Awas: 99.9% Akun Microsoft Yang Diretas Tidak Menggunakan 2FA

Akun Microsoft Yang Diretas Tidak Menggunakan 2FA

Two-factor authentication (2FA) merupakan metode efektif untuk mencegas akses tidak sah ke suatu akun secara online. Masih belum yakin? Lihatlah data-data menakjubkan yang diberikan oleh microsoft di bawah ini.

Di bulan feburari 2020 kemarin, Microsoft memberikan presentasi di Conference RSA yang berjudul "Breaking Password Dependencies: Challenges in the Final Mile at Microsoft" keseluruhan presentasi yang diadakan sungguh menarik apalagi jika anda sangat penasaran tentang bagaimana cara mengamankan suatu akun dari orang yang tidak bertanggung jawab (peretas), salah satu hal yang menarik disini ialah tentang data statistika yang disajikan oleh pihak Microsoft.

Microsoft melacak lebih dari satu miliar pengguna aktif setiap bulan, yang mana hampir 1/8 dari jumlah populasi dunia. Aktifitas ini menghasilkan lebih dari 30 miliar login events. Hal ini bisa terjadi dikarenakan setiap orang yang login ke service 365 microsoft dapat melakukan log in dengan beberapa device atau aplikasi yang berbeda-beda.

Jika data di atas sangat mengejutkan, ketahuilah bahwa Microsoft juga menghentikan 300 juta upaya masuk/log in yang terindikasi curang, dan ingat ini bukan per minggu atau perbulan akan tetapi 300 juta perhari.

Pada Januari 2020, sebanyak 480.000 akun Microsoft atau sekitar 0.048 persen dari semua akun Microsoft telah terindikasi terkena ancaman sprying attaks. Ini adalah serangan yang terjadi ketika seorang penyerang menggunakan kata sandi umum (misalnya "Spring2020!") dan menguji cobanya dengan username dari ratusan ribu akun, berharap salah satu dari akun tersebut memiliki password yang sama dengan yang tadi yaitu "Spring2020!"

Sprays hanyalah salah satu dari berbagai macam serangan peretas, ada banyak akun yang diretas disebabkan oleh Credential stuffing, untuk melakukan ini sin penyerang akan membeli username dan password (kata sandi) di dark web dan mencobanya di sistem lain.

Selain penyerangan yang tadi ada juga teknik Phising, yaitu saat penyerangan menyakinkan anda untuk masuk ke situs web palsu dan meminta anda untuk melakukan log in di web tersebut sehingga anda akan mengisikan username dan passwordnya tanpa disadari bahwa username dan password tersebut di simpan di web mereka, biasanya untuk meyakinkan pengguna, website yang palsu memiliki desain template web yang hamir mirip dengan yang asli sehinggan perbedaanya kurang jelas jika hanya dilihat sekejap mata.

Secara keseluruhan, ada lebih dari 1 juta akun Microsoft yang di retas pada bulan januari, dimana setiap harinya ada sekitar 32.000 akun yang disusupi oleh peretas, akan tetapi anda harus ingat juga bahwa ada lebbih dari 300 juta upaya masuk setiap harinya yang dihentikan oleh microsoft, dan ternyata dari 99.9 persen akun yang diretas adalah mereka yang tidak mengaktifkan autentikasi 2 faktor, hal inilah yang menyebabkan pentingnya 2FA disuatu akun online seperti Mcrosoft.

Apa Itu Two-Factor Authentication?

Singkatnya, otentikasi dua faktor (2FA) memerlukan metode tambahan untuk mengautentikasi akun Anda, bukan hanya nama pengguna dan kata sandi. Metode tambahan itu seringkali berupa kode enam digit yang dikirimkan ke ponsel Anda melalui SMS atau dihasilkan oleh suatu aplikasi. Anda kemudian mengetik kode enam digit itu sebagai bagian dari prosedur login untuk akun Anda.

Otentikasi dua faktor adalah jenis otentikasi multifaktor (MFA). Ada metode MFA lain, seperti token USB fisik yang Anda pasang ke perangkat Anda, atau pemindaian biometrik sidik jari atau mata. Namun, kode yang dikirim ke ponsel adalah yang paling umum.

Tapi jika kamu berpikir 2 faktor autentikasi sudah cukup, mungkin kamu harus berpikir lebih jauh lagi karena untuk akun yang sangat penting dan krusial bisa membutuhkan lebih dari 2 tingkat keamanan, mungkin saja kita membutuhkan 3 faktor autentikasi untuk tingkat keamanan yang lebih tinggi.

Akankah 2FA Dapat Menghentikan Peretas?

Dalam serangan spray dan credential stuffing, penyerang sudah memiliki kata sandi, mereka hanya perlu menemukan akun yang menggunakannya. Dengan phishing, penyerang memiliki kata sandi dan nama akun Anda, dimana jika anda telah terjebak phising maka situasi akan menjadi lebih buruk.

Jika akun Microsoft yang diretas pada bulan Januari telah mengaktifkan otentikasi multifaktor, maka hanya memiliki kata sandi saja tidak akan cukup. Peretas juga akan membutuhkan akses ke telepon korbannya untuk mendapatkan kode MFA sebelum ia bisa masuk ke akun tersebut. Tanpa ponsel yang bersangkutan dengan akun target, maka penyerang tidak akan dapat mengakses akun tersebut, dan mereka akan aman dari serangan peretas.

Jika Anda berpikir kata sandi Anda tidak mungkin ditebak, dan Anda tidak akan pernah jatuh kedalam perangkap phishing, mari kita lihat dulu fakta-faktanya. Menurut Alex Weinart, arsitek utama di Microsoft, kata sandi Anda sebenarnya tidak terlalu menjadi masalah dalam pengamanan akun Anda.

Ini tidak hanya berlaku untuk akun Microsoft, baik setiap akun online sama rapuhnya jika tidak menggunakan MFA. Menurut Google, MFA telah menghentikan 100 persen serangan bot otomatis (serangan spray cridential stuffing, dan metode otomatis serupa).

Jika Anda melihat di bagian kiri bawah bagan penelitian Google, metode "Security Key" adalah metode yang 100 persen efektif untuk menghentikan bot otomatis, phishing, dan serangan yang ditargetkan.

google research security key

Jadi, apa itu metode "Security Key"? Security Key ialah menggunakan aplikasi di ponsel Anda untuk menghasilkan kode MFA.

Sementara itu metode "SMS Code" juga sangat efektif dan ini benar-benar lebih baik daripada tidak memiliki MFA sama sekali.

Cara Mengaktifkan 2FA untuk Semua Akun Yang Anda Miliki

Anda dapat mengaktifkan 2FA atau tipe MFA lain untuk sebagian besar akun online yang anda miliki. Anda akan menemukan pengaturan di berbagai lokasi untuk berbagai akun. Namun, secara umum, fitur ini bisa anda aktifkan dengan menuju ke Menu Setting “Account” or “Security.”

Ada banyak akun yang menyediakan layanan 2FA yang bisa kamu gunakan untuk menghindari peretasan yang tidak diinginkan, berikut adalah daftarnya:

  • Amazon
  • Apple ID
  • Facebook
  • Google/Gmail
  • Instagram
  • LinkedIn
  • Microsoft
  • Nest
  • Nintendo
  • Reddit
  • Ring
  • Slack
  • Steam
  • Twitter
MFA adalah cara paling efektif untuk mengamankan akun online Anda. Jika Anda belum melakukannya, luangkan waktu untuk menyalakannya sesegera mungkin terutama untuk akun penting, seperti email dan perbankan.

0 Comments

Post a comment