Twitter membatasi akses layanan 2FA untuk penggunanya. Metode pesan teks melalui ponsel kini eksklusif bagi akun centang biru berbayar lewat program Twitter Blue.
Bila Anda bukan pelanggan Twitter Blue dan masih menggunakan 2FA berbasis nomor ponsel, kebijakan baru ini justru punya sisi baik. Ini karena nomor ponsel rentan jadi target peretasan di Indonesia.
Peretas atau pembajak bisa melacak nomor ponsel target dengan mengaitkan informasi pengenal pribadi (Personally Identifiable Informatian – PII). Ini karena nomor ponsel terhubung dengan data kependudukan, seperti NIK, nama, tanggal lahir, dan data pribadi lainnya.
Pembajakan atau peretasan massal seperti yang terjadi pada kasus kru Narasi TV adalah contoh yang layak jadi peringatan. Sebanyak 31 akun awak redaksi Narasi yang masih aktif bekerja dan tujuh kasus lain dari eks karyawan Narasi jadi korban.
Peretasan bisa diawali dengan satu nomor ponsel. Nomor-nomor lain terlacak karena berada dalam satu grup WhatsApp yang sama, atau tercantum dalam daftar kontak si target. Setelah nomor terkumpul, mereset kata sandi jadi “lebih mudah”, apalagi yang mengandalkan nomor hape untuk reset.
Metode two-factor authentication (2FA) mengharuskan pengguna memasukkan kode atau kunci keamanan, selain kata sandi. Langkah tambahan ini membantu memastikan bahwa Anda, dan hanya Anda, yang dapat mengakses akun Anda.
Mengaktifkan 2FA memastikan bahwa meskipun kata sandi akun bocor (mungkin karena dicuri aktor jahat), penyerang akan tetap terblokir tanpa akses ke autentikasi tambahan yang diperlukan.
Twitter mendukung beberapa jenis autentikasi dua faktor. Ini termasuk mengirim kode unik (OTP) ke nomor telepon yang ditautkan ke akun (teks/SMS), menggunakan aplikasi seluler untuk membuat kode unik (aplikasi autentikasi), atau menggunakan kunci keamanan.
Walakin, saat pesan 2FA lewat SMS terkirim ke nomor hape yang sudah diakses aktor jahat, maka akun pun dengan mudah bisa diambil alih. Inilah kenapa metode 2FA dengan SMS tergolong paling rentan.
2FA Tidak bebas risiko
Apapun 2FA yang dipilih, sebenarnya tetap lebih aman daripada tidak mengaktifkan 2FA sama sekali. Namun, beberapa bentuk 2FA memang lebih aman daripada yang lain. Seperti yang digambarkan sebelumnya 2FA berbasis SMS paling rentan terhadap pembajakan SIM dan serangan phishing.
Meski SMS paling rentan, ia justru yang terpopuler. Dalam laporan Twitter, dari 2,6 persen akun Twitter secara global yang mengaktifkan fitur keamanan tersebut hingga Des 2021, 74,4% memilih lewat SMS.
Metode ini tergantung pada penguasaan ponsel si pengguna. Kecuali ponselnya diambil alih oleh pembajak, seharusnya tak akan mudah mengambi alih akun seseorang. Tapi kondisi berubah “sejak negara api menyerang”.
Berkat teknologi kini pembajak tak perlu mencuri ponsel pengguna. Aktor-aktor jahat itu cukup menduplikasi nomor ponsel milik target, dan dengan mudah membajak akun. Ditambah lagi melacak nomor ponsel warga “semudah” mengakses data kependudukan.
Autentikasi lewat aplikasi menghindari risiko pembajakan kartu SIM, tetapi masih rentan terhadap serangan phishing. Kunci keamanan adalah bentuk 2FA terbaru dan teraman karena mencakup perlindungan bawaan dari serangan phishing.
Karena 2FA berbasis nomor telepon dinilai sering disalahgunakan oleh aktor jahat, per 15 Februari 2023 Twitter tak lagi mengizinkan akun mendaftar penggunaan metode 2FA melalui pesan teks/SMS. Kecuali mereka adalah pelanggan Twitter Blue.
Bila Anda bukan pelanggan Twitter Blue dan masih menggunakan 2FA lewat SMS, segera hapus nomor ponsel dari setting akun. Aktifkan 2FA dengan metode selain SMS, seperti petunjuk Twitter berikut ini.
Memverifikasi login akun
Untuk Desktop:
- Langkah 1: Di menu samping, klik Lainnya, lalu klik Pengaturan dan privasi.
- Langkah 2: Klik Keamanan dan akses akun, lalu klik Keamanan.
- Langkah 3: Klik Autentikasi dua faktor.
- Langkah 4: Terdapat tiga metode yang dapat dipilih: SMS, Aplikasi autentikasi, atau Kunci keamanan.
- Langkah 5: Setelah terdaftar, saat Anda masuk ke akun, Anda akan diminta untuk memasukkan metode autentikasi dua faktor yang telah dipilih waktu masuk sebelumnya, dan kata sandi Anda. Anda juga akan melihat opsi untuk Pilih metode autentikasi dua faktor yang lain. Jika Anda ingin melanjutkan, cukup klik perintah untuk memilih metode lain. Ikuti petunjuk di layar untuk menyelesaikan proses masuk.
Untuk Android:
- Langkah 1: Di menu atas, Anda akan melihat ikon menu navigasi atau ikon profil Anda. Sentuh ikon mana pun yang ada, kemudian pilih Pengaturan dan privasi.
- Langkah 2: Sentuh Akun, lalu sentuh Keamanan.
- Langkah 3: Sentuh Autentikasi dua faktor.
- Langkah 4: Terdapat tiga metode yang dapat dipilih: SMS, Aplikasi autentikasi, atau Kunci Keamanan.
- Langkah 5: Setelah terdaftar, saat Anda masuk ke akun, Anda akan diminta untuk memasukkan metode autentikasi dua faktor yang telah Anda gunakan pada waktu masuk sebelumnya, dan kata sandi Anda. Anda juga akan melihat opsi untuk Pilih metode autentikasi dua faktor yang lain. Jika Anda ingin melanjutkan, cukup sentuh perintah untuk memilih metode lain. Ikuti petunjuk di layar untuk menyelesaikan proses masuk.
Untuk iOS:
- Langkah 1: Di menu atas, sentuh ikon profil Anda, lalu sentuh Pengaturan dan privasi.
- Langkah 2: Sentuh Akun, lalu sentuh Keamanan.
- Langkah 3: Sentuh Autentikasi dua faktor.
- Langkah 4: Terdapat tiga metode yang dapat dipilih: SMS, Aplikasi autentikasi, atau Kunci Keamanan.
- Langkah 5: Setelah terdaftar, saat Anda masuk ke akun, Anda akan diminta untuk memasukkan metode autentikasi dua faktor yang telah Anda gunakan pada waktu masuk sebelumnya, dan kata sandi Anda. Anda juga akan melihat opsi untuk Pilih metode autentikasi dua faktor yang lain. Jika Anda ingin melanjutkan, cukup sentuh perintah untuk memilih metode lain. Ikuti petunjuk di layar untuk menyelesaikan proses masuk.
2FA lewat Aplikasi Autentikasi
- Langkah 1: Klik kotak centang di samping Aplikasi autentikasi.
- Langkah 2: Baca petunjuk ikhtisar, lalu klik Mulai.
- Langkah 3: Jika diminta, masukkan kata sandi Anda dan klik Verifikasi.
- Langkah 4: Jika Anda belum mengonfirmasi email untuk akun Twitter Anda, Twitter akan meminta Anda untuk melakukannya: Masukkan alamat email Anda, lalu klik Berikutnya. Lalu, Twitter akan mengirim kode konfirmasi untuk Anda lewat email: Kembali ke akun Twitter Anda, masukkan kode yang ditampilkan, lalu klik Verifikasi.
- Langkah 5: Anda akan diminta untuk menautkan aplikasi autentikasi ke akun Twitter Anda dengan memindai kode QR. (Jika Anda belum menginstal aplikasi di perangkat, Anda perlu mengunduhnya. Anda dapat menggunakan aplikasi autentikasi kata sandi sekali pakai berbatas waktu (Time-based One Time Password/TOTP) apa pun seperti Google Authenticator, Authy, Duo Mobile. 1Password, dll.)
- Langkah 6: Setelah Anda memindai kode QR, klik Berikutnya.
- Langkah 7: Masukkan kode yang dibuat oleh aplikasi, lalu klik Verifikasi.
- Langkah 8: Anda akan melihat layar konfirmasi. Klik Paham untuk menyelesaikan pengaturan.
Kini, lewat aplikasi autentikasi, Anda dapat melihat dan menggunakan kode untuk masuk ke akun Twitter Anda.
2FA melalui Kunci Keamanan
- Langkah 1: Klik Kunci keamanan.
- Langkah 2: Saat diminta, masukkan kata sandi Anda.
- Langkah 3: Jika Anda belum mengonfirmasi email untuk akun Twitter Anda, Twitter akan meminta Anda untuk melakukannya: Masukkan alamat email Anda, lalu klik Berikutnya. Lalu, Twitter akan mengirim kode konfirmasi untuk Anda lewat email: Kembali ke akun Twitter Anda, masukkan kode yang ditampilkan, lalu klik Verifikasi.
- Langkah 4: Baca ikhtisar, lalu klik Mulai.
- Langkah 5: Anda dapat memasukkan kunci ke port USB komputer Anda, atau menyinkronkannya melalui Bluetooth atau NFC komputer Anda. Setelah dimasukkan, sentuh tombol pada kunci Anda.
- Langkah 6: Ikuti petunjuk di layar untuk menyelesaikan pengaturan.
- Langkah 7: Setelah selesai, kunci keamanan Anda akan muncul di bagian Kelola kunci keamanan di Autentikasi dua faktor. Dari sana, Anda dapat menamai ulang atau menghapus kunci keamanan, dan menambahkan kunci keamanan lain ke akun Anda kapan pun.
Anda perlu menggunakan browser versi terbaru yang didukung, seperti Chrome, Edge, Firefox, Opera, atau Safari untuk menambahkan atau masuk ke akun Anda dengan kunci keamanan.
Catatan: Jika Anda menambahkan kunci keamanan untuk perlindungan autentikasi dua faktor tambahan, Twitter tidak lagi mewajibkan penggunaan metode cadangan lain untuk perlindungan lebih lanjut. Kunci keamanan dapat digunakan sebagai satu-satunya metode autentikasi, tanpa mengaktifkan metode lainnya.
Kunci keamanan ini dipandang sebagai bentuk 2FA yang paling aman, karena kunci itu sendiri yang memverifikasi apakah layanan valid. Ia efektif mencegah phishing, dan dapat lebih nyaman daripada menyalin kode dari aplikasi yang terus berubah dalam beberapa detik.
Namun, metode ini mengharuskan Anda membeli perangkat keras fisik yang harus Anda masukkan atau hubungkan secara nirkabel ke ponsel atau komputer Anda. Kunci ini memverifikasi identitas Anda saat masuk ke akun.
Tergantung pada jenis yang Anda beli, beberapa kunci keamanan dilengkapi dengan koneksi USB-C, USB-A, dan Lightning. Ada pula yang mendukung NFC. Banyak merek kunci keamanan, salah satunya Yubico, yang kompatibel dengan Twitter.
*Photo by Joshua Hoehne on Unsplash