Faktor kepemilikan adalah sesuatu yang dimiliki seseorang yang dapat digunakan untuk membuktikan keaslian dirinya. Dua jenis faktor kepemilikan yang paling umum adalah token perangkat lunak dan token perangkat keras.
Token perangkat lunak sering mengambil bentuk kata sandi satu kali (OTP). OTP terdiri dari 4-8 digit kode sandi sekali pakai yang kedaluwarsa setelah jangka waktu tertentu. Token perangkat lunak dapat dikirim ke ponsel pengguna melalui pesan teks (atau email atau pesan suara) atau dibuat oleh aplikasi autentikator yang diinstal pada perangkat.
Dalam kedua kasus tersebut, perangkat pengguna pada dasarnya bertindak sebagai faktor kepemilikan. Sistem 2FA mengasumsikan bahwa hanya pengguna yang sah yang memiliki akses ke informasi apa pun yang dibagikan atau dihasilkan oleh perangkat tersebut.
Sementara OTP berbasis SMS adalah beberapa faktor kepemilikan yang paling ramah pengguna, mereka juga yang paling tidak aman. Pengguna membutuhkan koneksi internet atau seluler untuk menerima kode-kode ini, dan para peretas dapat mencurinya melalui serangan phishing atau serangan man-in-the-middle yang canggih. OTP juga rentan terhadap kloning SIM, di mana para penjahat membuat duplikat fungsional dari kartu SIM ponsel pintar korban dan menggunakannya untuk menyadap pesan teks mereka.
Aplikasi autentikator dapat menghasilkan token tanpa koneksi jaringan. Pengguna memasangkan aplikasi dengan akun mereka, dan aplikasi ini menggunakan algoritme untuk terus menghasilkan kata sandi sekali pakai (TOTP) berbasis waktu. Setiap TOTP kedaluwarsa dalam 30-60 detik, sehingga sulit untuk dicuri. Beberapa aplikasi autentikator menggunakan notifikasi push daripada TOTP; ketika pengguna mencoba masuk ke akun, aplikasi mengirimkan notifikasi push ke ponsel mereka, yang harus mereka ketuk untuk mengonfirmasi bahwa upaya tersebut sah.
Aplikasi autentikator yang paling umum termasuk Google Authenticator, Authy, Microsoft Authenticator, LastPass Authenticator, dan Duo. Meskipun aplikasi ini lebih sulit dipecahkan daripada pesan teks, mereka tidak mudah. Peretas dapat menggunakan malware khusus untuk mencuri TOTP secara langsung dariautentikator1 atau meluncurkan serangan kelelahan MFA, di mana mereka membanjiri perangkat dengan notifikasi push palsu dengan harapan korban akan secara tidak sengaja mengonfirmasikannya.
Token perangkat keras adalah perangkat khusus — key fob, kartu ID, dongle — yang berfungsi sebagai kunci keamanan. Beberapa token perangkat keras dicolokkan ke port USB komputer dan mengirimkan informasi otentikasi ke halaman login; yang lainnya menghasilkan kode verifikasi untuk dimasukkan pengguna secara manual ketika diminta.
Meskipun token perangkat keras sangat sulit untuk diretas, token tersebut dapat dicuri—seperti halnya perangkat seluler pengguna yang berisi token perangkat lunak. Faktanya, perangkat yang hilang dan dicuri merupakan faktor penyebab sebanyak 6 persen dari pelanggaran data, menurut laporan Biaya Pelanggaran Data IBM.