Mengapa IsiOtomatis Kode Keamanan iOS 12 Berisiko + Cara Melindungi Diri Anda

Salah satu tambahan yang lebih kecil dalam pembaruan iOS 12 Apple yang akan datang adalah sedikit pintar yang disebut IsiOtomatis Kode Keamanan.

Pada dasarnya, ini adalah sistem yang membuat memasukkan kode otentikasi dua faktor saat masuk jauh lebih mudah.

Tetapi untuk kebaikannya, seorang peneliti keamanan melihat IsiOtomatis Kode Keamanan sebagai kerentanan potensial yang dapat dimanfaatkan oleh penyerang jahat.

Inilah mengapa Anda perlu tahu.

IsiOtomatis Kode Keamanan iOS 12

Masuk ke akun dengan otentikasi dua faktor biasanya melibatkan dua langkah terpisah — itulah namanya.

Anda akan memasukkan nama pengguna dan kata sandi Anda, lalu menerima pesan teks SMS dengan kode sekali pakai. Setelah Anda mengetik kode itu, Anda bebas untuk masuk.

Tetapi iOS 12 menangani ini sedikit berbeda. Ini dapat secara otomatis mendeteksi ketika Anda menerima kode otentikasi dua faktor (juga dikenal sebagai kode sandi satu kali atau OTP).

TERKAIT:

• Fitur Keamanan iOS 12
• Apa itu Kata Sandi Kuat? Mengapa iPhone Saya Memilih Kata Sandi untuk Saya?
• 25 Fitur iOS 12 Teratas yang Bernilai Waktu Anda

Sistem kemudian akan mencatat nama itu dan memberi Anda pilihan untuk memasukkannya dengan satu klik. Di iOS 12, itu akan muncul sebagai opsi di atas keyboard dengan catatan yang menyatakan bahwa itu "Dari Pesan."

Tentu saja, ini dapat menghemat sedikit waktu karena membuat Anda tidak perlu berpindah antar aplikasi atau menghafal OTP dalam sekejap.

Tapi kemudahan penggunaan juga mengapa bisa menjadi risiko keamanan dalam keadaan tertentu.

Apa Risikonya?

Terutama, risikonya terletak pada lembaga keuangan. Meskipun ada kemungkinan kasus lain ketika IsiOtomatis Kode Keamanan dapat berisiko, ini adalah skenario yang paling mengkhawatirkan.

Andreas Gutmann, peneliti keamanan di Pusat Inovasi Cambridge OneSpan, mengatakan bahwa masalah yang paling mendesak berpusat pada sesuatu yang disebut nomor otentikasi transaksi (TAN).

Apa itu TAN?

Seperti otentikasi dua faktor, TAN adalah kode satu kali yang dikirim ke ponsel Anda. Tetapi TAN bukan untuk masuk — sebagai gantinya, ini adalah cara untuk menambahkan perlindungan 2FA ke transaksi keuangan.

Pada dasarnya, saat Anda mentransfer uang atau melakukan pembayaran, bank akan mengirimkan TAN ke ponsel Anda sebagai langkah verifikasi tambahan untuk memastikan tidak terjadi tindakan curang.

Anda memasukkan TAN ini ke bidang yang sesuai dan transaksi disetujui di pihak Anda. Jika Anda menerima TAN tetapi Anda tidak melakukan transaksi baru-baru ini, Anda harus segera menghubungi bank Anda.

Meskipun belum tersebar luas di A.S., transaksi yang dilindungi TAN cukup umum di seluruh Eropa dan wilayah lainnya.

Risiko dengan IsiOtomatis Kode Keamanan

Karena IsiOtomatis Kode Keamanan secara otomatis menarik kode sandi satu kali dari pesan, ia mengabaikan semua konteks yang relevan.

Untuk perbankan, konteks itu — seperti jumlah finansial atau tujuan pembayaran — sangat penting untuk mengetahui apakah suatu transaksi sah.

“Fakta bahwa pengguna memverifikasi informasi penting ini justru memberikan manfaat keamanan,” tulis Gutmann dalam sebuah posting blog. "Menghilangkan itu dari proses membuatnya tidak efektif."

Dengan kata lain, fitur baru Apple yang menghemat waktu berpotensi membuat pengguna lebih rentan terhadap penipuan keuangan atau serangan man-in-the-middle.

Seorang pengguna, secara teoritis, dapat secara otomatis memasukkan OTP untuk menyetujui transaksi keuangan yang curang. Penyerang berpotensi memalsukan IsiOtomatis Kode Keamanan menggunakan situs web atau aplikasi berbahaya.

Bisakah Apple Melakukan Apa Pun?

Hal utama yang dapat dilakukan Apple adalah menerapkan beberapa jenis ukuran ke dalam IsiOtomatis Kode Keamanan yang dapat membedakan antara permintaan 2FA dan TAN.

Saat ini tidak jelas apakah IsiOtomatis Kode Keamanan dapat membedakan antara 2FA dan TAN. Jika bisa, maka masalah ini menjadi jauh lebih sedikit masalah.

Tentu saja, jika cukup banyak orang yang mengungkapkan kekhawatiran tentang IsiOtomatis Kode Keamanan sebagai kerentanan, Apple dapat memperbaruinya untuk mengurangi masalah.

Cara Melindungi Diri Sendiri

Pertama-tama, Anda harus bukan nonaktifkan autentikasi dua faktor di salah satu akun Anda.

Sementara otentikasi dua faktor berbasis SMS adalah sistem yang relatif cacat yang rentan terhadap intersepsi atau serangan, itu jauh lebih baik daripada hanya mengandalkan kata sandi.

Jika Anda berada di Eropa, hal terbaik yang dapat Anda lakukan adalah memeriksa ulang setiap OTP atau 2FA yang Anda terima. Hanya perlu beberapa detik untuk beralih ke Pesan dan memverifikasi informasi kontekstual.

Itu terutama benar jika Anda tidak dapat dengan mudah membedakan antara kode sandi TAN dan 2FA tanpa memeriksa pesan teks SMS asli.

Jika Anda tidak berada di negara yang menggunakan TAN, mungkin masih cerdas untuk memverifikasi OTP mencurigakan yang dikirim ke perangkat Anda. Jika Anda tidak masuk secara aktif dan Anda menerima pesan teks OTP, mungkin ada sesuatu yang salah.

Selanjutnya, waspadai sistem TAN untuk diterapkan secara lebih luas di bank-bank AS. Eropa, belakangan ini, memimpin dalam hal standar privasi dan keamanan. Kemungkinan TAN dapat diadopsi oleh bank dan lembaga keuangan AS dalam waktu dekat.

Anda juga harus menggunakan praktik terbaik keamanan secara umum saat menangani data keuangan atau informasi login. Bahkan kata sandi terbaik dan keamanan 2FA tidak dapat melindungi Anda dari rekayasa sosial.