Kata Sandi Satu Kali Berbasis SMS: Risiko dan Upaya Perlindungan

Dengan evolusi dunia digital, kebutuhan untuk mengamankan identitas pelanggan juga berevolusi. Pelanggan saat ini mengharapkan pengalaman aman dari organisasi. Peningkatan pemanfaatan layanan berbasis cloud dan perangkat seluler juga telah meningkatkan risiko pelanggaran data. Apakah Anda tahu kerugian peretasan akun keseluruhan meningkat 61% menjadi $ 2,3 miliar dan insiden meningkat hingga 31% dibandingkan dengan tahun 2014?

Password One-Time berbasis SMS adalah teknologi yang diciptakan untuk menangani counter phishing dan risiko keamanan terkait otentikasi lainnya di dunia web. Secara umum, OTP berbasis SMS digunakan sebagai faktor kedua dalam dua solusi otentikasi faktor. Ini mengharuskan pengguna untuk mengirimkan OTP unik setelah memasukkan kredensial untuk mendapatkan diri mereka diverifikasi di situs web. 2FA telah menjadi cara efektif untuk mengurangi insiden peretasan dan mencegah penipuan identitas.

Namun sayangnya, SMS berbasis OTP tidak lagi aman saat ini. Ada dua alasan utama di balik ini:

  • Pertama, keamanan utama dari OTP berbasis SMS bergantung pada privasi pesan teks. Tetapi SMS ini bergantung pada keamanan jaringan seluler dan belakangan ini, banyak jaringan GSM dan 3G menyiratkan bahwa privasi SMS ini pada dasarnya tidak tersedia.
  • Kedua, peretas mencoba yang terbaik untuk mengganggu data pelanggan dan karena itu telah mengembangkan banyak trojan ponsel khusus untuk masuk ke data pelanggan.

Mari bicara tentang mereka secara detail!

Risiko utama yang terkait dengan OTP berbasis SMS:

Tujuan utama penyerang adalah untuk mendapatkan kata sandi satu kali ini dan untuk membuatnya mungkin, banyak opsi dikembangkan seperti Trojans ponsel, intersepsi nirkabel, serangan SIM Swap. Mari kita bahas secara rinci:

1. Wireless Interception:

Ada banyak faktor yang membuat teknologi GSM kurang aman seperti kurangnya otentikasi timbal balik, kurangnya algoritma enkripsi yang kuat, dll. Juga ditemukan bahwa komunikasi antara ponsel atau BTS dapat disadap dan dengan bantuan beberapa kelemahan protokol, dapat didekripsi juga. Selain itu, ditemukan bahwa dengan menyalahgunakan femtocells juga komunikasi 3G dapat dicegat. Dalam serangan ini, firmware yang dimodifikasi dipasang pada femtocell. Firmware ini berisi kemampuan mengendus dan intersepsi. Juga perangkat ini dapat digunakan untuk memasang serangan terhadap ponsel.

2. trojan ponsel:

Ancaman naik terbaru untuk perangkat mobile adalah malware ponsel, khususnya Trojan. Malware ini dirancang khusus untuk mencegat SMS yang mengandung One Time Passwords. Tujuan utama di balik menciptakan malwares semacam itu adalah mendapatkan uang. Mari kita memahami berbagai jenis Trojan yang mampu mencuri OTP berbasis SMS.

Potongan Trojan pertama yang diketahui adalah ZITMO (Zeus In The Mobile) untuk OS Symbian. Trojan ini dikembangkan untuk mencegat mTANs. Trojan memiliki kemampuan untuk mendaftarkan dirinya sendiri ke OS Symbian sehingga ketika mereka SMS dapat dicegat. Ini berisi lebih banyak fitur seperti penerusan pesan, penghapusan pesan, dll. Kemampuan penghapusan sepenuhnya menyembunyikan fakta bahwa pesan telah sampai.

Jenis Trojan serupa untuk Windows Mobile telah diidentifikasi pada Februari 2011, dinamakan sebagai Trojan-Spy.WinCE.Zot.a Fitur Trojan ini mirip dengan yang di atas.

Trojans untuk Android dan RIM Black Berry juga ada. Semua Trojan yang dikenal ini adalah perangkat lunak yang diinstal pengguna, itulah sebabnya mereka tidak memanfaatkan kerentanan keamanan dari platform yang terpengaruh. Selain itu, mereka menggunakan rekayasa sosial untuk meyakinkan pengguna agar menginstal biner.

3. Wi-Fi umum gratis dan hotspot:

Saat ini, tidak lagi sulit bagi peretas untuk menggunakan jaringan WiFi tanpa jaminan untuk mendistribusikan malware. Menanam perangkat lunak yang terinfeksi di perangkat seluler Anda bukan lagi tugas yang berat jika Anda mengizinkan berbagi file di seluruh jaringan. Selain itu, beberapa penjahat juga memiliki kemampuan untuk meretas titik koneksi. Jadi mereka menyajikan jendela pop-up selama proses koneksi yang meminta mereka untuk meng-upgrade beberapa perangkat lunak populer.

4. Enkripsi dan duplikasi SMS:

Transmisi SMS dari institut ke pelanggan terjadi dalam format teks biasa. Dan perlu saya katakan, ia melewati beberapa perantara seperti agregator SMS, vendor ponsel, vendor manajemen aplikasi, dll. Dan setiap kolusi peretas dengan kontrol keamanan yang lemah dapat menimbulkan risiko besar. Selain itu, berkali-kali, peretas mendapatkan SIM diblokir dengan memberikan bukti ID palsu dan mendapatkan SIM duplikat dengan mengunjungi outlet ritel operator seluler. Sekarang peretas jika bebas mengakses semua OTP tiba di nomor itu.

5. Madware:

Madware adalah jenis iklan agresif yang membantu menyediakan iklan bertarget melalui data dan lokasi Smartphone dengan menyediakan aplikasi seluler gratis. Tetapi beberapa madware memiliki kemampuan untuk berfungsi seperti Spyware sehingga mampu menangkap data pribadi dan mentransfernya ke pemilik aplikasi.

Apa solusinya?

Mempekerjakan beberapa langkah pencegahan harus memastikan keamanan terhadap kerentanan berbasis SMS Satu kali kata sandi. Ada banyak solusi di sini seperti memperkenalkan token Perangkat Keras. Dalam pendekatan ini, ketika melakukan transaksi, token akan menghasilkan kata sandi satu kali. Pilihan lainnya adalah menggunakan proses otentikasi satu sentuhan. Selain itu, aplikasi juga dapat diperlukan untuk menginstal di ponsel untuk menghasilkan OTP. Berikut adalah dua kiat lain untuk mengamankan OTP berbasis SMS:

1. SMS ujung ke ujung enkripsi:

Dalam pendekatan ini, enkripsi end-to-end untuk melindungi kata sandi satu kali sehingga menghilangkan kegunaannya jika SMS disadap. Itu membuat penggunaan "aplikasi penyimpanan pribadi" tersedia di sebagian besar ponsel saat ini. Area penyimpanan permanen ini bersifat pribadi untuk setiap aplikasi. Data ini hanya dapat diakses oleh aplikasi yang menyimpan data. Dalam proses ini, langkah pertama berisi proses yang sama menghasilkan OTP, tetapi pada langkah kedua OTP ini dienkripsi dengan kunci customer-centric dan OTP dikirim ke ponsel pelanggan. Di telepon penerima, aplikasi khusus menampilkan OTP ini setelah mendekripnya. Ini berarti bahkan jika Trojan bisa mendapatkan akses ke SMS, itu tidak akan dapat mendekripsi OTP karena tidak adanya kunci yang diperlukan.

2. Saluran khusus virtual untuk ponsel:

Karena Trojans telepon adalah ancaman terbesar terhadap OTP berbasis SMS, sejak melakukan serangan Trojan dalam skala besar tidak lagi sulit, proses ini membutuhkan dukungan minimal dari OS dan dukungan minimal ke tidak ada dari penyedia jaringan seluler. Dalam solusi ini, SMS tertentu dilindungi dari penyadapan dengan mengirimkannya hanya ke saluran atau aplikasi khusus. Proses ini membutuhkan saluran virtual khusus di OS ponsel. Saluran ini mengalihkan beberapa pesan ke aplikasi OTP tertentu sehingga membuatnya aman dari penyadapan. Penggunaan aplikasi penyimpanan pribadi memastikan keamanan untuk perlindungan ini.

Terakhir, tidak peduli proses apa yang Anda pilih, tidak ada teknologi yang dapat memastikan keamanan 100% Anda. Kuncinya di sini adalah memperhatikan dan memperbarui perubahan cepat yang terjadi dalam teknologi.

Perlindungan Back-Feed di Power Supply yang tidak pernah terputus

Perlindungan back-feed, dalam pasokan listrik yang tidak pernah terputus (UPS), mencegah risiko sengatan listrik dari arus listrik yang memberi makan kembali dari output UPS jika terjadi kegagalan pasokan listrik. Ketika listrik gagal dan beban terhubung dilindungi oleh suplai daya yang tidak pernah terputus, perangkat perlindungan back-feed mencegah arus dari diteruskan kembali ke terminal input dari UPS dari output inverter. Ini sangat penting untuk alasan kesehatan dan keselamatan karena memungkinkan teknisi servis bekerja pada sisi suplai yang masuk dari UPS tanpa risiko menerima kejutan listrik.

Contoh dari apa yang dapat terjadi, jika terjadi kegagalan daya listrik, adalah bahwa pasokan thyristor bypass, yang memiliki hubungan pendek menyebabkan output dari inverter dilewatkan ke terminal input melalui komponen yang salah. Ini adalah sesuatu yang harus dicegah di semua biaya – tidak hanya untuk melindungi insinyur tetapi juga beban suplai daya yang tidak pernah terputus juga. Bahkan ketika pasokan input telah dimatikan, melalui isolator, ada potensi untuk itu terjadi, maka perlunya perlindungan back-feed. Jenis perangkat back-feed yang digunakan ditentukan oleh ukuran power supply yang tidak pernah terputus.

Plug-in Uninterruptible Power Supplies

Perlindungan back-feed untuk catu daya tak terputus fase tunggal, hingga 16A, perlu memberikan perlindungan untuk konduktor masukan langsung dan netral menggunakan celah udara tertentu. Celah udara biasanya disediakan melalui relai yang terbuka ketika catu daya utama gagal.

Untuk catu daya plug-in, jika kesalahan terjadi ketika pengguna memutusnya dari catu daya utama (cukup dengan mencabutnya dari stopkontak dinding), relai umpan balik harus mencegah pin yang terbuka menjadi hidup. Itu juga harus menghilangkan kemungkinan pengguna menerima sengatan listrik. Sistem UPS lebih dari 16A sudah dipasangi kabel (biasanya) dan menggunakan salah satu dari dua pendekatan yang berbeda: mekanik atau elektronik.

Catu daya tak terputus yang terhubung

Perangkat Pengumpan Ulang Mekanis:

Beberapa pasokan daya yang tidak terputus dan tersambung dengan listrik disediakan dengan solusi berbasis relai atau kontaktor sebagaimana digunakan dalam model plug-in 16A. Ini, sekali lagi, menyediakan celah udara keamanan yang ditentukan yang terbuka ketika catu daya utama diputuskan atau gagal. Hanya konduktor fase yang terputus dan netral selalu tetap terhubung.

Perangkat Pengumpan Ulang Elektronik:

Banyak pasokan listrik yang tidak terputus menggunakan sistem pendeteksian arus balik, yang terus memantau aliran arus melalui pasokan bypass. Jika kesalahan terjadi dalam thyristor bypass, itu terdeteksi oleh UPS, yang kemudian segera mematikan inverternya.

Perlindungan back-feed sangat mudah diterapkan tetapi sering diabaikan. Seperti banyak potensi bahaya yang terkait dengan sirkuit listrik, masalah sederhana seperti itu dapat sering, jika tidak ditangani, mengarah ke keadaan yang sangat rumit dan mahal. Saklar statis adalah bagian dari desain UPS online. Kemungkinan perlindungan back-feed akan dimasukkan ke dalam unit power supply yang tidak pernah terputus pada tahap pembuatan tetapi selalu terbaik untuk memeriksa. Artikel ini disusun menggunakan informasi yang tersedia di The Power Protection Guide – desain, instalasi, dan pengoperasian catu daya (ISBN: 9 780955 442803). Oleh Robin Koffler dan Jason Yates dari Riello UPS.