya menulis komentar 11 hari lalu tentang SMS sebagai faktor dua langkah, dan itu juga berlaku secara umum: https://news.ycombinator.com/item?id=39130032
      Email jelas lebih baik. Alasan utamanya adalah penyedia email berada di bawah kendali pengguna, atau seperti domain kustom milik geek seperti kita, atau entitas besar dan impersonal seperti Google. Bukan target yang mudah diubah oleh penyerang seperti penyedia nomor telepon
      Saya bekerja di penyedia identitas, dan cukup banyak orang yang meminta kami mendukung fitur ini, terutama dari sudut pandang pengalaman pengguna
      Seperti yang dikatakan di atas, penyedia nomor telepon juga harus bertanggung jawab. Jika tren mendorong nomor telepon sebagai pengenal global untuk ranah offline dan online terus berlanjut, operator harus memberlakukan lebih banyak persyaratan untuk perubahan nomor telepon
    • Mengutip dari tulisannya:
      “Selama bertahun-tahun, orang-orang di industri selalu mengatakan seperti ini. ‘Menyediakan autentikasi berbasis SMS secara keseluruhan lebih baik untuk keamanan pelanggan. Ada kekurangannya, tetapi lebih nyaman daripada metode lain, misalnya verifikasi email yang jauh lebih aman.’ Terhadap itu saya berkata, ‘Siapa Anda sampai mengambil keamanan dari pelanggan?’”
      Juga:
      “Dapat dimengerti bahwa sebagian besar kemarahan terkait serangan SIM swap diarahkan ke operator. Memang, operator menjaga keamanan nomor telepon pelanggan dengan buruk, dan mereka bisa bertanggung jawab atas cacat itu. Namun intinya begini: keamanan operator selalu buruk, bahkan sebagian memburuk karena sistem hukum, tetapi perusahaan lain tetap memilih membangun sistem misi-kritis di atas mata rantai lemah itu.”
      Juga:
      “SMS buruk dari sisi keamanan, tetapi memungkinkan pendaftaran pelanggan baru, misalnya onboarding Uber, dan reset kata sandi dilakukan hampir tanpa gesekan. Perusahaan merasa harus menandingi pesaing yang mengadopsi teknik ini.”
      Bagian terakhir ini sayangnya tertimpa saat pembaruan tulisan WordPress, dan sudah ditambahkan kembali
    • Mengirim SMS ke nomor yang sudah tidak Anda miliki lagi sungguh pengalaman pengguna yang luar biasa
    • Tidak semua orang punya atau menginginkan ponsel, dan tidak ingin menyerahkan kendali atas hidupnya kepada operator seluler
  • Saya setuju SMS adalah faktor autentikasi multifaktor yang buruk
    Namun meminta orang memasang aplikasi adalah beban yang sangat besar, sehingga SMS menyebar luas. Selain itu, orang juga tidak pernah menyimpan kode pemulihan
    Anda bisa memakai Authy dan mencadangkan kode, tetapi itu hampir masuk wilayah “untuk teknisi”
    Pada akhirnya, satu-satunya solusi realistis bagi orang biasa adalah SMS. Operator seluler harus dibuat agar SIM swap menjadi lebih sulit

    • Semua bank penerbit kartu di Eropa berhasil melakukannya
      Di sana, untungnya SMS cukup mahal sehingga bank menganggapnya tidak ekonomis untuk digunakan sebagai faktor kata sandi sekali pakai, dan terlalu tidak aman untuk dipakai sendirian dalam autentikasi pembayaran, sehingga diperlukan faktor kedua
      Akibatnya bank menyediakan cara yang lebih aman atau lebih ergonomis. Misalnya aplikasi autentikasi khusus bank yang sering kali tetap berfungsi tanpa internet atau sinyal seluler, seperti saat bepergian internasional, autentikator perangkat keras, WebAuthN, dan sebagainya
      Bukan “mari membuat SIM swap lebih sulit”, melainkan perusahaan keuangan harus menaikkan standar dan menyediakan cara yang tidak rentan terhadap pembobolan keamanan maupun pengguna yang terkunci
    • Bank saya menyuruh saya memasang Symantec VIP. Kurang bagus
      Untuk pelaporan pajak perlu MyGovID. Ini juga kurang bagus
    • Google Authenticator sekarang disinkronkan ke akun Google
    • Pengelola kata sandi bawaan iOS mendukung autentikasi dua faktor TOTP langsung di dalam sistem operasi, jadi tidak perlu aplikasi terpisah
  • Mari terapkan logika yang sama ke hal lain
    Perusahaan yang menerapkan login dengan kata sandi harus bertanggung jawab atas pencurian Post-it
    Perusahaan yang menerapkan autentikasi dua faktor lewat email harus bertanggung jawab atas pencurian akun email
    Saya tidak tahu apakah logika ini masuk akal. Saya berulang kali melihat hal seperti ini. Ada pihak yang tidak melanggar hukum dan bisa bekerja sama dengan penegakan hukum, lalu ada pelaku kriminal yang tidak mematuhi hukum menyerang pelanggan mereka. Karena kita tidak bisa menjentikkan jari dan membuat pemerintah menjadikan kejahatan pencurian dua atau tiga kali lebih ilegal, orang-orang umumnya menangkap pihak yang tidak bersalah dan mencoba membuat hidup mereka lebih sulit
    Kita perlu menarik napas dalam-dalam dan melepaskannya. Tidak ada tingkat yang tidak berbahaya dalam menghukum orang tak bersalah alih-alih orang yang bersalah
    Ini mungkin terdengar aneh dan gila, tetapi orang yang mengganti SIM-lah yang harus bertanggung jawab atas serangan SIM swap. Apa? Menyalahkan penjahat? Posisi yang berani, tapi benar

    • Perbedaan antara autentikasi dua faktor SMS dan contoh-contoh tadi adalah bahwa yang pertama secara harfiah mustahil digunakan dengan aman
      Setahu saya, tidak ada operator seluler konsumen di AS yang menerapkan perlindungan memadai untuk mencegah hal seperti SIM swap tanpa izin
      Perusahaan yang menerapkan autentikasi dua faktor SMS seharusnya mengetahui fakta ini, dan jika mereka dengan sadar menjual sistem autentikasi dua faktor yang sangat cacat kepada konsumen sebagai “lebih aman”, mereka harus bertanggung jawab saat sistem itu gagal
      Semakin cepat autentikasi dua faktor SMS mati, semakin cepat pula situs web usang yang hanya menerapkan autentikasi dua faktor SMS terpaksa menerapkan metode yang benar-benar aman
    • Saya punya pemikiran serupa saat melihat kasus 23andMe
      Mungkin mereka seharusnya bisa berbuat lebih baik, tetapi upaya untuk “menghukum” mereka terasa seperti legislasi retroaktif. Seharusnya buat regulasi baru dan hukum insiden di masa depan, bukan menghukum kasus ini
    • Operator telekomunikasi juga harus bertanggung jawab
    • Itu adalah kekeliruan straw man. Tidak menulis di Post-it adalah sesuatu yang bisa dikendalikan
      Serangan SIM swap tidak bisa dikendalikan
  • Dari sudut pandang penyedia layanan online, penggunaan SMS sepenuhnya masuk akal
    Dua tujuan berikut sangat mirip tetapi berbeda

    1. Pembuktian kepemilikan akun: apakah orang yang mencoba melakukan tindakan memiliki akun tersebut
    2. Membatasi jumlah akun yang dibuat oleh pengguna yang tidak sah
      SMS sangat efektif untuk nomor 2, karena hampir tidak ada orang yang bisa mengakses 100 nomor telepon berbeda
      Memiliki nomor ponsel biasanya melibatkan proses pribadi yang membutuhkan hal seperti alamat, paspor, atau nomor jaminan sosial. Ada prosedur yang harus dilewati
      Alasan perusahaan bergantung pada SMS adalah karena mereka bisa mengalihdayakan prosedur kenali pelanggan ke operator telekomunikasi. Mereka tidak menggunakannya karena itu solusi paling optimal atau paling aman untuk membuktikan kepemilikan akun
      Orang-orang yang terus mengeluh jelas belum pernah membuat keputusan autentikasi semacam ini di perusahaan yang terkait regulasi atau layanan keuangan
    • Poin itu sepenuhnya terpisah dari pengambilalihan akun
      Perusahaan bisa saja mewajibkan nomor telepon untuk pembuatan akun, tetapi tidak mengizinkan akun diambil alih hanya dengan SMS yang dikirim ke nomor tersebut
    • Memahami persis mengapa perusahaan melakukan itu bukan berarti kita harus senang, bukan?
      Dengan logika yang sama, perusahaan bisa membenarkan pelacakan pengguna dan penjualan data pribadi. Karena itu menghasilkan uang, dan menghasilkan uang adalah bagian penting dari menjalankan bisnis
    • Berlawanan dengan pernyataan “hampir tidak ada orang yang bisa mengakses 100 nomor telepon berbeda”, penyedia autentikasi SMS bertebaran
      Dengan membayar jumlah yang sangat kecil seperti 50 sen per autentikasi, seseorang bisa memakai puluhan atau ratusan nomor telepon. Itu tidak akan menghentikan siapa pun yang punya sedikit saja niat