This article has been translated from English to Tagalog.

Pagkatapos mong mag-sign up sa isang crypto exchange, malamang kailangan mong i-configure ang security settings ng account mo at makikita mo ang tinatawag na “2FA“.

Sa lesson na 'to, ipapaliwanag ko kung ano ang 2FA at bakit ito hinihingi ng karamihan sa mga crypto exchanges.

Para makapag-login sa kahit anong online account, kailangan ng authentication. Ang authentication ay parang sosyal na term lang para sa “pagpapatunay ng pagkakakilanlan ng isang user”.

Ang 2FA ay isang specific na uri ng authentication process na nangangailangan ng dalawang paraan (na tinatawag ding “factors”) para mapatunayan ang iyong pagkakakilanlan.

Dahil sa dami ng personal na impormasyon na naka-store sa ating mga mobile devices at computers, hindi na nakakagulat na target talaga ito ng mga hackers o malware na nagdudulot ng data breaches.

Ang data breach ay isang insidente kung saan ang impormasyon ay nanakaw mula sa isang sistema nang walang kaalaman o permiso ng may-ari ng sistema.

Dahil dito, kadalasan na kailangan ng mga apps at websites na paigtingin ang kanilang seguridad para maprotektahan ang kanilang mga customers at ang kanilang pera.

Isa sa mabisang paraan na ginagamit ng crypto exchanges para masiguro na talagang ikaw ang gumagamit ng iyong account ay ang pagkakaroon ng “2FA.”

Ang 2FA ay nagbibigay ng karagdagang antas ng proteksyon laban sa hindi awtorisadong pag-access sa iyong crypto exchange account.

2FA Login

Ano ang Two-Factor Authentication (2FA)?

Hindi sapat ang password lang para mapanatiling secure ang iyong crypto exchange account.

Ang Two-factor authentication, o 2FA, ay isang paraan ng pagpapabuti ng seguridad ng iyong crypto exchange account sa pamamagitan ng paghingi ng karagdagang “factor” para mapatunayan ang pagkakakilanlan ng account holder at makapag-access sa kanilang account.

Ang “factor” ay isang natatanging uri ng pagkakakilanlan na kailangan para makapag-access sa isang bagay.

May tatlong pangunahing “factors”

  • Alam mo (e.g. password, security question, PIN)
  • Hawak mo (e.g. code na galing sa isang device)
  • Ikaw mismo (e.g. fingerprint, iris scan, facial scan, voice scan)

Sa 2FA, kailangan mong magbigay ng DALAWANG factors para ma-authenticate.

Ang security questions, katulad ng “Ano ang apelyido ng iyong ina bago siya ikasal?” o “Ano ang pangalan ng kalye kung saan ka lumaki?” ay HINDI itinuturing na 2FA dahil kapalit ito ng iyong password.

Sa madaling salita, ang security question at ang iyong password ay nasa parehong kategorya, kaya't hindi ito itinuturing na two-factor.

Paano gumagana ang 2FA?

2FA Process

May dalawang sikat na options para sa 2FA:

  1. SMS
  2. Authenticator app

SMS

Originally, ang pagpasok ng code na ipinadala sa iyong telepono sa pamamagitan ng text message ay ang pangunahing option para sa ikalawang “factor” ng 2FA authentication.

2FA vis SMS

Dahil halos lahat ng tao ay may smartphone, madali lang sa kanila na ibigay ang kanilang mobile number at makatanggap ng text message na naglalaman ng code na kailangang ilagay pagkatapos ilagay ang kanilang username at password.

Sa kasamaang-palad, na-figure out ng mga hacker ang iba't ibang paraan para i-reroute ang iyong phone number at masalo ang mga text message na ito (katulad ng SIM swapping).

Ang Authenticator apps ay mas napatunayan na mas secure at mas maaasahan kumpara sa SMS. 

Authenticator app

Gumagana ang Authenticator apps na parang SMS text din.

Makakakuha ka ng code sa isang app sa iyong smartphone at ginagamit mo ito kasabay ng iyong username at password para makapag-login sa iyong mga accounts.

2FA Code

Ang critical na pagkakaiba ay ang ang code ay HINDI ipinapadala sa pamamagitan ng mobile network at maaaring gumana offline.

Dahil dito, mas mahirap para sa mga hacker na masalo ang code.

Para gumana ang Authenticator app sa account na gusto mong i-access, kailangan mo munang i-“pair” ang app sa iyong smartphone sa account.

Kung magpapalit ka ng phone, kailangan mong ulitin ang proseso ulit.

Pagkatapos mag-login sa account mo sa crypto exchange gamit ang iyong username at password, hinihingi ng 2FA na maglagay ka ng One-Time Password (OTP) na ipinapadala sa iyong smartphone para makumpleto ang iyong login process.

Ang OTP ay isang 6-digit code na ginagawa ng mga smartphone apps tulad ng Authy, Google Authenticator, o Microsoft Authenticator

One-time passwords ay karaniwang pagmamay-ari o “hawak mo“. Tulad ng pangalan nito, ang OTP ay gumagana lang isang beses.

Pinapalakas nito ang iyong seguridad dahil nangangailangan ito ng karagdagang layer ng authentication mula sa iyong smartphone bago ma-verify ang iyong login. Ang kabuuang lakas ng authentication ay nasa kombinasyon ng dalawang factors.

Sa nakakatakot na scenario kung saan nakompromiso ang iyong password, kakailanganin pa rin ng hacker ang OTP. Hangga't nasa iyo pa ang iyong phone, ikaw lang ang makakapagbigay ng OTP.

Walang iyong physical device, hindi magagawang magpanggap ng remote hacker na ikaw para makakuha ng hindi awtorisadong pag-access sa iyong account.

HOTP vs TOTP

Ang Authenticator apps ay gumagawa ng one-time passwords (OTPs).  Ang OTPs ay natatanging numeric passwords na ginagawa gamit ang standardized algorithm. At available offline.

Ang ilang exchanges ay nangangailangan sa iyo na pumili ng uri ng OTP standard para sa iyong 2FA setup.

Mayroong 2 uri ng OTP standards:

  • HOTP (HMAC-based One Time Password)
  • TOTP (Time-based One Time Password)

Ang HOTP password ay maaaring maging valid para sa di-tiyak na panahon. Sa kabilang banda, ang TOTP password ay nagbabago bawat 30 segundo.

Mas secure ang TOTP dahil ang code ay ginagawa ng iyong Authenticator app bawat 30 segundo at nangangailangan ng synchronization sa pagitan ng app sa iyong device at ng app’s server.

Siguraduhing gamitin ang 2FA saanman! Hindi lang para sa iyong crypto exchange account, kundi pati na rin sa iyong online bank accounts, email accounts,  iyong password manager, at anumang iba pang online service na nangangailangan ng login.