Di mana Otentikasi Dua Faktor Gagal

Desainer web terus-menerus dibombardir dengan saran keamanan. Kami diberi tahu tentang praktik terbaik, lubang keamanan, dan tambalan yang diperlukan. Cukup membuat kepala Anda pusing.

Tentu saja, ini semua penting dan bermaksud baik. Keamanan online adalah target yang terus bergerak, di mana bahkan pemain terbesar pun rentan. Oleh karena itu, terserah kita untuk mengikuti perkembangan terbaru.

Otentikasi dua faktor (2FA) telah menjadi salah satu teknologi yang paling dipuji untuk menjaga keamanan akun online. Anda melihatnya diimplementasikan di mana-mana mulai dari perbankan hingga media sosial. Dan itu dapat dengan mudah diinstal di situs web Anda sendiri juga.

Meskipun 2FA dapat efektif dalam menggagalkan akses tidak sah ke akun kami, 2FA juga memiliki beberapa kelemahan yang berpotensi besar. Baru-baru ini, saya mengalami ini secara langsung. Berikut ini adalah melihat apa yang terjadi dan kekacauan itu membantu menciptakan.

Implementasi Berbeda di Seluruh Penyedia – Dengan Satu Utas Umum

Seperti hampir semua teknologi lainnya, otentikasi dua faktor dapat diimplementasikan dalam beberapa cara. Pengguna dapat mengautentikasi melalui pesan SMS, email, atau kode verifikasi dari aplikasi seperti Google Authenticator. Mereka mungkin juga memilih foto tepercaya yang ditampilkan dengan setiap login, memastikan bahwa mereka tidak berada di situs phishing.

Terkadang penyedia layanan akan memberi Anda pilihan. Tetapi cukup sering Anda terjebak dengan metode apa pun yang mereka tawarkan. Semakin banyak akun yang Anda lindungi melalui 2FA, semakin rumit semua ini.

Misalnya, banyak tempat menggunakan pesan SMS untuk ponsel Anda. Tetapi sekali lagi beberapa juga akan memerlukan aplikasi otentikasi itu. Yang lain akan memiliki pandangan yang berbeda. Tantangannya adalah mencoba melacak siapa yang menggunakan teknologi apa dan memastikan Anda memiliki alat yang tepat.

Tetapi tampaknya sebagian besar metode memiliki satu kesamaan: mereka mengandalkan perangkat seluler Anda untuk bekerja. Itu pasti nyaman. Namun, bagaimana jika sesuatu terjadi pada perangkat itu?

Telepon yang Gagal Menyebabkan Kekacauan

Inilah situasi yang saya alami, karena koneksi data seluler di ponsel Android saya rusak. Pesan teks tertunda berjam-jam atau tidak terkirim sama sekali. Seorang anggota keluarga yang tinggal di rumah yang sama dan di jaringan yang sama menerima pesan mereka dengan baik. Itu membuat saya percaya ini adalah semacam kegagalan perangkat keras.

Seperti yang dilakukan seseorang dalam kesulitan ini, saya mencoba sejumlah solusi. Ini termasuk "opsi nuklir" yang ditakuti dari pengaturan ulang pabrik telepon saya. Ini patut dicoba, bukan?

Masalahnya di sini ada dua. Pertama, itu tidak memperbaiki masalah perpesanan teks. Lebih buruk lagi adalah itu mengeluarkan saya dari semua berbagai akun saya. Google, Facebook, Twitter, dll semuanya nuked. Mungkin itu lebih baik untuk kesehatan mental saya, tetapi mungkin tidak begitu baik untuk bekerja/bermain.

Mencoba untuk masuk kembali ke masing-masing akun ini tidaklah mudah. Mengapa? Karena 2FA, tentu saja.

Google sangat tangguh, karena hanya dua opsi yang diberikan kepada saya terkait dengan ponsel saya. Ia ingin mengirimi saya teks – tetapi itu tidak akan berhasil. Dan mereka juga mengizinkan kode Google Authenticator. Ini akan sangat bagus, tetapi saya harus masuk ke akun Google saya untuk, Anda tahu, mendapatkan akses ke kode.

Solusinya adalah akhirnya mem-boot komputer desktop saya dan mematikan sementara 2FA untuk Google (mereka benar -benar tidak menyukai ini). Lega, saya mendapatkan kembali Gmail saya.

Untuk lebih menyenangkan, saya harus mengulangi proses serupa dengan beberapa akun lain. Ironisnya, saya tidak dapat mengakses perbankan online saya melalui desktop saya, karena bergantung pada verifikasi SMS. Namun, saya dapat melakukannya di ponsel saya karena tidak ada persyaratan seperti itu. Memikirkan hal ini saja membuatku berkeringat dingin.

Tentu saja, situasi saya tidak unik. Siapa pun yang tidak memiliki akses ke perangkat seluler mereka dapat dengan mudah berada di kapal yang sama.

Pelajaran yang Dipetik

Frustrasi yang terkait dengan 2FA dapat berguna sebagai momen yang bisa diajarkan. Kami yang membangun situs web untuk mencari nafkah menepuk punggung kami sendiri untuk meningkatkan keamanan – dan memang demikian. Tetapi menerapkan teknologi ini dengan sendirinya bukanlah akhir dari misi kami.

Sebaliknya, dibutuhkan pemikiran yang serius. Berikut adalah beberapa hal yang perlu diingat sebelum menambahkan otentikasi dua faktor ke situs web Anda:

2FA Tidak Harus Menjadi Persyaratan

Sangat menggoda untuk memaksa pengguna menggunakan otentikasi dua faktor. Dan dalam keadaan berisiko tinggi tertentu ini masuk akal.

Tetapi untuk sebagian besar situs, Anda dapat mempertimbangkan untuk menggunakan persyaratan kata sandi yang ketat. Misalnya, jika Anda menjalankan situs keanggotaan yang tidak berisi rahasia apa pun, 2FA bisa menjadi opsional. Tapi mungkin Anda meminta pengguna untuk mengubah kata sandi setiap enam bulan.

Ini sedikit mengurangi kerumitan bagi pengguna dan semoga lebih sedikit dukungan yang bekerja untuk Anda. Dan jangan lupa tentang aksesibilitas. Terlepas dari asumsi, tidak semua orang memiliki akses ke banyak perangkat.

Berikan Alternatif

Meskipun mungkin sulit dari sudut pandang pemeliharaan, menawarkan lebih dari satu metode 2FA bisa bermanfaat. Pengguna dapat memilih rasa yang paling cocok untuk mereka. Atau, dalam keadaan darurat, mereka bahkan dapat mengubah apa yang mereka gunakan jika perangkat seluler mereka tidak tersedia.

Singkatnya, setidaknya menawarkan cara mudah bagi orang untuk menghubungi Anda jika mereka mengalami masalah. Ini sangat membuat frustrasi ketika Anda tidak dapat mengakses akun Anda dan tidak ada seorang pun di sana untuk membantu.

Harapkan Beberapa Tantangan

Dimungkinkan untuk melakukan semuanya dengan benar dan masih menemui pengguna yang memiliki masalah login. Misalnya, beberapa implementasi 2FA menawarkan kode cadangan sekali pakai. Mereka bagus untuk saat-saat ketika metode otentikasi yang Anda pilih tidak berfungsi.

Namun, tidak semua orang akan meluangkan waktu untuk menyimpan atau mencetak kode-kode ini (saya yakin tidak). Oleh karena itu, penting untuk mempersiapkan diri menghadapi masalah yang tak terhindarkan yang akan terjadi.

Otentikasi Dua Faktor Bermanfaat, tetapi Jauh dari Sempurna

Semua mengatakan, ada banyak alasan untuk menyukai 2FA. Ini bisa cukup sederhana untuk diterapkan dan membantu mencegah akses tidak sah ke data pengguna. Dan ada sejumlah metode berbeda yang tersedia.

Ini bukan tanpa kekurangannya, meskipun. Seperti yang saya ketahui, ponsel yang miring dapat menyebabkan banyak masalah. Ketidakmampuan untuk masuk ke akun terpenting Anda membuat hidup Anda terhenti. Bayangkan tidak dapat mengakses rekening bank Anda atau bahkan penyedia ponsel Anda.

Jadi, tentu saja, tambahkan otentikasi dua faktor ke situs web dan aplikasi Anda. Tetapi rencanakan ke depan dan cobalah untuk membuat prosesnya tidak menyakitkan bagi pengguna. Anda dapat mengharapkan lingkungan yang lebih aman – jangan berharap keajaiban.