Makna Multi-factor Authentication

tl:dr; what you know, what you have, what you are

Baru-baru ini saya menonton video youtube dari dosen saya, Pak Tutun Juhana, tentang bagaimana cara mengaktifkan Two Factor Authentication di Instagram. Terinspirasi dari situ, kayaknya menarik membahas makna atau filosofi dari two-factor atau multi-factor authentication. Sudah beberapa bulan terakhir saya mengerjakan beberapa topik penelitian di bidang biometry dan security. Sebelum saya fokus di bidang ini, saya juga hanyalah pengguna, apa yang disuruh untuk dilakukan oleh Google, Facebook, dll, akan saya lakukan dengan harapan akun saya tidak mudah dihack orang. Tapi ternyata sistem ini sangat menarik secara konseptual.

Sosial media sudah jadi aset yang harganya mungkin lebih mahal dari instumen investasi konvensional lainnya seperti properti. Saya punya teman yang sangat stress ketika akun sosial media nya dihack, karena dari situlah nafkah nya berasal. Tapi sistem multi-factor authentication ini bukan cuma untuk mengamankan akun sosial media kita, tetapi berlaku juga secara umum pada kehidupan sehari-hari untuk melindungi semua aset yang kita miliki, seperti uang di bank, barang mewah, bahkan aset berupa informasi dan identitas diri kita. Mari kita bahas apa saja faktornya satu per satu.

Apa yang Kamu Tahu (Knowledge Factor)
Faktor pertama yang berguna untuk mengamankan aset kita adalah menggunakan informasi yang hanya kita yang tahu. Contoh paling mudahnya adalah password. Password adalah informasi yang semestinya hanya kita yang tahu. Jangan pernah memberitahu password pada orang yang tidak kita kenal, atau menulis password di kertas yang mungkin bisa diakses orang banyak. Kalau kita memasukan username/email dan password untuk masuk ke akun sosial media, apakah itu termasuk multi-factor? Bukan, karena kedua item tadi sama-sama berbentuk informasi yang kita ketahui.

Nah, bagaimana kalau informasi ini diketahui orang lain? Kalau sistem perlindungan aset kita tidak dilengkapi dengan faktor lainnya, maka resiko kita kehilangan aset tersebut sangat besar.

Apa yang Kamu Punya (Possession Factor)
Faktor kedua ini berkaitan dengan benda yang kamu punya untuk melindungi aset kamu. Contoh paling mudahnya? Kunci rumah! Asumsinya, cuma kita yang punya kunci rumah kita sendiri. Tapi bagaimana kalau ada yang menduplikasi kunci rumah kita? Begitu juga dengan kunci mobil atau kendaraan lainnya. Kalau kita kehilangan benda-benda ini dan sistemnya tidak dilengkapi dengan faktor lainnya, maka resiko kita kehilangan aset menjadi sangat besar.

Apa yang ada di diri kamu (Inherence Factor)
Bentuk wajah kamu, suara kamu, dan sidik jari kamu, adalah beberapa contoh faktor yang unik, dan hanya ada pada diri kamu. Contohnya adalah petugas keamanan atau satpam yang ada di kantor atau lingkungan rumah kamu. Kita bisa bebas melenggang masuk ke komplek rumah kita, karena Pak Satpam bisa mengenali muka kita. Kalau ada muka yang asing dan tidak ada di “database” memori bapak Satpam, maka Pak Satpam akan menghentikan orang tersebut dan menanyakan apa keperluannya datang ke area komplek. Tapi pada contoh lain, kalau ada orang yang memiliki sidik jari kita, dan meletakannya di barang bukti kriminal, maka identitas kita sudah dicuri dan kita akan menjadi tersangka kasus kriminal. Jika sistemnya tidak dilengkapi dengan faktor lainnya, maka resiko kita kehilangan aset yang kita punya, menjadi sangat besar.

Di mana saja kita bisa menemukan multi-factor authentication?
Setelah kita secara sadar tahu apa saja faktor nya, maka coba kita bisa lihat contoh sehari-hari yang ada di sekitar kita yang menggunakan multi-factor.

  • Ambil uang di ATM: Kartu (possession) + PIN (knowledge)
  • Lewat gate imigrasi: Passport (possession) + Foto & sidik jadi (inherence)
  • Absen pegawai: kartu pegawai (possession) + sidik jari (inherence)
  • Transfer bank online: PIN (knowledge) + Token (possession)
  • Transaksi kartu kredit online: Nomer kartu (knowledge) + sms ke handphone (possession)

Gak sedikit juga hal-hal yang ada disekitar kita, walaupun penting dan “mahal” tapi cuma terlindungi dengan single-factor authentication

  • Kunci mobil/motor/gembok sepeda
  • Password laptop/handphone
  • Kunci rumah/kos2an

Intinya, menggunakan multi-factor authentication akan mengurangi resiko kita kehilangan aset yang kita lindungi. Yes, kata kuncinya adalah “aset yang kita lindungi” dengan proses autentikasi. Kalau kita punya tas Louis Vuitton seharga berpuluh-puluh juta, apakah kita bisa lindungi tas ini dengan faktor-faktor tadi? Tergantung, apakah kita letakan aset tersebut pada sistem dengan konsep autentikasi, dimana sistem ini melakukan pemeriksaan apakah orang yang mengaksesnya adalah autentik/asli orang yang memiliki aset tersebut. Kalau kita letakkan di dalam rumah, orang-orang yang memiliki kunci rumah akan dianggap autentik oleh sistem ini. Itulah makanya banyak orang memiliki brangkas besi dengan PIN untuk melindungi barang mewah di rumahnya, karena secara tidak langsung, barang mewah tersebut terlindungi dengan two-factor authentication, yaitu kunci rumah (possession) dan pin brangkas besi (knowledge).

Kalau kita tahu bagaimana orang jahat mengeksploitasi kita, semoga kita jadi lebih waspada dalam membagikan informasi yang kita tahu, benda-benda yang kita punya, dan informasi biometric kita secara sengaja maupun tidak. Cheers!