Mengirim kode sekali pakai lewat email lebih buruk daripada kata sandi
(blog.danielh.cc)- Belakangan ini banyak layanan mengadopsi metode login dengan kode 6 digit berbasis email atau nomor telepon
- Setelah memasukkan email/nomor telepon, kode verifikasi 6 digit dikirim, lalu pengguna masuk dengan memasukkan kode tersebut
- Metode ini menimbulkan kerentanan serius pada keamanan akun
- Penyerang cukup memasukkan alamat email orang lain ke layanan yang sah untuk meminta pengiriman kode verifikasi
- Pengguna mengalami masalah karena sulit mengetahui apakah kode verifikasi yang diterima benar-benar untuk situasi yang semestinya atau merupakan upaya phishing
- Alat pencegahan phishing yang ada, seperti password manager (pengelola kata sandi), menjadi tidak efektif
- Metode kode verifikasi ini memang terus disalahgunakan dalam kasus nyata
- Metode serupa juga digunakan pada login akun Minecraft yang dioperasikan Microsoft
- Berbagai kasus pencurian akun telah dilaporkan di Reddit, YouTube, dan beragam komunitas online serta media lainnya
Kesimpulan
Metode verifikasi email dengan kode 6 digit secara keamanan merupakan cara yang lebih rentan daripada yang diperkirakan
- Dibandingkan metode kata sandi yang ada, risiko phishing justru meningkat tajam
- Meski diperkenalkan untuk meningkatkan pengalaman pengguna atau keamanan, metode ini sebenarnya dapat memicu hasil yang lebih buruk
Belum ada komentar.