Proteksi Akun dengan OTP Tidak Lagi Cukup
(Penulis: Muhammad Faishol Amirul Mukminin)
Beberapa hari yang lalu, beredar berita mengenai peretasan SMS seorang pengguna jasa operator seluler di Indonesia. Dalam berita tersebut, sang peretas diduga memanfaatkan “internal tool” atau bahkan bug dari penyedia jasa operator tersebut, sehingga dapat membaca seluruh isi SMS milik korban. Namun, hal ini ditampik oleh penyedia jasa operator seluler tersebut. Mereka mengatakan bahwa tidak ada catatan peretasan pada sistem yang mereka miliki serta data konsumen adalah data yang sangat mereka lindungi.
Peretasan SMS seperti ini mungkin terkesan biasa saja dan tidak membahayakan. Namun sebetulnya hal ini sangat berbahaya, meskipun data yang didapat sebatas tagihan ataupun notifikasi sisa kuota. Hanya dengan data tersebut, seorang peretas dapat melakukan profiling mengenai diri kita. Kemudian peretas dapat mengirimkan spam atau bahkan memanipulasi diri kita menggunakan social engineering.
Apalagi bila ada informasi sensitif dalam sms tersebut seperti histori transaksi dan kode OTP. Dengan memiliki kode OTP, yang mana kode ini digunakan untuk mengamankan akun kita, peretas akan dengan mudah mengambil alih akun atau bahkan melakukan transaksi yang seharusnya tidak boleh dilakukan.
Memahami OTP
One-time-password atau OTP merupakan suatu mekanisme autentikasi dimana sebuah password hanya berlaku untuk satu sesi login atau transaksi saja. Biasanya, kode OTP tersusun atas beberapa huruf dan angka yang acak.
Metode OTP semakin populer digunakan karena kebal terhadap serangan berulang seperti bruteforce. Hal ini dikarenakan properti dari kode OTP sendiri yang dihasilkan secara acak dan memiliki masa aktif yang relatif singkat, sehingga sulit bagi peretas untuk melakukan serangan bruteforce.
Secara garis besar, terdapat dua cara untuk mendapatkan kode OTP, yakni hardware OTP token serta software TOTP (time based OTP) token. Kedua metode ini memiliki kelemahan dan keunggulannya masing-masing. Dari segi keamanan, sangat baik apabila menerapkan hardware OTP token. Namun dalam hal efisiensi, software TOTP token menjadi juaranya.
Mitigasi
Agar insiden pencurian/penyalahgunaan akun dapat dihindari, perlu adanya mitigasi yang dilakukan oleh seluruh pihak yang terkait, terlebih lagi untuk penyedia dan pengguna jasa. Sebagai penyedia jasa, beberapa hal yang dapat dilakukan antara lain:
- Melakukan inspeksi internal terhadap sistem secara serius secara berkala.
- Memberikan alternatif metode Multi Factor Authentication, seperti OTP panggilan, OTP dengan aplikasi Google Authenticator atau aplikasi sejenis.
- Mengutamakan perlindungan data konsumen.
- Melakukan pembaruan sistem dengan segera apabila mendapatkan laporan celah pada sistem yang dimiliki.
Selain penyedia jasa, pengguna juga tetap memegang peranan penting agar akun miliknya tidak diambil alih. Hal yang dapat dilakukan pengguna antara lain:
- Menyalakan Multi Factor Authentication pada akun miliknya.
- Menghindari OTP melalui SMS, dan menggantinya dengan OTP devices atau aplikasi.
- Membaca syarat dan ketentuan sebelum menginstal software pada peranti. Selain itu, penting bagi kita untuk memahami akses yang dibutuhkan oleh sebuah aplikasi yang terinstal di perangkat kita.
- Selalu melakukan pembaruan pada aplikasi/software yang digunakan.
- Tidak menyimpan kredensial kartu kredit/debit pada media maya.
- Tidak menyimpan saldo yang banyak pada dompet digital.
Kesimpulan
Menambahkan metode OTP untuk autentikasi merupakan hal yang baik. Namun apabila OTP menjadi satu-satunya lapisan autentikasi, diperparah dengan kode OTP yang dikirimkan melalui SMS yang tidak lagi aman, maka hal ini akan menuntun sistem ke sebuah malapetaka. Aspek keamanan tidak dapat dilupakan begitu saja, meskipun di sisi lain penyedia jasa ingin memberikan kemudahan akses kepada pengguna. Pada akhirnya, pengguna tetap memiliki peranan yang besar untuk mengamankan akun serta informasi miliknya.