idwebhost
icon icon icon icon icon icon •

SMS 2FA Sudah Tidak Aman: Kenali Risiko dan Alternatifnya!

SMS 2FA Sudah Tidak Aman: Kenali Risiko dan Alternatifnya!
Ade Gusti's avatar
Ade Gusti

Waktu membaca menit

Kategori Hosting

Update Terakhir 4 Mar 2025

Menggunakan two factor authentication (2FA) saat login ke akun memang lebih aman dibanding hanya mengandalkan kata sandi. Namun, jika kode 2FA dikirim melalui SMS, justru bisa menjadi celah keamanan yang rentan diretas. Google sendiri telah menyatakan bahwa metode two factor authentication (2FA) melalui SMS tidak lagi aman bagi pengguna Gmail. Lalu, apa risiko yang mengintai? Dan apa alternatifnya? Simak selengkapnya dalam artikel ini!

Apa Itu SMS 2FA?

Keamanan digital sangat bergantung pada sistem autentikasi yang kuat. Dalam dunia cybersecurity, ada tiga jenis factor authentication (FA) yang perlu kamu pahami: 

  • Sesuatu yang kamu tahu, seperti kata sandi atau PIN.
  • Sesuatu yang kamu punya, seperti ponsel, smart card, atau USB security key.
  • Sesuatu yang kamu adalah, seperti sidik jari, pengenalan wajah, atau pemindaian retina.

Two-Factor Authentication (2FA) mengkombinasikan dua dari tiga faktor di atas untuk meningkatkan keamanan akun. Biasanya, 2FA meminta pengguna untuk memasukkan kata sandi terlebih dahulu, lalu memasukkan kode verifikasi yang dikirim melalui SMS atau aplikasi autentikasi.

Namun, pada beberapa pengaturan, kode two factor authentication tersebut akan dikirim melalui SMS, dan disinilah celah keamanan mulai terbuka. Peretas bisa mengeksploitasi SIM swapping, phising, atau serangan man-in-the-middle untuk mencuri kode verifikasi.

Baca Juga: Zero Trust Security: Strategi Keamanan Online Wajib 2025!

SMS 2FA tidak aman

Mengapa SMS 2FA Tidak Aman?

Tujuan utama 2FA sebenarnya adalah untuk menambah lapisan keamanan agar akun kamu tidak mudah diakses oleh orang lain. Metode autentikasi tersebut juga sudah lama diadaptasi oleh Google untuk meningkatkan keamanan akun pengguna. 

Dengan metode ini, selain memasukkan password, pengguna juga harus memasukkan kode verifikasi yang dikirimkan melalui SMS ke nomor ponsel yang telah terdaftar. 

Namun, baru-baru ini Google menganggap bahwa metode two factor authentication (2FA) melalui SMS justru rentan disalahgunakan oleh penjahat siber karena beberapa alasan utama:

  • Mudah Disadap: Penjahat siber dapat mencegat pesan dengan meyakinkan operator untuk memindahkan nomor telepon korban ke perangkat lain.
  • Serangan Traffic Pumping: Penipu dapat memanfaatkan celah ini untuk mengirim banyak SMS ke nomor mereka sendiri dan mendapatkan keuntungan finansial.
  • Otomatisasi oleh Skrip: Banyak peretas menggunakan skrip untuk mencoba meretas akun secara otomatis dengan kode SMS 2FA yang dicegat.
  • Penggunaan Jaringan Publik yang Rentan: Jika kamu menerima SMS 2FA saat terhubung ke jaringan Wi-Fi publik yang tidak aman, peretas bisa mencuri kode tersebut menggunakan teknik sniffing.

Menggunakan SMS 2FA memang lebih baik daripada tidak menggunakan autentikasi sama sekali, tetapi jika ada opsi lain yang lebih aman, sebaiknya gunakan metode lain.

Risiko jika Masih Pakai SMS 2FA

SMS 2FA mungkin mudah digunakan, tetapi sayangnya rentan terhadap berbagai jenis serangan. Jika kamu masih mengandalkan SMS untuk autentikasi dua faktor, berikut beberapa risikonya:

#1. Spoofing dan Phising

Tanpa perlindungan yang kuat, peretas bisa mencegat dan membaca pesan melalui teknik spoofing atau phising. Karena SMS tidak dienkripsi, pesan bisa diakses oleh peretas dengan cara:

  • Penyadapan Jaringan: Peretas dapat mencegat komunikasi antara pengguna dan operator.
  • Malware di Perangkat: Pengguna bisa tertipu menginstal aplikasi berbahaya yang mencuri kode 2FA.
  • Situs Palsu: Peretas membuat halaman login tiruan yang mirip dengan situs asli untuk mencuri kode verifikasi.

#2. SIM Swapping

SIM swapping adalah metode di mana penjahat siber mengambil alih nomor telepon korban. Prosesnya:

  • Peretas menghubungi penyedia layanan seluler, berpura-pura menjadi korban.
  • Dengan menggunakan data pribadi korban, peretas meminta agar nomor telepon dipindahkan ke SIM baru.
  • Setelah berhasil, peretas dapat menerima semua SMS termasuk kode autentikasi 2FA.
  • Peretas kemudian bisa mengakses akun korban dengan mudah dan mengganti informasi login.

#3. Social Engineering

Peretas sering menggunakan manipulasi psikologis untuk mendapatkan akses ke akun target, atau yang kita kenal sebagai social engineering. Beberapa taktiknya meliputi:

  • Menggunakan data yang bocor dari kebocoran data sebelumnya untuk meyakinkan layanan pelanggan.
  • Menyamar sebagai anggota keluarga atau teman untuk mendapatkan akses ke informasi pribadi.
SMS 2FA tidak aman

Alternatif untuk Cybersecurity

Kalau kamu ingin mengamankan akun Google yang lebih baik dan menghindari risiko di atas, ada beberapa alternatif two factor authentication yang lebih aman daripada SMS 2FA:

#1. Typing Biometrics

Metode ini menggunakan pola mengetik unik setiap pengguna sebagai autentikasi. Sistem akan mencocokkan ritme dan tekanan ketikan kamu dengan data yang sudah tersimpan. Jika pola cocok, akses akan diberikan. Ini sulit diretas karena setiap orang punya cara mengetik yang khas!

#2. Authenticator Apps

Aplikasi seperti Google Authenticator atau Microsoft Authenticator menghasilkan kode yang berubah setiap 30 detik. Keunggulannya? Tidak bergantung pada SMS, jadi tidak bisa dicegat oleh hacker yang mencoba mencuri kode verifikasi kamu. Ditambah lagi, ini tetap bisa digunakan meskipun ponsel sedang offline!

#3. Physical Security Keys

YubiKey dan kunci fisik lainnya menjadi solusi 2FA paling aman saat ini. Cukup colokkan perangkat ini ke laptop atau tempelkan ke smartphone untuk verifikasi login. Keunggulannya, serangan phising jadi hampir mustahil. Namun, pastikan kamu tidak kehilangan kuncinya!

#4. Push Notification Authentication

Layanan seperti Google Prompt atau Microsoft Authenticator memungkinkan autentikasi berbasis notifikasi push. Ketika kamu login, perangkat yang sudah terdaftar akan menerima notifikasi untuk menyetujui atau menolak permintaan akses. Cara ini lebih praktis dibandingkan mengetik kode secara manual.

#5. QR Code dari Google

Google sudah menyiapkan alternatif untuk mengganti SMS 2FA yang sudah tidak aman. Alternatif yang dimaksud adalah dengan autentikasi QR Code. Tentunya, ini menjadi kabar baik bagi para pengguna Gmail.

Dengan kode QR, proses login jadi lebih aman dan simpel: cukup scan kode yang muncul di layar dengan kamera ponsel atau aplikasi autentikasi, lalu akses akunmu tanpa perlu mengetik kode manual.

Keunggulan utama metode ini adalah keamanan lebih tinggi, proses login lebih cepat, dan tidak bergantung pada operator seluler. Jadi, risiko peretasan akibat kebocoran nomor HP bisa diminimalisir.

Baca Juga: 5 Cara Mudah Ganti Alamat Gmail dan Lindungi Keamanan Data

Kesimpulan

Two factor authentication (2FA) melalui SMS memang mudah digunakan, tetapi memiliki banyak celah keamanan yang bisa dimanfaatkan peretas. Bahkan Google pun sudah menyatakan bahwa metode SMS 2FA sudah tidak aman bagi pengguna Gmail. 

Dengan meningkatnya ancaman cybersecurity, pengguna Gmail disarankan beralih ke metode yang lebih aman seperti aplikasi autentikasi, push notification, atau kunci fisik hingga QR Code yang akan diluncurkan oleh Google.

Untuk keamanan data yang lebih optimal, gunakan layanan Google Workspace dari IDwebhost yang sudah dilengkapi dengan Google Security Anti Phishing and Spam. Dengan perlindungan ekstra ini, kamu bisa lebih tenang dalam mengelola akun bisnis dan data pentingmu!

Mulai Berlangganan Google Workspace!

Related Articles

Optimalkan Keamanan Email dengan S/MIME, Begini Caranya!

Optimalkan Keamanan Email dengan S/MIME, Begini Caranya!

Mail Transfer Agent (MTA): Apa Itu, Cara Kerja dan Contohnya

Mail Transfer Agent (MTA): Apa Itu, Cara Kerja dan Contohnya