Mengaktifkan faktor kedua lewat SMS adalah salah satu keputusan terbaik yang bisa kamu ambil hari ini. Sekaligus yang pertama harus kamu tinjau ulang.
Dua-duanya benar pada saat yang sama, dan di situlah seluruh kerumitannya. Perdebatannya biasanya merosot jadi dua kubu yang sama-sama keliru: mereka yang menganggap SMS sebagai keamanan sungguhan dan mereka yang menganggapnya sandiwara. SMS jauh lebih baik daripada tidak ada apa-apa dan, pada saat yang sama, adalah yang paling lemah dari semua faktor kedua yang lazim dipakai. Tidak ada kontradiksi di situ. Yang ada adalah sebuah tangga, dan SMS adalah anak tangga pertama — jauh di atas lantai.
Yang dilakukan SMS dengan baik
Tanpa faktor kedua, akunmu bergantung pada satu rahasia yang bisa jadi sudah bertahun-tahun beredar di kebocoran data milik orang lain tanpa kamu tahu. Seseorang mengambil daftar itu, mencobanya di satu layanan demi layanan lain, dan kalau kamu memakai ulang kata sandinya, dia masuk. Dia tidak memilihmu: barismu kebetulan muncul di sebuah spreadsheet.
SMS memutus itu sampai ke akarnya. Begitu ada faktor kedua, menyerangmu berhenti jadi prosedur otomatis dan berubah jadi pekerjaan yang diarahkan khusus kepadamu. Dia harus tahu siapa kamu, nomor apa yang kamu pakai, dan siapa yang menyediakannya. Bagi banyak penyerang itu tidak sepadan: masih banyak akun yang lebih gampang. Karena itu, kalau sebuah layanan hanya menawarkan SMS, jawabannya ya, tanpa tapi. Tapinya datang belakangan.
Kegagalannya bukan di ponselmu
Orang membayangkan membobol SMS berarti menyadap gelombang, mengkloning chip, atau menanam malware di ponsel. Tidak satu pun dari itu diperlukan. Serangan yang benar-benar menghabisi akun orang, dan yang muncul berulang kali dalam kasus-kasus publik, adalah SIM swapping, dan isinya jauh lebih membosankan: seseorang menelepon operator selulermu, bilang SIM-nya hilang, menjawab beberapa pertanyaan verifikasi, lalu meminta kartu pengganti. Sejak detik itu, SMS-mu sampai ke dia.
Perhatikan apa yang tidak terjadi di sana. Tidak ada enkripsi yang dibobol. Tidak ada yang menyentuh ponselmu. Kamu tidak berbuat salah apa pun — dan tidak sadar apa-apa, kecuali karena nomormu tiba-tiba mati total, dan itu, kalau kamu sedang tidur, bisa lama baru terasa. SIM swapping bukan serangan teknis terhadapmu: itu rekayasa sosial terhadap operator selulermu. Mata rantai yang putus adalah seorang petugas layanan pelanggan yang digaji untuk menyelesaikan keluhan dengan cepat dan yang baru saja diceritai kisah yang sangat masuk akal, karena kehilangan SIM memang terjadi pada orang setiap hari. Kasus-kasusnya terdokumentasi luas dan polanya berulang dengan monoton sampai tak lagi mengejutkan.
Yang bikin tidak nyaman: kamu sama sekali tidak punya peran di sana. Keamananmu bergantung pada proses verifikasi sebuah perusahaan yang tidak kamu pilih karena alasan itu. Dan ada cacat kedua, yang lebih senyap: nomor teleponmu bukan rahasia. Kamu sudah memberikannya ke dokter gigi, ke petugas paket, dan ke setengah isi kontak WhatsApp orang sekampung. Sebuah identitas yang kamu sebar sesuka hati di sini justru berperan sebagai kredensial.
Anak tangga kedua: sebuah aplikasi
Anak tangga berikutnya adalah TOTP — kode enam digit yang berganti tiap tiga puluh detik di aplikasi seperti punya Google, Aegis, 1Password, atau Bitwarden.
Mekanismenya elegan: layanan dan aplikasimu berbagi satu rahasia satu kali saja, saat pengaturan awal, dan sejak itu keduanya menghitung kode yang sama dari rahasia tersebut dan jam. Tidak ada yang dikirim. Dan di situlah seluruh perbedaannya: kalau tidak ada yang berjalan, tidak ada yang bisa dialihkan. Tidak ada operator, tidak ada nomor, tidak ada siapa pun yang bisa ditelepon untuk minta kartu pengganti. SIM swapping tidak punya pintu masuk.
Itu lompatan besar dan cuma makan lima menit. Tapi ini pun belum akhir, karena TOTP masih menyimpan satu titik buta yang sangat manusiawi: kode itu kamu sendiri yang mengetikkannya untuk siapa pun yang memintanya. Kalau kamu sedang mengetik di halaman yang mirip banknya tapi bukan, penyerang menampungnya dan meneruskannya ke situs asli dalam sisa detik hidupnya. Aplikasimu menghasilkan angka; dia tidak tahu ke mana kamu menempelkannya.
Anak tangga yang tidak bisa ditipu
Kunci fisik — standar FIDO/U2F, sebuah kunci USB atau NFC, atau ponselmu sendiri yang bertindak sebagai autentikator — menyelesaikan persis soal itu. Saat kamu mendaftar, ia membuat sepasang kunci yang terikat pada origin: pada domain spesifik layanan tersebut. Saat kamu masuk, peramban memberi tahu untuk domain mana tanda tangan diminta, dan kunci itu menandatangani tantangan yang memuat domain tersebut di dalamnya. Kalau halamannya cuma tiruan yang ditaruh di tempat lain, domainnya tidak cocok dan tidak keluar tanda tangan yang akan diterima layanan aslinya.
Dengan kata lain: kunci itu bukan lebih pintar darimu; dia cuma tidak percaya pada penilaianmu. Dia tidak melihat ikon gembok, tidak membaca URL, tidak menimbang apakah emailnya tampak sah. Dia membandingkan satu untai teks dengan untai teks lain. Dialah satu-satunya mata rantai yang tidak bisa dibujuk dengan cerita yang bagus — dan sampai di titik ini kamu pasti sudah sadar bahwa cerita-cerita bagus justru itulah masalahnya.
“Dibatasi” bukan berarti “dilarang”
NIST, dalam SP 800-63B, menggolongkan verifikasi out-of-band lewat jaringan telepon — alias SMS — sebagai restricted, alias dibatasi. Kata itu layak kita berhenti sejenak, karena nuansanya adalah seluruh isi tulisan ini. Dibatasi bukan dilarang: itu kategori tengah yang memang disengaja. Ia masih boleh dipakai, tapi yang memakainya menanggung kewajiban: menilai risikonya, memberi tahu pengguna bahwa kanal itu punya kelemahan yang sudah diketahui, dan punya rencana untuk pindah ke sesuatu yang lebih baik.
Itu posisi yang lebih cerdas daripada larangan, dan menjelaskan kenapa SMS masih berdiri. Mekanisme biasa-biasa saja yang dipakai orang melindungi lebih banyak daripada mekanisme luar biasa yang tidak diaktifkan siapa-siapa. Kalau besok SMS dilarang di mana-mana, sebagian besar akun itu tidak akan naik satu anak tangga: mereka akan tinggal berbekal kata sandi saja, dan itu lantai.
Apa yang harus dilakukan, berurutan
- Kalau sebuah layanan cuma menawarkan SMS, aktifkan. Hari ini juga. Anak tangga pertama itu yang paling banyak menaikkan ketinggian.
- Kalau ada TOTP, pindah ke TOTP dan cabut SMS sebagai cadangan kalau diizinkan. Keamananmu setara dengan metode terlemah yang kamu terima, karena penyeranglah yang memilih lewat mana dia masuk.
- Untuk yang benar-benar penting — email, bank, pengelola kata sandi — pasang kunci fisik. Dari emailmu bergantung semua tombol “lupa kata sandi” seumur hidupmu.
- Kalau operatormu mengizinkan PIN atau kunci portabilitas nomor, pasang. Itu tidak membereskan akar masalahnya, tapi menyulitkan si penelepon mendapat kartu pengganti.
- Dan jangan lupakan faktor pertama. 2FA itu gerendel kedua, bukan pengampunan buat yang pertama: kata sandi yang panjang, unik, dan keluar dari generator, dan kalau kamu ragu dengan salah satu yang sudah kamu pakai, lewatkan ke pemeriksa.
Kesimpulannya membosankan dan justru karena itu hampir tidak ada yang mengatakannya: SMS itu buruk, dan kamu sebaiknya memakainya kalau tidak punya yang lain. Keamanan yang sungguhan hampir tidak pernah soal memilih opsi yang sempurna, melainkan soal tahu mana yang terburuk di antara yang baik, memakainya selama masih perlu, dan tidak pernah mengiranya sebagai tanda kamu sudah selesai.
Sumber: NIST SP 800-63B, yang menggolongkan verifikasi out-of-band lewat jaringan telepon publik (SMS atau suara) sebagai metode restricted, dengan kewajiban penilaian risiko, pemberitahuan kepada pengguna, dan rencana migrasi yang tersirat dari kategori itu · spesifikasi FIDO/U2F dan WebAuthn, serta verifikasi origin (domain) pada saat penandatanganan · RFC 6238 (TOTP) · kasus-kasus SIM swapping yang terdokumentasi luas di media dan dalam proses peradilan.