Banyak situs web telah beralih dari kata sandi tradisional, dan sebaliknya meminta pengguna untuk memasukkan alamat email mereka kemudian menyediakan kode 6 digit yang dikirim melalui email atau SMS untuk login. Meskipun pendekatan ini menghilangkan kebutuhan untuk mengingat kata sandi, para ahli keamanan mengemukakan kekhawatiran tentang jenis serangan phishing baru yang berbahaya yang dimungkinkan oleh metode ini.
Pola Serangan Phishing
Kerentanan terletak pada betapa mudahnya penyerang dapat mengelabui pengguna untuk memberikan kode login yang sah. Berikut cara kerja serangan ini: sebuah situs web jahat meminta pengguna untuk mendaftar atau masuk menggunakan alamat email mereka. Situs palsu tersebut kemudian memberi tahu pengguna bahwa mereka akan menerima kode verifikasi dari layanan terpercaya, mengklaim bahwa itu adalah mitra sign-in. Di balik layar, sistem penyerang secara otomatis memicu upaya login nyata pada layanan yang sah menggunakan alamat email korban.
Ketika layanan terpercaya mengirim kode login asli ke email pengguna, korban melihat pesan autentik dari perusahaan yang mereka kenal dan percayai. Mereka kemudian memasukkan kode nyata ini ke situs web palsu, tanpa sadar memberikan akses kepada penyerang ke akun mereka yang sebenarnya pada layanan yang sah. Serangan ini telah berhasil digunakan terhadap sistem login Minecraft milik Microsoft , mengakibatkan pencurian akun.
Inilah mengapa 'email me a one-time code' adalah salah satu alur autentikasi terburuk untuk phishing. Sangat sulit untuk menghentikan pengguna dari membuat kesalahan ini.
Langkah-langkah Serangan Phishing Kode Email:
- Pengguna mengunjungi situs web berbahaya dan memasukkan alamat email
- Situs palsu mengklaim menggunakan layanan terpercaya sebagai "mitra masuk"
- Sistem penyerang memicu upaya login nyata pada layanan yang sah
- Layanan yang sah mengirimkan kode asli ke email pengguna
- Pengguna memasukkan kode asli ke dalam situs web palsu
- Penyerang mendapatkan akses ke akun sah pengguna
Mengapa Pertahanan Tradisional Gagal
Password manager, yang telah menjadi pertahanan utama terhadap serangan phishing, tidak menawarkan perlindungan dalam skenario ini. Alat-alat ini bekerja dengan mengenali situs web yang sah dan hanya mengisi kredensial pada domain yang benar. Namun, dengan kode berbasis email, tidak ada kredensial tersimpan yang perlu dilindungi - pengguna secara manual mengetik kode yang tampaknya berasal dari sumber terpercaya.
Masalah mendasarnya adalah pengguna menerima kode asli dari layanan yang sah, sehingga hampir tidak mungkin untuk membedakan antara upaya login yang nyata dan jahat. Bahkan pengguna yang sadar keamanan yang biasanya mengandalkan password manager dapat menjadi korban jenis serangan ini.
Kekhawatiran Single Factor Authentication
Diskusi komunitas teknologi mengungkapkan masalah kritis lainnya: banyak layanan yang menggunakan kode email atau SMS pada dasarnya menerapkan single-factor authentication, bukan keamanan multi-factor yang mereka klaim berikan. Karena akses email dan penerimaan SMS termasuk dalam kategori keamanan yang sama - sesuatu yang Anda miliki - menggunakan salah satu saja tidak memberikan perlindungan berlapis yang ditawarkan oleh multi-factor authentication sejati.
Pendekatan ini sangat bermasalah karena menghilangkan manfaat keamanan kata sandi tradisional sambil memperkenalkan kerentanan baru. Pengguna kehilangan perlindungan yang diberikan password manager terhadap phishing, sementara mendapatkan sedikit keamanan tambahan sebagai imbalannya.
Kategori Faktor Autentikasi:
- Sesuatu yang Anda miliki: Objek fisik seperti ponsel, token keamanan, akses email
- Sesuatu yang Anda ketahui: Kata sandi, PIN, informasi pribadi
- Sesuatu yang Anda adalah: Biometrik seperti sidik jari, pola suara
Catatan: Kode email dan SMS keduanya termasuk dalam kategori "sesuatu yang Anda miliki," sehingga tetap merupakan autentikasi faktor tunggal meskipun tampak lebih aman
Bergerak Menuju Solusi yang Lebih Baik
Para ahli keamanan dalam komunitas mengadvokasi passkey sebagai alternatif yang lebih aman. Tidak seperti kode email, passkey menggunakan autentikasi kriptografi yang tidak dapat dicegat atau digunakan kembali oleh penyerang. Namun, teknologi ini masih menghadapi tantangan adopsi, terutama seputar proses backup dan recovery.
Beberapa pengembang telah bereksperimen dengan pendekatan yang dimodifikasi, seperti mengirim link alih-alih kode, yang mengarahkan pengguna ke layanan yang sah daripada memungkinkan entri kode pada situs yang berpotensi jahat. Meskipun ini memberikan perlindungan tambahan, ini tidak sepenuhnya menyelesaikan masalah keamanan yang mendasari.
Perdebatan ini menyoroti tantangan yang lebih luas dalam keamanan online: menyeimbangkan kenyamanan pengguna dengan perlindungan terhadap serangan yang semakin canggih. Saat layanan terus beralih dari kata sandi tradisional, menemukan metode autentikasi yang ramah pengguna dan aman tetap menjadi tantangan berkelanjutan.
Referensi: We replaced passwords with something worse