Anda mungkin berpikir bahwa mengaktifkan otentikasi dua faktor pada akun Anda membuatnya 100% aman. Otentikasi dua faktor^{(Two-factor authentication)} adalah salah satu metode terbaik untuk melindungi akun Anda. Tetapi Anda mungkin terkejut mendengar bahwa akun Anda dapat dibajak meskipun mengaktifkan otentikasi dua faktor. Pada artikel ini, kami akan memberi tahu Anda berbagai cara yang digunakan penyerang untuk melewati otentikasi dua faktor.

Bagaimana Peretas dapat menyiasati Otentikasi Dua Faktor

Apa itu Otentikasi^{(Authentication)} Dua Faktor (2FA)?

Sebelum kita mulai, mari kita lihat apa itu 2FA. Anda tahu bahwa Anda harus memasukkan kata sandi untuk masuk ke akun Anda. Tanpa kata sandi yang benar, Anda tidak dapat masuk. 2FA adalah proses menambahkan lapisan keamanan ekstra ke akun Anda. Setelah mengaktifkannya, Anda tidak dapat masuk ke akun Anda dengan memasukkan kata sandi saja. Anda harus menyelesaikan satu langkah keamanan lagi. Ini berarti di 2FA, situs web memverifikasi pengguna dalam dua langkah.

Baca^(Read) : Cara Mengaktifkan Verifikasi 2 Langkah di Akun Microsoft^{(How to Enable 2-step Verification in Microsoft Account)} .

Bagaimana Cara Kerja 2FA?

Mari kita pahami prinsip kerja otentikasi dua faktor. 2FA mengharuskan Anda memverifikasi diri sendiri dua kali. Saat Anda memasukkan nama pengguna dan kata sandi, Anda akan diarahkan ke halaman lain, di mana Anda harus memberikan bukti kedua bahwa Anda adalah orang yang sebenarnya yang mencoba masuk. Situs web dapat menggunakan salah satu dari metode verifikasi berikut:

OTP (Sandi Sekali Pakai)

Lewati OTP Otentikasi Dua Faktor

Setelah memasukkan kata sandi, situs web memberi tahu Anda untuk memverifikasi diri sendiri dengan memasukkan OTP yang dikirim ke nomor ponsel Anda yang terdaftar. Setelah memasukkan OTP yang benar , Anda dapat masuk ke akun Anda.

Pemberitahuan Cepat

Abaikan Pemberitahuan Prompt Otentikasi Dua Faktor

Notifikasi prompt ditampilkan di ponsel cerdas Anda jika terhubung ke internet. Anda harus memverifikasi diri sendiri dengan mengetuk tombol " Ya^(Yes) ". Setelah itu, Anda akan masuk ke akun Anda di PC Anda.

Kode Cadangan

Lewati Kode Cadangan Otentikasi Dua Faktor

Kode cadangan^(Backup) berguna jika dua metode verifikasi di atas tidak berfungsi. Anda dapat masuk ke akun Anda dengan memasukkan salah satu kode cadangan yang telah Anda unduh dari akun Anda.

Aplikasi Authenticator

Lewati Aplikasi Authenticator Otentikasi Dua Faktor

Dalam metode ini, Anda harus menghubungkan akun Anda dengan aplikasi authenticator. Kapan pun Anda ingin masuk ke akun Anda, Anda harus memasukkan kode yang ditampilkan di aplikasi autentikator yang terpasang di ponsel cerdas Anda.

Ada beberapa metode verifikasi lagi yang dapat digunakan situs web.

Baca^(Read) : Cara Menambahkan Verifikasi Dua Langkah Ke Akun Google Anda^{(How To Add Two-step Verification To Your Google Account)} .

Bagaimana Peretas dapat menyiasati Otentikasi Dua Faktor^{(Two-factor Authentication)}

Tidak diragukan lagi, 2FA membuat akun Anda lebih aman. Namun masih banyak cara yang dapat dilakukan peretas untuk melewati lapisan keamanan ini.

1] Pencurian Cookie^{(Cookie Stealing)} atau Pembajakan Sesi^{(Session Hijacking)}

Pencurian cookie atau pembajakan sesi^{(Cookie stealing or session hijacking)} adalah metode mencuri cookie sesi pengguna. Setelah peretas berhasil mencuri cookie sesi, ia dapat dengan mudah melewati otentikasi dua faktor. Penyerang mengetahui banyak metode pembajakan, seperti fiksasi sesi, sniffing sesi, skrip lintas situs, serangan malware, dll. Evilginx adalah salah satu kerangka kerja populer yang digunakan peretas untuk melakukan serangan man-in-the-middle. Dalam metode ini, peretas mengirimkan tautan phishing ke pengguna yang membawanya ke halaman login proxy. Saat pengguna masuk ke akunnya menggunakan 2FA, Evilginx menangkap kredensial loginnya bersama dengan kode otentikasi. Sejak OTPkedaluwarsa setelah menggunakannya dan juga berlaku untuk jangka waktu tertentu, tidak ada gunanya menangkap kode otentikasi. Tetapi peretas memiliki cookie sesi pengguna, yang dapat ia gunakan untuk masuk ke akunnya dan melewati otentikasi dua faktor.

2] Pembuatan Kode Duplikat

Jika Anda telah menggunakan aplikasi Google Authenticator , Anda tahu bahwa itu menghasilkan kode baru setelah waktu tertentu. Google Authenticator dan aplikasi autentikator lainnya bekerja pada algoritme tertentu. Generator kode acak^(Random) umumnya dimulai dengan nilai benih untuk menghasilkan angka pertama. Algoritme kemudian menggunakan nilai pertama ini untuk menghasilkan nilai kode yang tersisa. Jika peretas dapat memahami algoritme ini, ia dapat dengan mudah membuat kode duplikat dan masuk ke akun pengguna.

3] Kekuatan Brute

Brute Force adalah teknik untuk menghasilkan semua kemungkinan kombinasi kata sandi. Waktu untuk memecahkan kata sandi menggunakan brute force tergantung pada panjangnya. Semakin panjang kata sandi, semakin banyak waktu yang dibutuhkan untuk memecahkannya. Umumnya, kode otentikasi terdiri dari 4 hingga 6 digit, peretas dapat mencoba upaya brute force untuk mem-bypass 2FA. Tapi hari ini, tingkat keberhasilan serangan brute force kurang. Ini karena kode otentikasi tetap berlaku hanya untuk waktu yang singkat.

4] Rekayasa Sosial

Rekayasa Sosial adalah teknik di mana penyerang mencoba mengelabui pikiran pengguna dan memaksanya untuk memasukkan kredensial loginnya di halaman login palsu. Tidak peduli apakah penyerang mengetahui nama pengguna dan kata sandi Anda atau tidak, dia dapat melewati otentikasi dua faktor. Bagaimana? Ayo lihat:

Mari kita pertimbangkan kasus pertama di mana penyerang mengetahui nama pengguna dan kata sandi Anda. Dia tidak dapat masuk ke akun Anda karena Anda telah mengaktifkan 2FA. Untuk mendapatkan kode, dia dapat mengirimi Anda email dengan tautan berbahaya, membuat Anda takut bahwa akun Anda dapat diretas jika Anda tidak segera mengambil tindakan. Ketika Anda mengklik tautan itu, Anda akan diarahkan ke halaman peretas yang meniru keaslian halaman web asli. Setelah Anda memasukkan kode sandi, akun Anda akan diretas.

Sekarang, mari kita ambil kasus lain di mana peretas tidak mengetahui nama pengguna dan kata sandi Anda. Sekali lagi^(Again) , dalam kasus ini, dia mengirimkan Anda tautan phishing dan mencuri nama pengguna dan kata sandi Anda bersama dengan kode 2FA.

5] OAuth

Integrasi OAuth^(OAuth) memberi pengguna fasilitas untuk masuk ke akun mereka menggunakan akun pihak ketiga. Ini adalah aplikasi web terkenal yang menggunakan token otorisasi untuk membuktikan identitas antara pengguna dan penyedia layanan. Anda dapat mempertimbangkan OAuth sebagai cara alternatif untuk masuk ke akun Anda.

Mekanisme OAuth bekerja dengan cara berikut:

Situs A meminta Situs B^{(Site B)} (misalnya Facebook ) untuk token autentikasi.
Situs B^{(Site B)} menganggap bahwa permintaan dibuat oleh pengguna dan memverifikasi akun pengguna.
Situs B^{(Site B)} kemudian mengirimkan kode panggilan balik dan mengizinkan penyerang masuk.

Dalam proses di atas, kita telah melihat bahwa penyerang tidak perlu memverifikasi dirinya sendiri melalui 2FA. Tetapi agar mekanisme bypass ini berfungsi, peretas harus memiliki nama pengguna dan kata sandi akun pengguna.

Beginilah cara peretas dapat melewati otentikasi dua faktor dari akun pengguna.

Bagaimana cara mencegah 2FA melewati?

Peretas memang dapat melewati otentikasi dua faktor, tetapi dalam setiap metode, mereka membutuhkan persetujuan pengguna yang mereka dapatkan dengan menipu mereka. Tanpa menipu pengguna, melewati 2FA tidak mungkin. Oleh karena itu^(Hence) , Anda harus memperhatikan poin-poin berikut:

Sebelum mengklik tautan apa pun, harap periksa keasliannya. Anda dapat melakukannya dengan memeriksa alamat email pengirim.
Buat kata sandi^{(Create a strong password)} yang kuat yang berisi kombinasi huruf, angka, dan karakter khusus.
Gunakan^(Use) hanya aplikasi autentikator asli, seperti autentikator Google , autentikator ^(Google)Microsoft , dll.
Unduh^(Download) dan simpan kode cadangan di tempat yang aman.
Jangan pernah percaya email phishing yang digunakan peretas untuk mengelabui pikiran pengguna.
Jangan berbagi kode keamanan dengan siapa pun.
Siapkan^(Setup) kunci keamanan di akun Anda, alternatif dari 2FA.
Terus ubah kata sandi Anda secara teratur.

Baca^(Read) : Tips untuk Jauhkan Peretas dari komputer Windows Anda^{(Tips to Keep Hackers out of your Windows computer)} .

Kesimpulan

Otentikasi dua faktor adalah lapisan keamanan efektif yang melindungi akun Anda dari pembajakan. Peretas selalu ingin mendapatkan kesempatan untuk melewati 2FA. Jika Anda mengetahui mekanisme peretasan yang berbeda dan mengubah kata sandi Anda secara teratur, Anda dapat melindungi akun Anda dengan lebih baik.

How Hackers can get around Two-factor Authentication

You maу thіnk that enabling two-factor authentication on your account makes it 100% secure. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

Bypass Two-factor Authentication OTP

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Bypass Two-factor Authentication Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Bypass Two-factor Authentication Backup Code

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

Bypass Two-factor Authentication Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

Site A requests Site B (e.g. Facebook) for an authentication token.
Site B considers that the request is generated by the user and verifies the user’s account.
Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
Create a strong password that contains a combination of alphabets, numbers, and special characters.
Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
Download and save the backup codes at a safe place.
Never trust phishing emails that hackers use to trick the users’ minds.
Do not share security codes with anyone.
Setup security key on your account, an alternative to 2FA.
Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Dalima Usamah

About the author

Setelah hampir 20 tahun di industri teknologi, saya telah belajar banyak tentang produk Apple dan cara mempersonalisasikannya untuk kebutuhan saya. Secara khusus, saya tahu cara menggunakan platform iOS untuk membuat tampilan khusus dan berinteraksi dengan pengguna saya melalui preferensi aplikasi. Pengalaman ini telah memberi saya wawasan berharga tentang bagaimana Apple mendesain produknya dan cara terbaik untuk meningkatkan pengalaman pengguna mereka.

Bagaimana Peretas dapat menyiasati Otentikasi Dua Faktor

Apa itu Otentikasi(Authentication) Dua Faktor (2FA)?

Bagaimana Cara Kerja 2FA?

OTP (Sandi Sekali Pakai)

Pemberitahuan Cepat

Kode Cadangan

Aplikasi Authenticator

Bagaimana Peretas dapat menyiasati Otentikasi Dua Faktor(Two-factor Authentication)

1] Pencurian Cookie(Cookie Stealing) atau Pembajakan Sesi(Session Hijacking)

2] Pembuatan Kode Duplikat

3] Kekuatan Brute

4] Rekayasa Sosial

5] OAuth

Bagaimana cara mencegah 2FA melewati?

Kesimpulan

How Hackers can get around Two-factor Authentication

What is Two-factor Authentication (2FA)?

How Does 2FA Work?

OTP (One Time Password)

Prompt Notification

Backup Codes

Authenticator App

How Hackers can get around Two-factor Authentication

1] Cookie Stealing or Session Hijacking

2] Duplicate Code Generation

3] Brute Force

4] Social Engineering

5] OAuth

How to prevent 2FA bypassing?

Conclusion

Dalima Usamah

About the author

Related posts

Cara Mengaktifkan Two-Factor Authentication di Discord

Cara Mengatur Opsi Pemulihan dan Pencadangan dengan Benar untuk Otentikasi Dua Faktor

Cara Menginstal Drupal Menggunakan WAMP pada Windows

Best Software & Hardware Bitcoin Wallets untuk Windows, iOS, Android

Setup Internet Radio Station Gratis pada Windows PC

Alat terbaik untuk mengirim SMS gratis dari komputer Anda

Best Laptop Backpacks untuk Men and Women

Automate.io adalah alternatif automation tool and IFTTT gratis

Terjadi kesalahan saat memeriksa pembaruan di VLC

Best gratis Secure Digital Notebook Software & Online Services

Best Laptop Tables untuk membeli online

Microsoft Identity Manager: Fitur, Download

Convert Magnet Tautan ke tautan langsung Download menggunakan Seedr

Zip file adalah kesalahan yang terlalu besar saat mengunduh file dari DropBox

Apa itu Big Data - penjelasan sederhana dengan Example

Fitur terbaik di LibreOffice Calc

Apa Silly Window Syndrome - Explanation and Prevention

Perbedaan antara Analog, Digital and Hybrid computers

Terkunci dari Plex Server and Server Settings? Ini fix!

Apa saja kartu chip dan PIN 'atau EMV Credit

Apa itu Otentikasi^{(Authentication)} Dua Faktor (2FA)?

Bagaimana Peretas dapat menyiasati Otentikasi Dua Faktor^{(Two-factor Authentication)}

1] Pencurian Cookie^{(Cookie Stealing)} atau Pembajakan Sesi^{(Session Hijacking)}