Video: TanqR Exposed For HACKING!? *Proof* (Roblox Arsenal) (Desember 2024)
Anda mungkin pernah menemukan salah satu skema otentikasi situs web yang berfungsi dengan mengirimkan kode satu kali ke ponsel cerdas Anda dan membuat Anda memasukkannya secara online. Nomor Otentikasi Transaksi Mobile (mTAN) yang digunakan oleh banyak bank adalah salah satu contohnya. Google Authenticator memungkinkan Anda melindungi akun Gmail Anda dengan cara yang sama, dan berbagai layanan lainnya - LastPass, misalnya - mendukungnya juga. Sayangnya, orang jahat sudah tahu cara menumbangkan jenis otentikasi ini. Autentikasi SMS TextKey adalah pendekatan baru, yang melindungi setiap tahap proses otentikasi.
Balikkan
Otentikasi SMS gaya lama mengirimkan kode sekali pakai ke nomor ponsel terdaftar milik pengguna. Tidak ada cara untuk memastikan bahwa kode tidak ditangkap oleh malware atau dicegat menggunakan klon telepon. Selanjutnya, pengguna mengetik kode ke dalam browser. Jika PC terinfeksi, transaksi dapat dikompromikan. Faktanya, varian Zeus yang disebut zitmo (untuk "Zeus di ponsel") melakukan serangan tag-team, dengan satu komponen pada PC dan satu di ponsel bekerja sama untuk mencuri kredensial Anda, dan uang Anda.
TextKey membalikkan seluruh proses. Itu tidak teks apa pun untuk Anda. Alih-alih, ini menampilkan PIN setelah Anda memasukkan nama pengguna dan kata sandi dan meminta Anda untuk mengirimi PIN itu ke kode pendek yang ditentukan. Operator seluler bekerja sangat keras untuk memastikan satu nomor telepon sama persis dengan satu perangkat, jadi jika server TextKey menerima pesan sama sekali, itu berarti operator sudah memvalidasi nomor telepon dan UDID ponsel. Di sana, TextKey mendapat dua faktor otentikasi tambahan secara gratis!
PIN berbeda setiap kali, dan hanya berlaku selama beberapa menit. Kode pendek juga bervariasi. Dan situs web yang menggunakan TextKey untuk autentikasi secara opsional dapat mengharuskan setiap pengguna untuk membuat PIN pribadi yang harus ditambahkan ke awal atau akhir PIN satu kali.
Apa yang terjadi jika rekan kerja berselancar di layar dengan PIN dan kode pendek, atau program jahat melaporkan aktivitas SMS Anda ke pemiliknya? Jika sistem TextKey menerima PIN yang benar dari nomor telepon yang salah, itu tidak hanya menolak otentikasi. Ini juga mencatat nomor telepon sebagai penipuan, sehingga pemilik situs dapat mengambil tindakan yang sesuai.
Klik tautan ini untuk mencoba TextKey. Untuk tujuan demonstrasi, Anda akan memasukkan nomor telepon Anda; dalam situasi dunia nyata nomor tersebut akan menjadi bagian dari profil pengguna Anda. Perhatikan bahwa Anda dapat memicu peringatan penipuan dengan memasukkan nomor selain milik Anda.
Bagaimana Anda Mendapatkannya
Sayangnya, TextKey bukanlah sesuatu yang dapat Anda terapkan sebagai konsumen. Anda hanya dapat memanfaatkannya jika bank atau situs aman lainnya telah menerapkannya. Usaha kecil dapat melakukan kontrak untuk otentikasi TextKey berdasarkan keamanan sebagai layanan, membayar mulai dari $ 5 hingga $ 0, 50 per pengguna per bulan, tergantung pada jumlah pengguna. Itu adalah biaya bulanan tetap, untuk sejumlah login. Operasi skala besar yang meng-hosting server TextKey mereka sendiri membayar biaya pengaturan serta biaya per bulan.
Skema ini mungkin tidak 100 persen tidak dapat dipecahkan, tetapi jauh lebih sulit daripada otentikasi SMS jadul. Ini jauh melampaui dua faktor; TextPower menyebutnya "Omni-Factor." Anda harus mengetahui kata sandi, memiliki telepon dengan UDID yang benar, memasukkan PIN yang ditampilkan, opsional menambahkan PIN pribadi Anda, mengirim teks dari nomor telepon terdaftar Anda, dan menggunakan kode pendek acak sebagai tujuan. Dihadapkan dengan ini, rata-rata peretas mungkin akan menyelinap dan memecahkan beberapa mTAN bank sebagai gantinya.