Bisnis.com, JAKARTA – Pengamat keamanan siber dari Vaksincom, Alfons Tanujaya menilai pemilihan langkah kata sandi sekali pakai (One Time Password/OTP) menjadi kunci dalam menjaga keamanan data pribadi masyarakat.
Alfons mengatakan bahwa secara teknis implementasi dua langkah pengamanan (two-factor authentication) merupakan cara terbaik untuk mengamankan akun karena menggunakan metode OTP yang tetap akan melindungi akun, sekalipun ada serangan yang mencuri kata sandi di perangkat pengguna.
Namun, dia mengatakan bahwa fokus pengamanan TFA atau OTP sebenarnya memiliki banyak macam serta dengan level keamanan yang berbeda.
Baca Juga Seberapa Rentan Password Sekali Pakai? |
---|
“Yang paling aman adalah [OTP] Token, diikuti oleh pengamanan OTP Google Authenticator, lalu yang kurang aman adalah yang memanfaatkan jaringan pihak ketiga seperti OTP melalui WA, Email dan SMS,” katanya saat dihubungi Bisnis, Kamis (8/10/2020)
Lebih lanjut, dia menjelaskan bahwa pengamanan OTP dengan SMS termasuk pengamanan OTP yang paling lemah dari semua pengamanan OTP karena memanfaatkan jaringan pihak ketiga.
“SMS tidak dienkripsi sehingga rentan disadap dan SMS tergantung pada jaringan operator yang secara teknis bisa disadap jika berhasil mengeksploitasi celah keamanan yang ada. Selain itu SMS juga mengikat pada nomor telepon tertentu sehingga mudah diidentifikasi oleh penipu jika ingin melakukan rekayasa sosial,” katanya.
Alfons mengatakan bahwa alasan OTP paling aman adalah Hard Token dikarenakan pengamanan ini berdiri sendiri dan tidak terhubung kepada perangkat lain dimana satu-satunya cara mengakses OTP Token adalah dengan mengakses fisik token kalkulator.
“Pengadaan OTP ini juga tidak memanfaatkan jaringan pihak ketiga seperti Email, SMS atau Whatsapp yang mengirimkan kode OTP melalui jaringan eksternal dan secara teknis bisa disadap,” ujarnya.
Selanjutnya, dia menilai bahwa OTP yang cukup aman adalah Soft Token atau dengan aplikasi otentikasi seperti Google Authenticator atau Twilio Authy.
Hal ini dikarenakan pengamanan ini tidak memanfaatkan jaringan eksternal pihak ketiga untuk mengirimkan kodenya dan memiliki kemampuan untuk mengkalkulasi kode OTP berdasarkan set kunci dimilikinya.
“Namun karena terinstal di perangkat lain seperti ponsel pintar atau komputer, maka jika ada yang memiliki akses ke ponsel tersebut secara teknis memiliki akses ke aplikasi OTP. Karena itulah ada baiknya memilih aplikasi otentikasi yang dilindungi dengan PIN untuk membuka aplikasi dan ditambah dengan PIN mengunci ponsel, harusnya akan sangat sulit bagi pihak ketiga mengakses aplikasi otentikasi OTP,” jelasnya.
Alfons pun mengatakan bahwa meskipun paling rawan keamanannya, tetapi secara popularitas, banyak pihak yang mengandalkan SMS sebagai tulang punggung OTP.
“Alasannya sederhana, karena tidak membutuhkan biaya pengadaan perangkat OTP dan sudah tersedia pada semua ponsel yang bisa menerima SMS. Kemudian, tidak membutuhkan instalasi aplikasi, sinkronisasi awal, proses pendaftaran yang rumit dan langsung tersedia pada nomor telepon yang diaktifkan,” katanya.
Namun, dia menjelaskan bahwa itulah kenyataan yang terjadi di Indonesia, OTP melalui SMS ini yang paling banyak digunakan oleh penyedia layanan digital untuk mengamankan akun penggunanya.