Perkuat Keamanan OTP, Pakar Keamanan Sarankan 4 Hal Ini

Pakar keamanan siber Alfons Tanujaya mengatakan penyedia layanan sebaiknya tidak begitu saja mengandalkan metode OTP.

oleh Agustinus Mario Damar diperbarui 02 Nov 2020, 08:31 WIB
Diterbitkan 02 Nov 2020, 08:00 WIB
Ilustrasi SMS Spam
Ilustrasi SMS Spam (sumber: iStockphoto)

Liputan6.com, Jakarta - Seperti pembahasan di artikel sebelumnya, OTP (One Time Password) saat ini diakui sebagai salah satu metode paling aman dan efektif untuk mengamankan akun pada sebuah layanan.

Namun pakar keamanan siber, Alfons Tanujaya, mengatakan penyedia layanan sebaiknya tidak begitu saja mengandalkan metode ini. Menurutnya, pemanfaatan OTP harus memerhatikan faktor lain, sehingga dapat menyempurnakan pengamanannya.

"Jangan karena OTP berada di kasta tertinggi pengamanan otentikasi, lalu metode ini digunakan sebagai perlindungan utama dan berharap memperoleh keamanan maksimal dengan hanya memanfaatkannya," tulisnya seperti dikutip dari situs Vaksin.com, Senin (2/11/2020).

Lebih lanjut Alfons mengatakan kebanyakan orang memang akan mengamini sistem keamanan OTP lebih unggul dari PIN. Hanya perlu diingat, apabila tercipta lingkungan yang aman dari keylogger atau trojan, keamanan PIN dapat mendekati OTP.

"Dengan kata lain, PIN yang baru dibuat untuk melindungi satu akun tertentu yang langsung disimpan dan sangat jarang dipakai ulang pada prinsipnya keamanannya mendekati OTP," tulis Alfons lebih lanjut.

Kendati demikian, PIN yang digunakan untuk keperluan berulang, seperti PIN mobile banking, kartu kredit, e-wallet, dan internet banking pada prinsipnya lebih rentan bocor.

Untuk itu, Alfons mengatakan pengguna layanan diminta untuk setidaknya memiliki dua jenis PIN. Salah satunya adalah PIN yang jarang dipakai tapi strategis, seperti metode Two-Step-Verification yang ada di WhatsApp.

Metode ini juga digunakan oleh operator telekomunikasi Amerika Serikat, Verizon, untuk melindungi penggunanya dari aksi SIM Swap. Lalu PIN lain yang dimiliki adalah untuk kebutuhan berkali-kali, seperti PIN ATM, PIN e-wallet, hingga internet banking.

Cara yang Dapat Dipakai untuk Perkuat Keamanan OTP

Ilustrasi OTP. Dok: web.dev
Ilustrasi OTP. Dok: web.dev

Mengingat saat ini masih banyak kasus pembobolan akun yang sudah diproteksi dengan OTP, Alfons pun menyarankan para perancang pengamanan akun untuk menerapkan cara berbeda untuk membuat metode ini kian aman.

"Ada baiknya perancang sekuriti tidak melulu mengandalkan OTP sebagai senjata utama pengamanan akun, tapi selalu meramu maupun mengevaluasi sejauh mana tingkat pengamanan yang ada dan apa saja yang dapat dilakukan untuk menyempurnakan OTP," tulisnya.

Alfons pun membagikan sejumlah contoh simpel yang dapat dilakukan perancang keamanan akun untuk meningkatkan pengamanan kredensial OTP. Berikut ini beberapa di antaranya :

1. Deferred Transfer Fund

Dengan metode ini, ada tenggang waktu pindah dana untuk rekening yang baru dibuka atau berpindah tangan. Jadi, dana yang ditransfer akan ditahan dulu, sehingga masih ada waktu bagi korban penipuan melaporkan tindakan ini ke penyedia layanan.

Durasi ideal nantinya akan ditetapkan oleh penyedia layanan, dengan tetap mempertimbangkan kenyamanan pengguna. Lewat cara ini, pencuri juga dapat kehilangan motivasi lagi, karena dia belum tentu berhasil mendapatkan uang dari akun yang diambil alih.

2. Fitur Menolak Usaha OTP Lewat SMS

Salah satu kelemahan OTP adalah penerima tidak dapat menolak pesan yang diterimanya. Hal ini memungkinkan peretas memborbardir korban dengan banyak percobaan pengiriman OTP dan menunggunya lengah.

Oleh sebab itu, ada baiknya apabila pengguna diberi pilihan untuk tidak menerima SMS OTP. Dengan cara ini, pengguna dapat menghalau SMP Spam berupa OTP yang terus diminta oleh peretas.

Hal Lain yang Perlu Dilakukan

3. Hindari Otomatisasi OTP

Metode otomatisasi OTP, menurut Alfons, merupakan salah satu cara yang harus dihindari. Sebab, saat ini banyak layanan yang menghadirkan fitur otomatisasi sms OTP yang masuk.

Terlebih, jika SMS tersebut berisi tautan yang memverifikasi perpindahan akun. Padahal cara ini rentan memicu kecelakaan, terutama saat pengguna sebenarnya tidak menyetujui OTP tersebut.

4. Satu Akun untuk Satu Perangkat

Pengaturan yang tidak kalah penting adalah akses satu akun hanya dapat dilakukan oleh satu perangkat. Alfons mengatakan hal ini dapat memanfaatkan IMEI, cookies, atau pengenal lain untuk mengidentifikasi perangkat tersebut.

(Dam/Ysl)

Saksikan Video Pilihan di Bawah Ini:

Lanjutkan Membaca ↓
Loading

POPULER

Berita Terkini Selengkapnya