Dengan semakin banyaknya layanan online yang kita gunakan, bertambah pula “beban” untuk mengelola akun online yang kita miliki agar tidak disalahgunakan oleh pihak lain. Penyalahgunaan ini selain bisa merugikan kita sendiri, juga berpotensi merugikan orang lain.
Untungnya saat ini sudah mulai banyak penyedia layanan yang menerapkan two-factor authentication untuk menambah keamanan. Bentuk two-factor authentication yang paling umum adalah mengirimkan kode verifikasi ke nomer handphone yang telah kita daftarkan sebelumnya. Dengan cara ini, pencuri yang sudah memiliki username dan password akun kita tidak akan bisa masuk begitu saja karena dia harus mencuri handphone kita juga.
Berikut ini uraian beberapa metode two-factor authentication yang sudah banyak digunakan.
Two-factor authentication menggunakan SMS
Two-factor authentication menggunakan SMS adalah cara yang paling umum. Banyak layanan online yang sudah menerapkan metode ini, seperti Facebook, Google, dan Namecheap.
Setelah memasukkan username dan password, server akan mengirimkan suatu kode melalui SMS ke handphone kita, selanjutnya kita diminta memasukkan kode tersebut ke halaman web sebagai konfirmasi bahwa kita benar-benar pemilik akun tersebut.
Kelemahan metode ini adalah kita tidak akan bisa login ketika handphone mati, handphone hilang/ketinggalan, atau saat kita di luar negeri dan tidak mengaktifkan nomer dari negara asal.
Untungnya, Google menyediakan backup code (ada 8 buah) yang bisa kita simpan dan gunakan sewaktu-waktu kita mengalami kesulitan untuk mengakses SMS di handphone. Penyedia layanan lain umumnya juga menyediakan backup code untuk jaga-jaga.
Two-factor authentication menggunakan software
Metode ini mengharuskan kita menginstal suatu aplikasi di smartphone yang akan meng-generate kode unik setiap kita akan login ke suatu layanan. Kode ini akan berubah-ubah setiap saat menggunakan algoritma tertentu.
Contoh yang digunakan oleh Google adalah Google Authenticator.
Two-factor authentication menggunakan hardware
Metode terakhir ini banyak digunakan oleh perusahaan-perusahaan besar untuk mengamakan akses ke servernya. Karyawan mendapatkan sebuah token berbentuk seperti flashdisk yang bisa digunakan untuk otentifikasi saat login ke server.
Cara kerjanya hampir sama dengan metode yang lain. Setelah login menggunakan username dan password, karyawan wajib mencolokkan token ke port USB kemudian server akan melakukan verifikasi untuk memberikan/menolak aksesnya.
Salah satu alternatif token yang bisa dibeli untuk keperluan pribadi adalah YubiKey. Selain menggunakan protokol FIDO U2F, YubiKey terbaru juga mendukung OTP, bahkan NFC.
1 Pingback