Bentuk pertama adalah nama pengguna dan kata sandi standar. Nomor telepon pengguna kemudian digunakan sebagai faktor login kedua. Sistem login Anda mengirimkan kode ke ponsel pengguna sebagai pesan teks.
Pengguna kemudian memasukkan kode kedua ini ke dalam formulir login Anda.
Salah satu masalah dengan otentikasi dua faktor adalah ketidaknyamanannya. Ambil contoh Google tentang bagaimana autentikasi dua faktor harus diterapkan.
ADVERTISEMENT
SCROLL TO RESUME CONTENT
Pengguna masuk ke formulir dan kemudian kode dikirim ke nomor ponsel. Kode tersebut dimasukkan ke dalam formulir login mereka, dan kemudian cookie disimpan di komputer pengguna.
Pengguna hanya diharuskan memasukkan kode sekunder jika mereka masuk dari komputer lain dan memberikan otorisasi pada komputer ini untuk menyimpan cookie yang mengenalinya di masa mendatang.
Artinya, pengguna hanya perlu memasukkan kode di setiap mesin, bukan setiap kali dia masuk ke komputer, dan ini bisa sangat mengganggu.
Anda juga harus mengirimkan peringatan jika pengguna menggunakan komputer umum. Pengguna tidak boleh menyimpan informasi cookie tentang autentikasi dua faktor di mesin publik, atau memberikan otorisasi kepada siapa pun di mesin publik.
Hanya berikan otorisasi untuk melewati autentikasi dua langkah setelah pengguna memverifikasi bahwa dia menggunakan mesin pribadi baik di rumah atau di kantor.
6. Hindari Karakter Khusus HTML Apa Pun
Salah satu cara peretas mendapatkan akses ke akun pengguna adalah dengan mengirimkan XSS (skrip lintas situs) dan JavaScript ke formulir login.
Jika Anda tidak keluar dari HTML, skrip ini disimpan di database Anda. Ada dua target untuk peretasan jenis ini:
- XSS ditampilkan kepada pengguna, dan peretas dapat mencatat penekanan tombol atau mengirim data sensitif ke servernya sendiri.
- XSS ditampilkan ke salah satu perwakilan layanan pelanggan Anda yang browsernya kemudian disusupi. Perwakilan layanan pelanggan tidak mengetahui bahwa saat dia bekerja dalam aplikasi, dia mengirimkan data ke server pihak ketiga milik peretas.
Untuk menghindari peretasan jenis ini, pengembang web dapat menggunakan fungsi escape yang tersedia dalam kerangka bahasa. Misalnya, pustaka C# dan PHP memiliki fungsi escape yang tersedia. Ini berarti Anda tidak perlu keluar dari karakter dalam kode secara manual, dan Anda hanya dapat melakukan satu panggilan dalam kode untuk melindungi pengguna Anda.
7. Hindari CAPTCHA untuk Login
Sebagian besar tip ini mencakup apa yang harus Anda lakukan, tetapi ini adalah salah satu tip tentang apa yang tidak boleh Anda lakukan.
CAPTCHA sangat mengganggu bagi pengguna yang lupa kata sandi. CAPTCHA sulit dibaca terutama bagi tunanetra.
Itu adalah kata-kata yang terdistorsi dalam sebuah gambar. Distorsi digunakan untuk melindungi terhadap program identifikasi gambar yang dapat mengotomatiskan dan melewati perlindungan CAPTCHA, namun juga menyebabkan masalah kegunaan.
Jika Anda mengandalkan CAPTCHA untuk mengirimkan pengingat kata sandi kepada pengguna, pengguna tunanetra tidak dapat membaca gambar buram, yang berarti mereka tidak dapat memulihkan kata sandinya.
Beberapa sistem CAPTCHA sangat sulit dibaca bahkan oleh orang dengan penglihatan 20/20. Pengguna menyerah dan memilih layanan lain.
Opsi untuk sistem CAPTCHA adalah reCAPTCHA Google. Sistem ini menggunakan angka-angka kecil yang mudah dibaca oleh manusia tetapi tidak dapat dibaca oleh bot. Sistem reCAPTCHA tidak antipeluru, namun merupakan pilihan yang lebih baik jika Anda bersikeras menggunakan jenis perlindungan ini.
Kesimpulan
Pengembang web berpikir bahwa formulir login adalah bagian sederhana dari sebuah situs web.
Namun, formulir login adalah salah satu halaman utama yang menjadi target peretas, sehingga sebenarnya merupakan bagian kompleks dalam pengembangan web karena tingkat keamanannya yang tinggi.
Apapun yang Anda bangun; situs web, plugin WordPress , skrip atau aplikasi PHP . Mengamankan data pengguna Anda harus menjadi prioritas, dan situs web atau aplikasi yang aman akan membangun kepercayaan pelanggan Anda.
Meskipun tidak ada formulir login yang benar-benar antipeluru dan tidak ada jaminan bahwa peretasan baru akan berhasil menembus kode Anda, Anda dapat membantu melindungi aset perusahaan dari skrip yang umum dan umum.***
(SekitarNews.id/NS)
Penulis : Niken Sunarti
Sumber Berita : Sekitar News
Halaman : 1 2
