Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for 2FA

2FA

GitHub memperkenalkan 2FA dan peningkatan kualitas hidup untuk npm

by

GitHub telah mengumumkan ketersediaan umum dari tiga peningkatan signifikan pada npm (Node Package Manager), yang bertujuan untuk membuat penggunaan perangkat lunak lebih aman dan mudah dikelola.

Fitur-fitur baru ini mencakup pengalaman masuk dan penerbitan yang lebih ramping, kemampuan untuk menautkan akun Twitter dan GitHub ke npm, dan sistem verifikasi tanda tangan paket baru.

Pada saat yang sama, GitHub mengumumkan bahwa program otentikasi dua faktor yang diperkenalkan pada Mei 2022 siap untuk keluar dari versi beta dan tersedia untuk semua pengguna npm.

Platform npm adalah anak perusahaan dari GitHub dan merupakan pengelola paket dan repositori (registry) untuk pembuat kode JavaScript, yang digunakan oleh proyek pengembang untuk mengunduh lima miliar paket setiap hari.

Baru-baru ini mengalami insiden keamanan skala besar yang berdampak pada ratusan aplikasi dan situs web, memaksa GitHub untuk mengembangkan dan segera menerapkan rencana peningkatan keamanan.

Sistem masuk dan penerbitan npm yang baru memungkinkan autentikasi ditangani oleh browser web, sehingga token autentikasi yang valid dapat disimpan pada sesi yang sama hingga lima menit.

Perubahan ini untuk mengurangi gesekan yang diciptakan oleh pengenalan sistem 2FA, yang memaksa pengembang untuk memasukkan kata sandi satu kali baru pada setiap tindakan.

Opsi baru untuk menghubungkan akun GitHub dan Twitter ke npm bertujuan untuk membantu menambah kredibilitas dan berfungsi sebagai bentuk verifikasi identitas sehingga akun npm tidak dapat meniru pembuat perangkat lunak populer.

Menautkan Twitter ke akun npm (GitHub)

Selain itu, sistem baru ini akan membantu pemulihan akun bila diperlukan, membuat prosesnya lebih andal dan tidak rumit, serta meletakkan dasar untuk lebih banyak otomatisasi di masa mendatang.

Terakhir, ada sistem audit tanda tangan baru yang menggantikan proses PGP multi-langkah dan kompleks sebelumnya, yang memungkinkan pengembang metode yang lebih mudah untuk memverifikasi tanda tangan paket npm.

Pengguna sekarang dapat memvalidasi sumber paket secara lokal menggunakan perintah “npm audit signatures” baru di npm CLI.

Secara bersamaan, platform menandatangani ulang semua paket dengan algoritma ECDSA (eliptic curve cryptography) dan menggunakan HSM untuk manajemen kunci, yang semakin memperkuat keamanan.

Langkah selanjutnya dalam mengamankan registri npm adalah menerapkan otentikasi dua faktor pada semua akun yang mengelola paket dengan lebih dari satu juta unduhan mingguan atau 500 tanggungan.

GitHub mengatakan ini akan diberlakukan hanya setelah proses pemulihan akun ditingkatkan lebih lanjut dengan formulir verifikasi identitas tambahan, jadi tidak ada jadwal ketat yang diberikan selain itu yang akan datang berikutnya.

Sumber: Bleeping Computer

Malware Android ‘Revive’ meniru aplikasi 2FA bank BBVA

by

Malware perbankan Android baru bernama Revive telah ditemukan yang meniru aplikasi 2FA yang diperlukan untuk masuk ke rekening bank BBVA di Spanyol.

Trojan perbankan baru mengikuti pendekatan yang lebih terfokus yang menargetkan bank BBVA alih-alih mencoba berkompromi dengan pelanggan dari berbagai lembaga keuangan.

Sementara Revive berada dalam fase pengembangan awal, Revive sudah mampu melakukan fungsi lanjutan seperti mencegat kode otentikasi dua faktor (2FA) dan kata sandi satu kali.

Para peneliti di Cleafy menemukan Revive dan menamakannya berdasarkan fungsi dengan nama yang sama yang digunakan oleh malware untuk memulai ulang dirinya sendiri jika dihentikan.

Menurut analis Cleafy, malware baru menargetkan calon korban melalui serangan phishing, meyakinkan mereka untuk mengunduh aplikasi yang seharusnya merupakan alat 2FA yang diperlukan untuk meningkatkan keamanan rekening bank.

Serangan phishing ini mengklaim fungsionalitas 2FA yang disematkan ke dalam aplikasi bank yang sebenarnya tidak lagi memenuhi persyaratan tingkat keamanan, sehingga pengguna perlu menginstal alat tambahan ini untuk meningkatkan keamanan perbankan mereka.

Pesan phishing dikirim ke nasabah bank (Cleafy)

Aplikasi ini di-host di situs web khusus yang menampilkan tampilan profesional dan bahkan memiliki tutorial video untuk memandu korban melalui proses pengunduhan dan pemasangannya.

Setelah instalasi, Revive meminta izin untuk menggunakan Layanan Aksesibilitas, yang pada dasarnya memberikan kontrol penuh atas layar dan kemampuan untuk melakukan ketukan layar dan tindakan navigasi.

Izin diminta saat instalasi (Cleafy)

Saat pengguna meluncurkan aplikasi untuk pertama kalinya, mereka diminta untuk memberikan akses ke SMS dan panggilan telepon, yang mungkin tampak normal untuk utilitas 2FA.

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Melakukannya akan mengirimkan kredensial ke C2 pelaku ancaman, dan kemudian beranda umum dengan tautan ke situs web sebenarnya dari bank yang ditargetkan akan dimuat.

Proses mencuri kredensial pengguna (Cleafy)

Setelah itu, Revive terus berjalan di latar belakang sebagai keylogger sederhana, merekam semua yang diketik pengguna di perangkat dan mengirimkannya secara berkala ke C2.

Berdasarkan analisis kode malware baru Cleafy, tampaknya pembuatnya terinspirasi oleh Teradroid, spyware Android yang kodenya tersedia untuk umum di GitHub.

Perbandingan kode antara dua malware (Cleafy)

Keduanya memiliki kesamaan yang luas dalam API, kerangka kerja web, dan fungsi. Revive menggunakan panel kontrol khusus untuk mengumpulkan kredensial dan mencegat pesan SMS.

Hasilnya adalah aplikasi yang hampir tidak terdeteksi oleh vendor keamanan mana pun. Misalnya, pengujian Cleafy pada VirusTotal mengembalikan empat deteksi pada satu sampel dan tidak satu pun pada varian berikutnya.

Sumber: Bleeping Computer

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menghentikan pengembangan secara tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekstrak file dari sistem yang terinfeksi dan bergantung pada pemuat dan penghapusnya sendiri, yang meminimalkan jejak infeksi.

Setelah peneliti keamanan @3xp0rt memperoleh sampel, peneliti menemukan bahwa Mars Stealer adalah versi malware Oski yang didesain ulang dengan fungsionalitas yang ditingkatkan.

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian mulai menargetkan aplikasi berikut:

Aplikasi Internet: Google Chrome, Internet Explorer, Microsoft Edge (Versi Chromium), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Browser Sputnik, Browser Privasi Epik, Vivaldi, CocCoc, Browser Uran, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Dompet Rantai Binance, Yoroi, Dompet Bagus, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Semanggi, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONex, Dompet Nabox, KHC, Kuil, Dompet TezBox Cyano, Byone, OneKey, Dompet Daun, DAppPlay, BitClip, Gantungan Kunci Steem, Ekstensi Nash, Hycon Klien Lite, ZilPay, Dompet Coin98.

Dompet Crypto: Bitcoin Core dan semua turunannya (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Dompet yang ditargetkan oleh Mars Stealer
Sumber: 3xp0rt.com

Selain itu, Mars Stealer akan menangkap dan mengirimkan informasi dasar berikut ke C2:

  • IP dan negara
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain

    • Selengkapnya : Bleeping Computer

    Grabber Pencuri Mars Kustom
    Sumber: 3xp0rt.com

    Mars Stealer adalah malware ramping dengan ukuran hanya 95 KB, yang mencoba menghindari keamanan dengan menggunakan rutinitas yang menyembunyikan panggilan API dan teknik enkripsi string menggunakan kombinasi RC4 dan Base64.

    Informasi yang dikumpulkannya dibungkus dalam memori, sementara semua koneksi dengan C2 dilakukan dengan protokol SSL (Secure Sockets Layer), jadi mereka dienkripsi.

    Selain itu, kode Mars Stealer berisi interval fungsi Tidur untuk melakukan pemeriksaan waktu yang akan menghasilkan ketidakcocokan jika debugger digunakan.

    Fungsi tidur anti-debugging
    Sumber: 3xp0rt.com

    Terakhir, malware dapat menghapus dirinya sendiri setelah data pengguna dieksfiltrasi atau ketika operator memutuskan untuk menghapusnya.

    Mars Stealer juga memeriksa apakah pengguna berbasis di negara-negara yang secara historis merupakan bagian dari Persemakmuran Negara-Negara Merdeka, yang umum untuk banyak malware berbasis di Rusia.

    Jika ID bahasa perangkat cocok dengan Rusia, Belarusia, Kazakstan, Azerbaijan, Uzbekistan, dan Kazakstan, program akan keluar tanpa melakukan perilaku jahat apa pun.

    Pemeriksaan bahasa untuk pengecualian target
    Sumber: 3xp0rt.com

    Saat ini, Mars Stealer dijual seharga $140 hingga $160 (versi tambahan) di forum peretasan, sehingga kemungkinan besar akan jatuh ke tangan banyak pelaku ancaman dan digunakan dalam serangan di masa depan.

    Selengkapnya : Bleeping Computer

Varian Oski baru yang kuat ‘Mars Stealer’ meraih 2FA dan crypto

by

Malware baru dan kuat bernama ‘Mars Stealer’ telah muncul di alam liar, dan tampaknya merupakan desain ulang malware Oski yang menutup pengembangan tiba-tiba pada musim panas 2020.

Mars Stealer adalah malware pencuri informasi yang mencuri data dari semua browser web populer, plugin otentikasi dua faktor, dan beberapa ekstensi dan dompet cryptocurrency.

Selain itu, malware dapat mengekrate file dari sistem yang terinfeksi dan bergantung pada loader dan wiper sendiri, yang meminimalkan jejak infeksi.

Dari Oski ke Mars Stealer

Pada Juli 2020, pengembang di balik trojan pencurian informasi Oski tiba-tiba menutup operasi mereka setelah tidak lagi menanggapi pembeli dan penutupan saluran Telegram mereka.

Maju cepat hampir setahun kemudian, dan malware pencuri informasi baru yang disebut ‘Mars Stealer’ mulai dipromosikan di forum peretasan berbahasa Rusia.

Mencuri segalanya

Mars Stealer menggunakan grabber khusus yang mengambil konfigurasinya dari C2 dan kemudian melanjutkan untuk menargetkan aplikasi berikut:

Aplikasi internet: Google Chrome, Internet Explorer, Microsoft Edge (Chromium Version), Kometa, Amigo, Torch, Orbitium, Comodo Dragon, Nichrome, Maxxthon5, Maxxthon6, Sputnik Browser, Epic Privacy Browser, Vivaldi, CocCoc, Uran Browser, QIP Surf, Cent Browser, Elements Browser, TorBro Browser, CryptoTab Browser, Brave, Opera Stable, Opera GX, Opera Neon, Firefox, SlimBrowser, PaleMoon, Waterfox, CyberFox, BlackHawk, IceCat, K-Meleon, Thunderbird.

Aplikasi 2FA: Authenticator, Authy, EOS Authenticator, GAuth Authenticator, Trezor Password Manager.

Ekstensi Crypto: TronLink, MetaMask, Binance Chain Wallet, Yoroi, Dompet Nifty, Dompet Matematika, Dompet Coinbase, Guarda, Dompet EQUAL, Jaox Liberty, BitAppWllet, iWallet, Wombat, MEW CX, Dompet Guild, Dompet Saturnus, Dompet Ronin, Neoline, Dompet Clover, Dompet Liquality, Terra Station, Keplr, Sollet, Dompet Auro, Dompet Polymesh, ICONEX, Dompet Nabox, KHC, Kuil, Dompet Cyano TezBox, Byone, OneKey, Leaf Wallet, DAppPlay, BitClip, Steem Keychain, Nash Extension, Hycon Lite Client, ZilPay, Coin98 Wallet.

Dompet Crypto: Bitcoin Core dan semua derivatif (Dogecoin, Zcash, DashCore, LiteCoin, dll), Ethereum, Electrum, Electrum LTC, Exodus, Electron Cash, MultiDoge, JAXX, Atomic, Binance, Coinomi.

Selain itu, Mars Stealer akan menangkap dan mengirim informasi dasar berikut ke C2:

  • IP dan negara
  • Jalur kerja ke file EXE
  • Waktu lokal dan zona waktu
  • Sistem bahasa
  • Tata letak keyboard bahasa
  • Buku catatan atau desktop
  • Model prosesor
  • Nama komputer
  • Nama pengguna
  • Nama komputer domain
  • ID Mesin
  • GUID
  • Perangkat lunak yang diinstal dan versinya

Satu-satunya kelalaian penting dari daftar aplikasi yang ditargetkan adalah Outlook, yang kemungkinan akan ditambahkan oleh penulis malware dalam rilis di masa mendatang.

Selengkapnya: Bleepingcomputer

Aplikasi 2FA Penuh dengan Trojan Perbankan Menyerang 10K Korban melalui Google Play

by

Setelah tersedia selama lebih dari dua minggu, aplikasi autentikasi dua faktor (2FA) yang berbahaya telah dihapus dari Google Play tetapi tidak sebelum diunduh lebih dari 10.000 kali. Aplikasi, yang berfungsi penuh sebagai autentikator 2FA, dilengkapi dengan malware pencuri Vultur yang menargetkan dan menyambar data keuangan.

Pelaku ancaman mengembangkan aplikasi operasional dan meyakinkan untuk menyamarkan penetes malware, menggunakan kode otentikasi Aegis open-source yang disuntikkan dengan add-on berbahaya.

Setelah diunduh, aplikasi menginstal trojan perbankan Vultur, yang mencuri data keuangan dan perbankan pada perangkat yang disusupi — tetapi dapat melakukan lebih banyak lagi.

Malware Vultur remote access trojan (RAT) adalah yang pertama dari jenisnya yang ditemukan menggunakan keylogging dan perekaman layar sebagai taktik utama untuk pencurian data perbankan, memungkinkan grup untuk mengotomatiskan proses pengambilan kredensial dan skala.

“Aktor memilih untuk menghindari strategi overlay HTML umum yang biasanya kita lihat di trojan perbankan Android lainnya: pendekatan ini biasanya membutuhkan lebih banyak waktu dan upaya dari para aktor untuk mencuri informasi yang relevan dari pengguna. Sebaliknya, mereka memilih untuk hanya merekam apa yang ditampilkan di layar, secara efektif mendapatkan hasil akhir yang sama,” kata ThreatFabric saat itu.

Autentikator 2FA scam juga meminta izin perangkat di luar apa yang diungkapkan di profil Google Play, kata tim Pradeo.

Hak istimewa yang ditinggikan dan licik itu memungkinkan penyerang melakukan berbagai fungsi di luar tarif trojan perbankan standar, seperti: Mengakses data lokasi pengguna, sehingga serangan dapat ditargetkan ke wilayah tertentu; menonaktifkan kunci perangkat dan keamanan kata sandi; mengunduh aplikasi pihak ketiga; dan mengambil alih kendali perangkat, bahkan jika aplikasi dimatikan, laporan itu menjelaskan.

Pradeo menemukan trik kotor lain yang dilakukan 2FA jahat dengan mengambil izin SYSTEM_ALERT_WINDOW, yang memberi aplikasi kemampuan untuk mengubah antarmuka aplikasi seluler lainnya. Seperti yang dijelaskan Google sendiri, “Sangat sedikit aplikasi yang harus menggunakan izin ini; jendela ini dimaksudkan untuk interaksi tingkat sistem dengan pengguna.”

Setelah perangkat sepenuhnya disusupi, aplikasi menginstal Vultur, “jenis malware yang canggih dan relatif baru yang sebagian besar menargetkan antarmuka perbankan online untuk mencuri kredensial pengguna dan informasi keuangan penting lainnya,” kata laporan itu.

Sumber : Threat Post

Akhirnya Zoom Menambahkan Pembaruan Otomatis ke Windows dan macOS

by

Zoom hari ini telah mengumumkan peluncuran fitur pembaruan otomatis yang dirancang untuk merampingkan proses pembaruan untuk klien desktop.

Fitur baru ini saat ini hanya tersedia untuk klien Zoom desktop di Windows dan macOS, platform Linux saat ini tidak didukung.

Zoom mengatakan bahwa pengguna perangkat seluler juga dapat memperbarui aplikasi mereka secara otomatis melalui pemutakhiran otomatis bawaan appstore masing-masing.

“Untuk sebagian besar pengguna individu, pembaruan otomatis akan diaktifkan secara default. Ketika diaktifkan, pengguna akan memiliki kesempatan untuk memilih keluar dari pembaruan otomatis untuk klien desktop mereka setelah menginstal pertama atau pembaruan pertama di mana fitur ini hadir, “kata Jeromie Clark, Manajer Produk Teknis Keamanan &Privasi di Zoom.

Pengguna juga dapat mengubah preferensi ini kapan saja dengan memeriksa atau mencentang ‘Secara otomatis menjaga Zoom saya tetap up to date’ di bawah Pengaturan > Zoom > Umum.”

Pengguna Zoom akan dapat beralih antara frekuensi pembaruan Lambat dan Cepat, dengan pembaruan yang lebih jarang dan fokus pada memaksimalkan stabilitas saat opsi Slow dipilih. Fitur dan pembaruan terbaru akan diinstal segera setelah tersedia saat memilih saluran pembaruan Cepat.

Namun, terlepas dari saluran pembaruan yang dipilih, pembaruan keamanan klien Zoom yang penting akan secara otomatis diluncurkan ke semua pengguna dengan pembaruan otomatis diaktifkan.

Sementara platform juga memberikan pembaruan otomatis sebelum ini kepada pengguna perusahaan, pembaruan ini “memperluas audiens yang dituju untuk menyertakan semua pengguna klien desktop individu yang bukan anggota organisasi perusahaan.”

Pembaruan Otomatis Zoom

Zoom juga telah menambahkan dukungan otentikasi dua faktor (2FA) ke semua akun pada Bulan September 2020, enkripsi end-to-end (E2EE) pada Oktober 2020, dan peningkatan keamanan untuk menghentikan troll zoombombing satu bulan kemudian.

Perangkat lunak konferensi video telah menjadi cara yang sangat populer untuk tetap berhubungan dengan teman dan menyelenggarakan pertemuan online sejak pandemi dimulai.

Peluncuran pembaruan otomatis untuk klien desktop hadir pada waktu yang pas, melihat bahwa Zoom telah menambal lebih dari selusin kelemahan keamanan tingkat menengah dan tinggi dalam dua bulan terakhir saja.

Pada bulan April, Zoom Messenger juga diretas di kompetisi Pwn2Own 2021 oleh Computest Daan Keuper dan Thijs Alkemade. Mereka mendapatkan eksekusi kode pada perangkat yang ditargetkan menggunakan rantai eksploitasi nol klik yang menggabungkan tiga bug zero-day Zoom.

Sumber: Bleepingcomputer

Bot yang Mencuri Kode 2FA Sedang Populer Di Pasar Bawah Tanah

by

Panggilan itu datang dari sistem pencegahan penipuan PayPal. Seseorang telah mencoba menggunakan akun PayPal saya untuk menghabiskan $58,82, menurut suara otomatis di telepon. PayPal perlu memverifikasi identitas saya untuk memblokir transfer.

“Untuk mengamankan akun Anda, silakan masukkan kode yang kami kirimkan ke perangkat seluler Anda sekarang,” kata suara itu. PayPal terkadang mengirimkan kode kepada pengguna untuk melindungi akun mereka. Setelah memasukkan string enam digit, suara itu berkata, “Terima kasih, akun Anda telah diamankan dan permintaan ini telah diblokir.”

“Jangan khawatir jika ada pembayaran yang telah dibebankan ke akun Anda: kami akan mengembalikannya dalam waktu 24 hingga 48 jam. ID referensi Anda adalah 1549926. Sekarang Anda dapat menutup telepon,” kata suara itu.

Tapi panggilan ini sebenarnya dari seorang hacker. Penipu menggunakan jenis bot yang secara drastis merampingkan proses peretas untuk mengelabui korban agar menyerahkan kode otentikasi multi-faktor atau kata sandi satu kali (OTP) mereka untuk semua jenis layanan, membiarkan mereka masuk atau mengotorisasi transaksi transfer tunai. Berbagai bot menargetkan Apple Pay, PayPal, Amazon, Coinbase, dan berbagai bank tertentu.

Motherboard meminta seseorang bernama Kaneki yang menjual salah satu bot ini secara online untuk mendemonstrasikan kemampuannya dengan mengirimkan panggilan otomatis ke telepon reporter Motherboard. Setelah memasukkan kode, Kaneki menunjukkan bot mereka telah menerima kode yang sama.

Dengan bot yang berharga beberapa ratus dolar ini, siapa pun dapat mulai mendapatkan otentikasi multi-faktor, tindakan keamanan yang mungkin diasumsikan oleh banyak anggota masyarakat sebagian besar aman.

Untuk membobol akun, seorang peretas akan membutuhkan nama pengguna atau alamat email dan kata sandi korban. Mereka mungkin bersumber dari pelanggaran data sebelumnya yang berisi kredensial yang digunakan kembali oleh banyak orang di internet. Atau mereka dapat membeli satu set “log bank”—detail login—dari seorang spammer, kata OPTGOD777. Tetapi korban mungkin mengaktifkan otentikasi multi-faktor, di situlah bot masuk.

Baik di Telegram atau Discord, peretas memasukkan nomor telepon target mereka dan platform yang ingin dibobol peretas. Di latar belakang, bot kemudian menempatkan panggilan otomatis ke target.

Ketika bot melakukan panggilan otomatis dan meminta korban untuk memasukkan kode yang baru saja mereka terima, peretas akan secara bersamaan memicu kode yang sah untuk dikirim dari platform yang ditargetkan ke ponsel korban. Mereka dapat melakukan ini dengan memasukkan nama pengguna dan kata sandi korban di situs sehingga korban menerima kode login atau otorisasi.

Bot kemudian mengambil kode yang dimasukkan korban, memasukkannya kembali ke antarmuka bot, dan peretas kemudian dapat menggunakan kode tersebut untuk login.

Di luar situs atau layanan seperti Amazon, PayPal, dan Venmo, beberapa bot juga menargetkan bank tertentu, seperti Bank of America dan Chase.

Selengkapnya: Vice

GitHub mendesak pengguna untuk mengaktifkan 2FA setelah menerapkan passwordless

by

GitHub mendesak basis penggunanya untuk mengaktifkan otentikasi dua faktor (2FA) setelah menghentikan otentikasi berbasis kata sandi untuk operasi Git.

“Jika Anda belum melakukannya, luangkan waktu ini untuk mengaktifkan 2FA untuk akun GitHub Anda,” kata Chief Security Officer perusahaan Mike Hanley.

“Manfaat otentikasi multifaktor didokumentasikan secara luas dan melindungi dari berbagai serangan, seperti phishing.”

Hanley merekomendasikan untuk menggunakan salah satu dari beberapa opsi 2FA yang tersedia di GitHub, termasuk kunci keamanan fisik, kunci keamanan virtual yang ada di dalam perangkat seperti ponsel dan laptop, atau aplikasi Time-based One-Time Password (TOTP).

Sementara 2FA berbasis SMS juga tersedia, GitHub mendesak pengguna untuk memilih kunci keamanan atau TOTP sebisa mungkin karena SMS kurang aman mengingat pelaku ancaman dapat mem-bypass atau mencuri token autentikasi SMS 2FA.

GitHub juga menyediakan panduan video langkah demi langkah tentang cara mengaktifkan kunci keamanan untuk kunci SSH dan verifikasi komit Git.

Menegakkan otentikasi tanpa kata sandi melalui operasi Git penting karena meningkatkan ketahanan akun GitHub terhadap upaya pengambilalihan dengan mencegah upaya penyerang untuk menggunakan kredensial yang dicuri atau kata sandi yang digunakan kembali untuk membajak akun.

Selengkapnya: Bleeping Computer