Two Factor Authentication (2FA/TFA) untuk Meningkatkan Keamanan Akses Email

LATAR BELAKANG

Berdasarkan pengalaman Excellent dalam menangani mail server di Indonesia, salah satu kendala utama pengamanan account email adalah adanya password compromised atau adanya kebocoran password sehingga account email user bisa diambil alih atau diakses oleh pihak lain yang tidak berhak.

Pengamanan utama berupa adanya ketentuan kombinasi kekuatan password (strong password) belum tentu menjadi solusi, karena password sekuat apapun tidak akan berarti jika user yang bersangkutan menyerahkan sendiri passwordnya karena tertipu email spoofing/phising/spam.

Contoh beberapa email spoofing/phising tersebut ada pada gambar dibawah ini :

• 

• 

• 

SOLUSI PENGAMANAN ACCOUNT

“Better be despised for too anxious apprehensions, than ruined by too confident security.” — Edmund Burke

Mengingat masalah utama ada pada user yang menggunakan email dan pemahaman mereka bervariasi, maka ada dua hal utama yang bisa ditempuh, yaitu :

1. Edukasi User. Tujuannya adalah agar bisa membedakan email palsu dengan email asli, sekaligus lebih berhati-hati jika mendapat email yang meragukan atau mencurigakan. Meski prosesnya akan butuh waktu dan tingkat keberhasilannya tergantung pada level pemahaman user, hal ini tetap harus dijadikan tindakan awal dan periodik yang bisa ditempuh. Contoh mekanisme edukasi adalah dengan memberikan informasi tentang keamanan sistem secara berkala, mengirimkan brosur atau ilustrasi gambar keamanan sistem dan memberikan training pada user yang rentan menjadi target serangan
2. Menerapkan 2 atau Lebih Level Pengamanan. Level pengamanan 2 atau lebih umumnya dikenal sebagai 2FA atau TFA, yaitu Two Factor Authentication. Mekanisme 2FA kadang juga dikenal sebagai MFA atau Multi Factor Authentication.
   
   Disebut dengan istilah 2 Factor karena ada level/factor pengamanan sistem, yaitu memanfaatkan “sesuatu yang mereka ketahui” dalam bentuk akses kredensial biasa berupa nama pengguna dan password dan “sesuatu yang mereka miliki” dalam bentuk kode PIN pada token
   
   Contoh penggunaan 2FA pada kehidupan sehari-hari adalah penggunaan token untuk menampilkan kode acak yang digunakan untuk melakukan otorisasi transaksi finansial pada rekening bank secara online.

Pada Zimbra Mail Server, fasilitas ini tersedia pada tipe Zimbra Network Edition (NE) mulai versi 8.7 keatas.

LANGKAH AKTIVASI 2FA PADA ZIMBRA

Ada 3 langkah utama yang diperlukan untuk melakukan aktivasi 2FA pada Zimbra, yaitu :

1. Mengaktifkan feature 2FA melalui Zimbra Admin, pada menu Class of Services | Advanced atau pada User terpilih | Edit | Advanced
   
   Ada 4 pilihan yang tersedia pada menu ini, yaitu :
   
   – Enable two-factor authentication. Pilihan ini digunakan untuk mengaktifkan feature utama. Jika pilihan ini tidak dipilih, pilihan lain tidak akan aktif
   – Require two-step authentication. Pilihan ini digunakan untuk mewajibkan seluruh user dalam Class of Services untuk menggunakan 2FA
   – Number of one-time codes to generate. Pilihan ini menentukan berapa jumlah one-time codes atau kode sekali pakai yang bisa digunakan jika kehilangan akses pada aplikasi/perangkat untuk melakukan generate 2FA. Misalnya kehilangan aplikasi atau kehilangan perangkat yang digunakan untuk melakukan 2FA
   – Enable application passcodes. Pilihan ini menentukan apakah bisa menggunakan kode pengganti password untuk digunakan pada aplikasi yang tidak memiliki kemampuan untuk melakukan 2FA. Contohnya jika menggunakan email client Microsoft Outlook atau Thunderbird atau ada aplikasi yang digunakan untuk mengirim email, maka application passcode ini dijadikan sebagai pengganti password.
2. Instalasi aplikasi untuk 2FA. Zimbra merekomendasikan berbagai aplikasi untuk 2FA, antara lain Authy, Google Authenticator, Microsoft Authenticator dan lain-lain. Listnya bisa dilihat pada : https://wiki.zimbra.com/wiki/TOTPApps
   
   Untuk instalasi aplikasi Authy bisa merujuk pada tutorial ini : https://youtu.be/c8qqJ1sPkNU
3. Aktivasi pada webmail. Proses ini dilakukan pertama kali setelah 2FA diaktifkan pada Zimbra Admin. Detail langkah-langkahnya dijelaskan pada tahap berikut ini.

AKTIVASI 2FA PADA WEBMAIL

Untuk mengaktifkan 2FA pertama kali, jalankan langkah-langkah sebagai berikut :

1. Pastikan sudah melakukan instalasi aplikasi 2FA
2. Login pada webmail dengan menggunakan akses kredensial user yang akan diaktifkan 2FA-nya
   
3. Ikuti wizard yang diberikan, seperti contoh pada gambar berikut :
   
   
   
   
4. Gunakan aplikasi 2FA (Authy) untuk memasukkan kode diatas, kemudian ikuti langkah selanjutnya sampai mendapatkan 6 digit kode
   
   
5. Masukkan kode yang digenerate dari aplikasi Authy ke isian pada wizard Zimbra 2FA
   
6. Setelah diklik Next atau Berikutnya, proses wizard akan diteruskan ke akses webmail. Selamat, ini berarti feature 2FA sudah berhasil diaktifkan.
   

PENGGUNAAN 2FA

Setelah 2FA berhasil diaktifkan, maka setiap kali melakukan login ke webmail dari perangkat baru atau dari browser baru maka selain user name dan password, webmail akan meminta OTP (One Time Password) atau One Time Code yang digenerate melalui aplikasi 2FA.

Detail pilihan terkait 2FA bisa diakses melalui webmail, pada menu Preferences masing-masing user, kemudian masuk ke tab Account

Jika kita menggunakan komputer atau laptop yang aman, misalnya komputer atau laptop pribadi yang ada di rumah dan tidak pernah dipakai pihak lain, kita bisa memilih pilihan tanda centang Stay Sign In atau Tetap Masuk saat login, agar tidak selalu dimintakan kode saat login. Jika pilihan ini diambil, berarti perangkat atau browser tersebut dianggap sebagai Trusted Devices. Jika ingin kembali menggunakan 2FA setiap kali login, kita bisa menghapusnya dari daftar Trusted Devices.

PENGGUNAAN APPLICATION CODE/PASSCODE

Setelah aktivasi 2FA, secara default password yang dimiliki tidak bisa sepenuhnya digunakan untuk login atau authentikasi ke mailbox, karena akan membutuhkan one time code yang digenerate menggunakan aplikasi. Bagaimana jika aplikasi yang digunakan tidak memiliki kemampuan 2FA? Misalnya coding di aplikasi untuk mengirim email atau aplikasi email client untuk desktop seperti Microsoft Outlook, Thunderbird atau aplikasi sejenis untuk mobile seperti AquaMail, Outlook Mobile dan lain-lain?

Untuk keperluan tersebut, solusinya adalah menggunakan application code. Untuk mendapatkan application code, lakukan langkah sebagai berikut :

1. Login pada webmail dengan menggunakan akses kredensial user yang sudah aktif 2FA-nya
2. Masuk ke menu Preferences | Accounts, scroll ke bagian Two Factor Authentication
3. Klik Add Application Code dan beri nama/label untuk aplikasi yang akan digunakan
   
4. Klik Next
   
5. Catat application code yang tersedia dan jadikan application code tersebut sebagai pengganti password. Dalam contoh artikel ini, jika digunakan pada Outlook atau aplikasi mobile, nama user adalah : hosokawa..fujitaka@excellent.co.id dan passwordnya adalah YVHFPYSWBPVRMORP. Application passcode tidak bisa diedit atau diquery, jadi sekali klik close, informasi passcode akan hilang. Jika seandainya lupa, yang bisa dilakukan adalah menghapus passcode yang lama dan membuat yang baru
6. Application passcode hanya menjadi pengganti password bagi aplikasi yang tidak aware pada 2FA, namun password asli+2FA code akan tetap berlaku jika login menggunakan webmail atau menggunakan aplikasi lain yang memiliki kemampuan 2FA

SUMMARY

Berdasarkan proses diatas, aktivasi dan penggunaan 2FA pada Zimbra mail server cukup mudah untuk dilakukan dan tidak memerlukan pemahaman yang rumit. Karena kemampuannya yang penting dalam mencegah adanya pengambilalihan account oleh pihak lain yang tidak berhak sekaligus proteksi terhadap kemungkinan adanya kelalaian, 2FA sebaiknya diimplementasikan sesegera mungkin.

CATATAN

Perusahaan tempat saya bekerja, PT. Excellent Infotama Kreasindo adalah perusahaan Email Services Provider (ESP) yang menyediakan berbagai layanan terkait email, terutama Zimbra Collaboration Suite. Excellent menyediakan layanan instalasi & implementasi sistem, migrasi dari mail server lain, layanan proteksi anti spam & anti virus, layanan smtp relay, mail relay, mail blast dan mail marketing, layanan SSL berbagai merk dan layanan lisensi Zimbra Collaboration Suite Network Edition.

Excellent menyediakan layanan berbasis cloud (on cloud) yang diinstall pada provider cloud dan layanan on-premise yang diinstall pada infrastruktur klien.

MATERI PRESENTASI

Materi presentasi mengenai 2FA dapat didownload pada link berikut : Presentasi Zimbra 2FA

VIDEO PENJELASAN DAN SIMULASI

Bagi rekan-rekan yang ingin mengetahui penjelasan sekaligus simulasi dalam bentuk video, bisa mengakses channel Youtube berikut ini :