Bagaimana caranya
Diposting pada 20 Februari 2023 oleh Kirk McElhearn
Twitter baru-baru ini diumumkan bahwa mereka akan berhenti mengizinkan penggunaan autentikasi dua faktor berbasis SMS untuk layanan mereka, kecuali untuk pelanggan Twitter Blue. Layanan $8 per bulan ini menawarkan tanda centang biru (meskipun bukan verifikasi sebenarnya), kemampuan untuk mengedit tweet, dan banyak lagi. Perubahan ini akan diterapkan pada 30 Maret 2023, dan jika Anda menggunakan autentikasi dua faktor (2FA) berbasis SMS pada saat itu, Twitter akan menonaktifkannya, sehingga akun Anda menjadi kurang aman.
2FA berbasis SMS tidak terlalu aman – SMS dapat dicegat, dan kloning SIM memungkinkan orang berpura-pura memiliki ponsel Anda – dan metode lain yang tersedia jauh lebih kuat. Tetapi keputusan Twitter untuk mematikan 2FA berbasis SMS berbahaya, dan pilihan mereka untuk mengizinkannya digunakan dengan harga tertentu adalah salah arah.
Jika Anda memiliki 2FA berbasis SMS di Twitter, Anda harus mengubahnya untuk menggunakan aplikasi pengautentikasi, dan ada aplikasi bawaan di macOS, iOS, dan iPadOS. Berikut cara melakukannya di Mac, iPhone, atau iPad.
Tentang 2FA Twitter
Autentikasi dua faktor, atau 2FA, melindungi akun Anda dengan mewajibkan, untuk masuk ke situs web atau layanan, Anda harus memasukkan sesuatu yang Anda ketahui, nama pengguna dan sandi, dan sesuatu yang Anda miliki, seperti kode sekali pakai. Kode-kode ini dapat dikirim melalui email atau SMS, atau dapat dihasilkan oleh aplikasi pengautentikasi. Dimungkinkan juga untuk menggunakan kunci keamanan, semacam dongle yang berfungsi sebagai penghasil kunci fisik.
Serapan autentikasi dua faktor di Twitter cukup rendah; per Desember 2021, hanya 2,6% akun aktif yang menggunakan 2FA, dan dari jumlah tersebut, 74,4% menggunakan 2FA berbasis SMS, 28,9% menggunakan aplikasi pengautentikasi, dan hanya 0,5% yang menggunakan kunci keamanan. (Twitter mencatat bahwa akun dapat mengatur beberapa metode 2FA.) Twitter telah menawarkan tiga metode 2FA ini selama bertahun-tahun, dan kebanyakan orang memilih SMS karena lebih sederhana dan tidak memerlukan perangkat lunak tambahan.
Jika saat ini Anda tidak menggunakan 2FA di Twitter, Anda harus melakukannya. Jika kata sandi yang Anda gunakan untuk Twitter lemah, atau jika Anda menggunakan kembali kata sandi yang mungkin muncul dalam pelanggaran data, 2FA mencegah peretas mengambil kendali atas akun Anda. Bagi banyak orang, ini tidak hanya mencakup tweet tetapi juga pesan langsung, yang mungkin berisi informasi pribadi.
Selain itu, 2FA dapat membantu melindungi Anda dari phishing. Jika Anda tertipu untuk memasukkan nama pengguna dan kata sandi di situs phishing, peretas tidak akan bisa masuk ke akun Anda tanpa kode yang Anda buat.
Sementara SMS tidak aman, Ricky Mondello, seorang insinyur perangkat lunak di Apple yang menangani keamanan dan kata sandi, menunjukkan bahwa “SMS 2FA memberikan nilai, terlepas dari kekurangannya.” Mereka menjelaskan bahwa tidak semua orang menjadi sasaran peretas, dan kata sandi yang lemah dapat dilindungi oleh segala bentuk 2FA, bahkan SMS. Dan mereka menunjukkan bahwa otentikasi dua faktor berbasis SMS “relatif dapat digunakan dan diakses: banyak orang mengerti apa artinya memberikan layanan seperti Twitter nomor telepon mereka dan dapat mengetahui cara memasukkan kode yang dikirimkan kepada mereka.”
Mengapa Twitter membuat perubahan ini menjadi autentikasi dua faktor
Sejak Elon Musk membeli Twitter dengan harga yang dinaikkan sebesar $44 miliar, dia telah berusaha memangkas biaya sebanyak mungkin. Dia baru-baru ini mengatakan di Twitter bahwa “Twitter ditipu oleh perusahaan telepon sebesar $60 juta/tahun melalui pesan SMS 2FA palsu.”
Pesan SMS tidak gratis, dan tidak jelas apakah Twitter benar-benar “ditipu”, tetapi memutuskan untuk membuang keamanan dengan cara ini tampaknya picik. Meskipun hanya sebagian kecil pengguna Twitter yang mengaktifkan 2FA, dan membuat orang menggunakan aplikasi autentikator alih-alih SMS adalah hal yang baik, fakta bahwa Twitter membiarkan autentikasi SMS tersedia dengan biaya tertentu tidak masuk akal. Intinya, pengguna yang membayar mendapatkan keamanan yang lebih rendah, jika diinginkan, sementara pengguna yang tidak membayar dan ingin menggunakan 2FA akan lebih aman.
Twitter dapat mengalihkan autentikasi dua faktor SMS mereka ke kode berbasis email, yang mereka gunakan saat memverifikasi alamat email. Ini akan kurang lebih gratis – hanya ada biaya bandwidth minimal untuk email, sedangkan ada biaya operator untuk SMS – dan ini lebih aman daripada SMS.
Selain itu, pengguna Twitter bisa berbulan-bulan, atau bahkan bertahun-tahun tanpa perlu memasukkan kode baru. Anda hanya perlu memasukkan kode saat masuk di perangkat baru atau browser baru. Saya tidak ingat kapan terakhir kali saya harus memasukkan kode 2FA untuk akun Twitter saya.
Ada kemungkinan bahwa “pesan SMS 2FA palsu” ini dikirim saat penipu mencoba masuk ke akun yang dilindungi dengan 2FA. Mungkin seorang peretas memiliki nama pengguna dan kata sandi, dan mencoba mengakses akun, atau mencoba menyetel ulang kata sandi; pada saat itu, SMS dikirim ke pengguna.
Cara mengatur autentikasi dua faktor Twitter dengan aplikasi autentikator
Menyiapkan 2FA di Twitter itu sederhana. Di situs web Twitter, ketuk atau klik ikon …, pilih Pengaturan dan Dukungan, lalu Pengaturan dan Privasi. Ketuk atau klik Keamanan dan Akses Akun, lalu Keamanan.
Di aplikasi Twitter, ketuk atau klik avatar Anda, lalu Pengaturan dan Dukungan, lalu Pengaturan dan Privasi.
Bagian Otentikasi Dua Faktor memungkinkan Anda mengelola fitur ini.
Anda dapat melihat tiga opsi yang saat ini tersedia: Pesan teks, Aplikasi autentikasi, dan Kunci keamanan. Anda juga dapat melihat, di bawah Metode tambahan, bagian Kode cadangan, yang saya bahas di akhir artikel ini.
Ketuk atau klik kotak centang Aplikasi autentikasi. Ikuti petunjuknya, dan, jika Anda belum mengonfirmasi alamat email Anda, Twitter akan mengirimkan email konfirmasi kepada Anda. Masukkan kode di email ini. Twitter menjelaskan langkah-langkah untuk menyiapkan autentikasi dua faktor.
Twitter kemudian menampilkan kode QR; gunakan aplikasi autentikator di ponsel Anda untuk memindai kode ini, lalu buat kode dan masukkan di situs web Twitter. (Saya membahas aplikasi pengautentikasi di bawah.)
Jika Anda tidak dapat memindai kode QR, klik tautan di bawahnya untuk mendapatkan kode alfanumerik panjang yang Anda masukkan di aplikasi autentikator.
Setiap kali Anda masuk ke Twitter di perangkat baru atau di browser baru, Anda harus memasukkan nama pengguna, kata sandi, dan kode unik yang Anda buat.
Menggunakan Apple Keychain sebagai aplikasi autentikator
Untuk melakukan hal di atas, Anda memerlukan aplikasi autentikator, tetapi Anda juga dapat menggunakan Keychain, yang terpasang di macOS, iOS, dan iPadOS. Sejak macOS Monterey dan iOS 15, Keychain telah mendukung kode autentikasi dua faktor, dan informasi disinkronkan di seluruh perangkat Anda melalui iCloud. Selama Anda tidak perlu masuk ke perangkat Android atau Windows tanpa memiliki perangkat Apple, Anda tidak akan memerlukan yang lain.
Untuk melakukannya di Mac, buka Safari > Pengaturan, klik Kata Sandi, masukkan kata sandi Mac Anda atau gunakan Touch ID, lalu cari akun Twitter di daftar kata sandi. Klik Edit, lalu klik Masukkan Kunci Penyiapan:
Di iPhone atau iPad, buka Pengaturan, gulir ke bawah sedikit dan ketuk Kata Sandi, lalu cari akun Twitter yang ingin Anda lindungi. Ketuk entri itu, lalu, di bawah Opsi Akun, ketuk Siapkan Kode Verifikasi. Anda memiliki dua opsi:
Pilih Masukkan Kunci Pengaturan, dan masukkan kunci alfanumerik yang disediakan Twitter.
Apakah Anda telah melakukan ini di Mac, iPhone, atau iPad, Anda sekarang akan diminta oleh Twitter untuk membuat kode, untuk mengonfirmasi bahwa prosesnya telah berhasil. Masukkan kode itu untuk mengonfirmasi, lalu klik Verifikasi.
Menggunakan aplikasi autentikator lain
Anda dapat menggunakan aplikasi autentikator bagian ketiga yang kami bahas dalam artikel ini, seperti Google Authenticator, Microsoft Authenticator, atau Authy, dan lainnya. Semua aplikasi ini tidak melakukan apa pun selain menghasilkan kode; mereka tidak menyimpan kata sandi Anda. Anda mengatur semua akun Anda yang menggunakan 2FA di salah satu aplikasi ini, dan, saat Anda memerlukan kode, Anda membuatnya, lalu memasukkannya ke situs web.
Anda juga dapat menggunakan pengelola kata sandi, seperti 1Password, Dashlane, atau BitWarden untuk membuat kode 2FA. Dengan aplikasi ini, Anda dapat menggabungkan kata sandi dan pembuat kode dua faktor.
Beberapa aplikasi autentikator dan pengelola kata sandi memiliki aplikasi pendamping Apple Watch yang memungkinkan Anda membuat kode di pergelangan tangan Anda; ini dapat berguna untuk situs di mana Anda memerlukan kode 2FA setiap kali Anda masuk. Tidak demikian halnya dengan Twitter; Anda hanya perlu memasukkan kode saat pertama kali masuk dengan perangkat atau browser baru.
Membuat kode cadangan
Setelah menyiapkan 2FA, Anda harus kembali ke halaman utama Autentikasi dua faktor. Di bawah Metode tambahan, Anda akan menemukan tautan ke kode cadangan. Klik ini, dan Twitter menghasilkan kode yang terdiri dari 12 karakter alfanumerik. Salin kode ini dan simpan di tempat yang aman, seperti pengelola kata sandi atau aplikasi catatan aman. Anda dapat membuat banyak kode dengan mengeklik Buat kode baru beberapa kali; Sebaiknya simpan beberapa di antaranya, jika Anda mengalami masalah saat membuat kode satu kali. Anda hanya dapat menggunakan masing-masing kode ini satu kali.
Intinya
Meskipun keputusan mendadak Twitter berisiko membuat banyak akun pengguna menjadi kurang aman, publisitas seputar perubahan ini dapat mendorong lebih banyak pengguna untuk mengadopsi 2FA di Twitter; rendahnya persentase akun yang dilindungi dengan cara ini menunjukkan betapa lemahnya keamanan layanan. Anda harus melindungi semua akun yang menawarkan fitur ini dengan autentikasi dua faktor, dan ada alat bawaan di sistem operasi Apple yang membuatnya sederhana.
Tentang Kirk McElhearn
Kirk McElhearn menulis tentang produk Apple dan lainnya di blognya Kirkville. Dia adalah co-host dari Podcast Intego Mac, serta beberapa podcast lainnya, dan merupakan kontributor reguler Blog Keamanan Mac, TidBITS, dan beberapa situs web dan publikasi lainnya. Kirk telah menulis lebih dari dua lusin buku, termasuk buku Take Control tentang aplikasi media Apple, Scrivener, dan LaunchBar. Ikuti dia di Twitter di @mcelhearn. Lihat semua posting oleh Kirk McElhearn →