SMS 2FA bukan hanya tidak aman, tetapi juga merugikan orang yang tinggal di pegunungan

 (blog.stillgreenmoss.net)
1 poin oleh GN⁺ 2025-05-15 | 1 komentar | Bagikan ke WhatsApp
  • 2FA berbasis SMS bukan hanya tidak aman, tetapi juga menimbulkan ketidaknyamanan besar bagi warga daerah pegunungan
  • Di daerah pegunungan dengan sinyal seluler lemah, sulit menerima kode verifikasi yang dikirim lewat SMS
  • Panggilan Wi‑Fi atau sekadar memakai smartphone saja tidak cukup untuk menyelesaikan masalah 2FA
  • Metode TOTP (kata sandi sekali pakai berbasis waktu) bisa menjadi alternatif, tetapi akses untuk pengaturan awal tidaklah mudah
  • Penjelasan tentang situasi tidak masuk akal yang dialami jutaan warga pegunungan saat proses login ke situs web

Gambaran situasi masalah

  • Teman penulis adalah perempuan berusia 70-an yang tinggal di daerah pegunungan North Carolina
  • Ia tidak menyukai komputer, tetapi menggunakan smartphone dan ikut grup chat Signal untuk berkomunikasi dengan komunitas
  • Ia telah lama menggunakan telepon rumah kabel, yang cocok dengan alat bantu dengarnya
  • Spectrum memonopoli layanan telekomunikasi di wilayah itu, dan ia menggunakan telepon rumah serta internet kabel melalui Spectrum

Munculnya masalah layanan seluler dan SMS 2FA

  • Beberapa tahun lalu ia berlangganan layanan seluler Spectrum Mobile, yang menggunakan jaringan Verizon
  • Di rumah hampir tidak ada sinyal seluler. Lokasinya hanya sekitar 20 menit berkendara dari pusat kota dan ada banyak tetangga
  • Semua akun pentingnya (email, bank, asuransi kesehatan, dll.) mencoba mengirim kode 2FA lewat SMS
  • Kode SMS tidak datang. Di rumah layanan seluler tidak memadai, dan meskipun panggilan Wi‑Fi diaktifkan, SMS keamanan dari short code (5 digit) tetap tidak sampai
  • Ia memakai iPhone terbaru dan perangkat resmi yang disediakan, serta sudah terbiasa menggunakannya

Mencari alternatif dan batasannya

  • Sebagian telepon rumah dari ISP memiliki fitur membacakan SMS dengan suara komputer, tetapi Spectrum tidak memilikinya
  • Beberapa situs memungkinkan beralih ke 2FA TOTP, tetapi akses diperlukan pada saat login awal
  • Prosedur merepotkan yang harus dilakukan untuk menyelesaikannya:
    • Membuat daftar situs yang login-nya gagal
    • Pergi ke kota untuk bertemu temannya demi menyelesaikan masalah
    • Mencoba satu per satu beralih ke TOTP atau metode lain, tetapi sebagian tidak mendukungnya
    • Mencoba menghubungi layanan pelanggan, tetapi sulit atau tidak mungkin dihubungi

Alternatif yang pada praktiknya tidak realistis

  • Memindahkan nomor ke VOIP untuk mencari kemungkinan menerima SMS short code
  • Mengeluarkan ratusan dolar untuk memasang penguat sinyal seluler
  • Bahkan mempertimbangkan pindah tempat tinggal
  • Menunjukkan ketidakmasukakalan bahwa semua proses ini diperlukan hanya untuk satu login

Masalah keandalan peta cakupan seluler

  • Pada peta cakupan Spectrum, rumah dan sekitarnya ditandai memiliki layanan sempurna
  • Kenyataannya, di rumah tidak ada layanan, dan bahkan berpindah 100 meter pun sinyal hilang

Keluhan umum banyak orang yang tinggal di daerah pegunungan

  • Seorang teman dari generasi milenial juga menyebut bahwa SMS 2FA adalah penderitaan hidup
  • Bahkan di tempat yang bukan lembah terpencil pun, tetap ada masalah akibat SMS 2FA

Keterbatasan dan kesulitan metode TOTP

  • TOTP juga tidak sempurna
    • Perlu memasang aplikasi terpisah
    • Proses memilih aplikasi yang harus dipakai rumit dan penuh penjelasan teknis

Ringkasan dan skala masalah

  • Alasan SMS 2FA dipakai luas adalah UX-nya yang intuitif dan tingkat keandalannya yang dianggap cukup
  • Namun, 1,1 juta orang di pegunungan North Carolina dan 25 juta orang di seluruh Appalachia, serta jutaan lainnya, hidup dalam kondisi yang buruk ini
  • Mereka punya internet, tetapi sinyal ponsel sangat buruk
  • Bagi penduduk wilayah-wilayah ini, masih sangat kurang alternatif yang masuk akal maupun perhatian terhadap kondisi mereka

Bacaan terkait

1 komentar

 
GN⁺ 2025-05-15
Komentar Hacker News

  • Menarik bahwa salah satu opsi lain yang bisa dia pilih adalah mem-porting nomor ponselnya ke penyedia VOIP yang bisa menerima SMS lewat Wi-Fi, tetapi ternyata beberapa perusahaan tidak mengirim kode SMS-OTP ke nomor VOIP dengan alasan seCuRiTy atau mewajibkan nomor tersebut terdaftar atas namanya; menurut saya pembatasan seperti ini seharusnya ilegal, nomor ya tetap nomor, Wi-Fi calling bisa diaktifkan sehingga SMS dari teman atau keluarga tetap masuk tetapi kode 2FA tetap tidak diterima, saya kira SMS over IMS diimplementasikan secara transparan bagi pengirim eksternal, tetapi mengingat betapa rapuhnya protokol SMS itu sendiri, ini tidak terlalu mengejutkan

    • Saya rasa saya bisa menjelaskan cara kerja sistem SMS. Sistem ini pada dasarnya hanya mengirim pesan secara “buta”. Jika penerima sedang offline atau tidak ada sinyal, operator akan menyimpan pesan itu selama sekitar 3~7 hari. Sistem OTP melakukan pemeriksaan keterjangkauan lewat API seperti Vonage, Twilio, dan semacamnya, tetapi pemeriksaan ini tidak sempurna. Kalau ada sesuatu yang terlihat aneh, pesan tidak akan dikirim. Cara ini dipakai untuk menghemat biaya pengiriman pesan. Menurut saya tidak masuk akal jika ini juga diterapkan pada nomor yang sudah terverifikasi.

    • Dari sudut pandang Eropa, berdasarkan arahan keuangan PSD2, hanya nomor yang sudah melalui KYC yang boleh dipakai untuk SMS 2FA. Pada akhirnya 2FA berfungsi sebagai tanda tangan elektronik untuk membuktikan “sesuatu yang Anda miliki”, dan sesuatu itu adalah nomor telepon yang sudah diverifikasi identitasnya. Ditekankan bahwa SMS adalah satu-satunya metode 2FA yang bisa diterapkan dengan mudah untuk semua populasi, wilayah, dan perangkat.

    • Menurut saya benar-benar tidak masuk akal bahwa perusahaan-perusahaan yang sama hanya mengizinkan SMS sebagai 2FA tetapi tidak mau mengirimkannya ke VOIP. Mungkin karena semua perusahaan memakai layanan tertentu untuk pengiriman SMS dan layanan itu memblokir VOIP. Hampir semua bank mewajibkan SMS 2FA, sementara tempat lain justru mendukung aplikasi; itu terasa sangat aneh.

    • Baru pada 2025 nomor telepon menjadi cara yang lumayan bisa dipakai untuk menangani masalah Sybil (satu orang membuat banyak akun). Tanpa prosedur KYC yang sesungguhnya pun, ini masih bisa memberikan tingkat verifikasi identitas tertentu.

    • Saya pernah memakai Wi-Fi calling khusus untuk menerima SMS 2FA, memakai kombinasi RedPocket (MVNO) dan T-Mobile tanpa masalah sama sekali. Di wilayah itu memang tidak ada sinyal langsung T-Mobile, jadi SMS hanya bisa masuk lewat Wi-Fi. Paketnya juga murah. Hanya saja pernah ada masalah dengan ponsel lama seperti tidak mendukung Band tertentu.

    • Dari sifat penerimaan pesannya, teman dan keluarga mengirim secara P2P, sedangkan 2FA adalah A2P, mesin ke orang. Penanganan kedua metode itu memang berbeda.

    • Saya kira walaupun nomor dipindahkan ke penyedia VOIP, pihak pengirim tidak bisa membedakan apakah nomor itu ponsel atau VOIP. Saya melakukan porting seperti ini dan tetap menerima SMS 2FA dengan baik.

    • Kalau mencoba berbagai layanan perbankan, sebagian akan mengirim token SMS ke Google Voice tanpa masalah, sementara bank lain hanya mengizinkan SMS Google Voice lewat layanan pelanggan; kebijakannya terasa acak. Bahkan ada yang tidak mau mengirim lewat saluran normal tetapi mau membacakan kode yang sama lewat panggilan suara otomatis. Rasanya kebijakan keamanannya benar-benar acak.

    • Opsi menerima kode SMS-OTP lewat VOIP pada akhirnya adalah ide yang buruk. Itu mungkin hanya akan berfungsi sebentar lalu diblokir ketika kebijakan keamanan diperketat. Semua langkah ini sebenarnya bukan untuk melindungi keamanan pengguna, melainkan sebagai penghalang untuk memperlambat arus spam dan trafik penipuan yang tak ada habisnya. Sekadar memiliki nomor telepon sungguhan dipakai sebagai “Proof of Work”, dan secara realistis memang belum ada alternatif.

    • Masalahnya ada pada SMS itu sendiri, jadi perdebatan seperti ini sebenarnya tidak berarti. Menurut saya penggunaan SMS itu sendiri seharusnya ilegal.

  • Kalau ada microcell/femtocell, ini sangat efektif di tempat dengan sinyal lemah seperti rumah atau kantor. Jika menghubungi provider dan bilang sinyalnya lemah, mereka akan mengirim AP (Access Point) gratis yang mengubah internet → seluler. Perangkat seperti ini punya input RJ-45 dan antena GPS sehingga mendukung data lokasi e911. Toko kami juga berada di lembah dengan dinding logam, jadi dulu harus naik ke bukit dulu untuk bisa menelepon, tetapi setelah meminta tiap operator memasang femtocell, siapa pun bisa beralih otomatis ke jaringan ISP dan menggunakannya secara normal. Bahkan MVNO pun didukung. Hanya saja untuk memakai femtocell, mungkin harus menggunakan layanan langsung dari operator, bukan MVNO.

    • Sepertinya t-Mobile sudah tidak lagi mendukung perangkat yang disebut microcell. Saya merujuk ke halaman dukungannya.

    • Femtocell juga punya kekurangan. Perangkat ini wajib mendapat sinyal GPS, jadi di wilayah pegunungan sulit dipakai. Saya memakai femtocell selama bertahun-tahun, dan kadang alat itu berhenti bekerja tanpa alasan jelas serta tidak memberi tahu kenapa.

    • Saya mendapat 4G LTE Network Extender gratis dari Verizon. Satu masalahnya adalah koneksi terputus saat keluar rumah. Pernah sekali saya menelepon 911 lalu sinyal terputus saat sedang bergerak; ketika keluar dari jangkauan, panggilan berhenti sampai tersambung lagi. Setelah itu Verizon menghubungi saya agar informasi lokasinya diperbaiki.

    • Cukup mengejutkan bahwa operator besar tidak keberatan jika siapa saja mengoperasikan menara seluler (microcell) yang terhubung ke ISP yang belum diverifikasi. Biasanya mereka sangat ketat soal pengelolaan merek, tetapi dalam hal ini ternyata sangat longgar.

  • Saat roaming di luar negeri, saya menyimpan SIM card di ponsel Android di rumah dan membiarkannya terhubung ke listrik, lalu memakai aplikasi yang meneruskan SMS lewat API. Semua SMS bisa saya terima lewat email. Saya sudah memakai cara ini selama beberapa tahun tanpa masalah. Dalam keseharian pun nyaman karena bisa menerima SMS OTP dari komputer. MMS memang tidak masuk, tetapi itu tidak diperlukan jadi tidak masalah.

    • Saya menyebut metode ini “2FA Mule”. Saya sudah memakainya lebih dari 4 tahun dan menurut saya ini bekerja sangat baik. Pilihan yang bagus.

    • Jika ponsel mendukung dual SIM dan WiFi calling, Anda bisa memakai eSIM data-only di negara yang dikunjungi dan tetap menerima SMS lewat SIM lama.

    • Saya juga melakukan hal serupa, meninggalkan ponsel Android di rumah dan menerima SMS lewat layanan web messaging di laptop. Sekarang SMS juga berfungsi lewat WiFi calling, jadi ini belum tentu jadi masalah besar.

    • Katanya ponsel Android bisa diubah agar otomatis reboot setiap 3 hari, jadi metode ini mungkin akan segera tidak bisa dipakai.

    • Saya tidak paham kenapa metode ini dikaitkan dengan roaming. Saya sering roaming di Eropa dan banyak tempat lain, dan tidak pernah punya masalah menerima SMS.

  • Artikel ini agak niche; memang sekilas terlihat seolah kode SMS 2FA langsung datang begitu layanan seluler aktif, tetapi sebenarnya 2FA harus didaftarkan dulu dan Anda mungkin perlu keluar rumah agar kode bisa aktif. TOTP juga sebenarnya tidak terlalu sulit; cukup pilihkan aplikasi dan bantu cetak backup code, biasanya selesai tanpa masalah.

  • Google Fi bisa menerima semua SMS untuk autentikasi dua faktor, termasuk short code, lewat Wi-Fi. Bahkan jika ponsel mati atau rusak, semuanya tetap bisa diterima dari browser web di perangkat apa pun. Saya sangat menyukai fitur ini. Layanannya mulai dari 20 dolar per bulan. Dulu layanan ini bagus di wilayah pegunungan berkat kerja sama dengan US Cellular, tetapi belakangan situasinya berubah karena sebagian berpindah ke sisi T-Mobile.

    • Saya sudah tinggal di luar AS selama 12 tahun, dan sebelum memakai Google Fi saya selalu bermasalah dengan SMS. Banyak bank bersikeras memakai verifikasi SMS, sementara nomor virtual VOIP bermasalah karena (1) sebagian bank menolak layanannya demi keamanan, dan (2) secara teknis SMS memang tidak bisa diterima. Google Fi bahkan bisa melakukan fallback lewat WiFi saat layanan seluler tidak tersedia. Memang setelah 1 bulan di luar AS data akan diputus, tetapi asal SMS dan suara masih bisa dipakai, itu sudah cukup.

    • Saya penasaran apakah RCS dan “messages for web” bisa dipakai. Dulu saya harus mengaktifkan sinkronisasi Fi agar teks/suara tetap bisa dipakai ketika ponsel mati, tetapi kalau begitu fitur RCS jadi nonaktif. Saya ingin tahu apakah sekarang masih begitu dan URL mana yang dipakai untuk teks/suara.

  • Saya setuju bahwa ekspektasi pengguna kadang berlebihan. Misalnya saat menyewa skuter Lime, karena salah setelan VPN internet saya tidak jalan sehingga tidak bisa menyelesaikan proses pengembalian. Berdasarkan GPS yang mendeteksi saya sudah berhenti, biaya tambahan akhirnya dikembalikan, tetapi kalau baterai ponsel saya habis, itu bisa jadi masalah besar. Saat bepergian memang perlu antisipasi untuk kasus tak terduga seperti ini.

    • Jika memakai loker paket DHL model baru di Jerman, tidak ada layar dan semuanya hanya berjalan lewat aplikasi. Perlu koneksi Bluetooth dan internet sekaligus. Karena lokernya sendiri sudah punya internet, menurut saya permintaan dari aplikasinya jadi tidak perlu.

  • Selalu ada fitur yang merugikan kelompok tertentu. 2FA juga tidak punya metode yang sempurna, dan tiap pendekatan punya ketidaknyamanannya sendiri. SMS 2FA keamanannya lemah tetapi paling luas dipakai dan paling mudah dipulihkan. Aplikasi TOTP lebih kuat keamanannya tetapi sulit dipulihkan jika perangkat hilang atau diganti. Token perangkat keras seperti Yubikey berbiaya dan tetap punya masalah pemulihan. Menurut saya cara paling pasti adalah jika pemerintah federal menjalankan sistem autentikasi perangkat keras yang terpusat (faktanya Departemen Pertahanan AS melakukannya dengan kartu CaC), tetapi di AS sistem seperti ini akan sangat sulit diwujudkan karena kontroversi privasi dan masalah anggaran. SMS 2FA memang merugikan wilayah pegunungan dan semacamnya, tetapi pada kenyataannya semua 2FA memang tidak sempurna.

    • Privasi autentikasi memang penting dalam situasi tertentu (misalnya pemungutan suara), tetapi dalam konteks seperti perbankan, ketika memang perlu membuktikan dengan jelas bahwa itu benar-benar Anda, kekhawatiran privasi menurut saya tidak terlalu relevan.

    • Yubikey dan semacamnya memang bisa terlihat sulit dipulihkan, tetapi kalau mendaftarkan beberapa buah sekaligus, saat satu hilang Anda masih bisa masuk memakai kunci lain lalu mendaftarkan yang baru.

  • Jika memasang aplikasi Google Voice, beberapa layanan 2FA didukung tetapi ada juga yang tidak. Sebagian layanan menolak nomor GV. GV bisa menerima SMS lewat WiFi. Dulu kalau meminta femtocell ke operator seluler harganya murah, tetapi sekarang sudah dihentikan dan harganya bisa sampai 2500 dolar. Anda juga bisa mendaftar ke mightytext.net untuk menerima SMS lewat komputer, meski saya tidak yakin apakah ini tetap bekerja tanpa sinyal seluler. Saya memakainya karena mengetik SMS dengan keyboard laptop lebih nyaman daripada dengan jari.

    • Menghubungkan modem USB ke komputer dan menaruhnya di tempat yang ada sinyal, lalu mengaksesnya lewat internet, juga memungkinkan. Saya sendiri memakainya secara terbalik untuk pemantauan jarak jauh dengan Raspberry Pi. Saat tahap prototipe saya juga pernah melakukan parsing SMS. Ini memang tidak cocok untuk semua orang, tetapi terasa pantas dibagikan ala HN.

    • mightytext.net tidak akan bekerja jika ponsel tidak punya sinyal. Relay pesan hanya bisa dilakukan oleh operator. Integrasi layanan seperti ini dengan semua operator AS juga sulit dan punya banyak batasan teknis. Hanya layanan SMS satelit Apple yang bisa langsung mengakses router SMS untuk melakukan relay.

    • Salah satu kelebihan cara ini adalah akses ke SMS bisa dilindungi dengan MFA (autentikasi multi-faktor).

  • TOTP, HOTP, dan semacamnya bisa diimplementasikan tanpa data identitas pribadi seperti nomor telepon. SMS membutuhkan nomor, dan jika nomor itu terhubung dengan data pribadi Anda, nilainya jauh lebih besar untuk pemasaran atau penggabungan data.

    • Sebagian besar tempat yang meminta verifikasi SMS biasanya memang sudah mengetahui informasi pribadi seperti nama dan alamat Anda (misalnya keuangan, perizinan, lembaga medis, dan sebagainya), jadi kontroversi soal penggabungan data untuk pemasaran sebenarnya tidak terlalu berarti. Kalau layanan seperti TikTok tetap memaksa meminta nomor, tinggal pakai nomor sekali pakai atau tolak saja.

    • TOTP/HOTP tidak bisa memberi properti WYSIWYS (what you see is what you sign), misalnya untuk memastikan “saya memang ingin membayar jumlah ini ke toko ini”. Dalam pembayaran bank dan semacamnya dibutuhkan konfirmasi yang lebih langsung. Faktanya di UE, WYSIWYS bisa diwajibkan oleh regulasi, sehingga untuk menutup celah sementara dibutuhkan aplikasi khusus bank. Standar yang ada sekarang (WebAuthN dan semacamnya) belum cukup; menurut saya dibutuhkan metode baru seperti ekstensi SPC dan autentikator perangkat keras.

  • Saya juga tinggal di daerah pedesaan, jadi kadang mengalami masalah SMS kode yang tidak masuk. Ada hari tertentu masuk, ada hari lain tidak, dan saya tidak tahu alasannya, tetapi tulisan ini menjelaskan penyebabnya dengan sangat jelas. Saya biasanya memakai layanan Spectrum untuk Wi-Fi dan seluler sekaligus, dan karena bergantung pada Wi-Fi sesuai kekuatan sinyal, tampaknya itulah yang menyebabkan fenomena ini.