Otentikasi Dua Faktor/Two-Factor Authentication (2FA) belakangan ini sangatlah terkenal karena keamanan yang terjamin terutama untuk sebuah organisasi.

Akan tetapi seorang penyerang (attacker) memiliki beberapa cara untuk dapat berhasil menyerang 2FA, dan sebagai peretas etis, adalah tugas teman-teman untuk memahami serangan ini. Pada artikel ini saya akan memberikan 6 teknik untuk menyerang 2FA dan memberi teman-teman gambaran secara menyeluruh untuk jenis penyerang 2FA yang bisa teman-teman temui ketika bekerja sebagai peretas etis (Ethical Hacker).

Apa itu Otentikasi dua faktor

Otentikasi dua faktor/Two-factor authentication (2FA) adalah metode otentikasi yang dapat memberikan keamanan tambahan ke informasi keamanan potluck. Skema 2FA mengharuskan penggunanya untuk mengautentikasi dengan cara berikut:

  1. Sesuatu yang Anda ketahui: Kata Sandi, PIN, dll.
  2. Sesuatu yang Anda miliki: Kartu pintar, USB, dll.
  3. Sesuatu dari dirimu: Suara, iris, sidik jari, dll.

Macam-macam Otentikasi

Ada dua cara untuk melakukan otentikasi:

Satu Arah

Ini adalah jenis otentikasi yang paling umum. Ini adalah metode hanya server/klien saja, dengan otentikasi ini hanya server yang paling banyak digunakan.

Dua Arah

Klien dan server harus mengautentikasi dengan metode ini. Ini tidak seperti otentikasi satu arah dan juga lebih aman.

2 Teknik Terbaik untuk Menyerang Otentikasi Dua Faktor

Social Engineering (Rekayasa Sosial)

Teknik terbaik untuk menyerang 2FA adalah rekayasa sosial. 2FA sangat bergantung pada pengetahuan yang hanya diketahui oleh penggunanya sendiri dan ketika situs web atau layanan yang menggunakan 2FA tidak berfungsi, maka pengguna secara otomatis akan meminta bantuan teknis. Penyerang akan menyamar untuk melakukan rekayasa sosial untuk memerintah pengguna agar mengatur ulang kata sandi mereka atau mencuri informasi sensitif yang terkait dengan 2FA.

Ini adalah titik yang bisa dibilang alami untuk kerentanan 2FA, karena setiap interaksi dukungan teknis akan membuat peluang untuk pengungkapan informasi pengguna yang sensitif bahkan ini tidak dapat dihindarkan, dan hanya dengan mengajukan beberapa pertanyaan (atau mungkin tidak sama sekali, jika pengguna memberikan informasi ini secara sukarela).

Cookie Session Hijacking

Cookie Session Hijacking atau Pembajakan Sesi Cookie adalah sebuah metode yang dapat mengelabui korban agar mengunjungi domain yang salah dan memberi pengguna halaman login proxy, dimana setiap interaksi pengguna akan diambil, kemudian diteruskan ke situs yang asli. Dimana sesi cookie yang diambil dapat digunakan tanpa batas waktu.