Ketika kita menggunakan layanan dari website populer, seperti Google, Facebook, Outlook, dan sebagainya masalah privasi menjadi isu yang sangat serius. Berbagai pengembangan dalam teknik autentifikasi pada layanan web secara terus menerus dilakukan. Hingga saat ini, saya melihat kecenderungan situs populer tersebut menggunakan multi-factor authentication (istilah lain nya Two Factor Authentication disingkat TFA, T-FA atau 2FA) dimana proses autentifikasi harus memenuhi dua atau lebih dari tiga faktor :
- a Knowledge factor (sesuatu yang user ketahui), misalnya password,PIN
- a Possesion Factor (sesuatu yang user miliki) misalnya kartu ATM, smart card
- an Inherence Factor (sesuatu yang menunjukkan bahwa dia user) misalnya karakteristik biometrik seperti sidik jari
Implementasi yang digunakan oleh layanan web yang menggunakan two step verification umumnya adalah memenuhi knowledge factor dan possesion factor, jadi ketika user mengisi password (knowledge factor) secara benar, selanjutnya web tersebut akan meminta verifikasi tambahan dengan mengirimkan semacam token (possesion factor) melaui pesan ke nomor ponsel yang telah didaftarkan nya di web tersebut. Sehingga diharapkan dengan proses tersebut pengguna merasa yakin bahwa yang sedang mengakses layanan tersebut adalah dia sendiri. Namun untuk saat ini, penggunaan token yang dikirimkan melalui pesan singkat di ponsel sudah tergeser dengan aplikasi third party. Saya sendiri sebagai pengguna Android memanfaatkan aplikasi Google Authenticator untuk menyimpan token tersebut. Apliakasi ini dikembangkan secara resmi oleh Google dapat diunduh secara gratis di PlayStore.
Aplikasi ini dapat men-generate token/kode saat proses verifikasi. Kode tersebut akan dilakukan refresh setiap kurang lebih 30 detik sekali. Terebih dahulu saya mengatur setting security pada layanan web untuk mengaktifkan two step verification, kemudian setelah mendaftarkan nomor ponsel akan ditampilkan suatu QR Code, kemudian saya menangkap QR Code menggunakan aplikasi ini, maka secara otomatis, aplikasi ini akan membuatkan account yang berisi nomor token yang dapat digunakan untuk proses autentifikasi (gambar diambil dari sini)
Hingga saat ini sudah beberapa web yang sudah saya aktifkan untuk proses ini, antara lain Google, Facebook, WordPress, Dropbox, Live (Outlook). Sejauh ini saya cukup puas kita tidak perlu menunggu SMS masuk untuk mengisi token, karena aplikasi ini dapat melakukan secara otomatis bahkan ketika ponsel kita dalam keadaan Flight Mode.
Semoga informasi singkat ini sedikit bermanfaat buat teman-teman semua 🙂
Super|User|Corner 