Jakarta, CNN Indonesia —
Penggunaan kode one-time password atau OTP (password sekali pakai) lewat SMS belakangan kian marak. Kode ini jamak digunakan berbagai platform pembayaran digital seperti Gojek, Grab, hingga media sosial, seperti Facebook atau Instagram.
Kode ini menjadi kunci pengaman kedua dari platform pembayaran dan media sosial. Sebab, kode ini menjadi pengaman jika password akun pengguna dibobol peretas. Ini adalah kode yang jadi pertahanan terakhir agar akun pengguna tak diambil alih peretas. Sehingga tak heran, kode ini kerap diincar peretas.
Sehingga, tak heran kasus pembobolan layanan pembayaran digital hingga kartu kredit kerap dilakukan dengan meminta pengguna memberikan kode ini. Pelaku biasanya menghubungi pengguna melalui sambungan telepon dan mengatasnamakan platform yang digunakan, sehingga korban langsung percaya.
Misal, pengguna menggunakan layanan pembayaran Gopay milik Gojek. Maka, peretas biasanya akan menelepon pengguna dan mengaku sebagai pihak Gojek untuk meminta kode tersebut. Ini adalah modus penipuan yang kerap terjadi.
Pengamat keamanan siber Alvon Tanujaya lewat blog resmi Vaksin.com membeberkan cara mengamankan OTP agar tidak mudah diretas.
Tidak ada aturan kalau pengamanan akun harus menggunakan kredensial (username dan password) lalu diperkuat dengan OTP One Time Password.
Hanya saja, pengamanan OTP ibaratnya pengamanan terbaik dan menjadi senjata andalan dan dalam teknik pengamanan TFA/MFA Two / Multi Factor Authentication teknik yang lazim digunakan adalah pengamanan awal menggunakan kredensial lalu diperkuat dengan pengamanan TFA yang dalam hal ini adalah menambahkan OTP (One Time Password) atau Password sekali pakai.
Salah satu aplikasi populer yang langsung menggunakan OTP tanpa kredensial adalah aplikasi populer WhatsApp dimana ketika anda menginstal WhatsApp maka secara otomatis kredensial dalam bentuk OTP dikirimkan ke SMS nomor telepon yang bersangkutan dan tidak akan bisa diketahui oleh siapapun kecuali pemilik akun / SMS nomor telepon yang bersangkutan.
Meskipun sudah menggunakan OTP yang merupakan pengamanan terbaik, buktinya masih bisa dieksploitasi dan banyak terjadi pengambilalihan akun WhatsApp.
Sama halnya pertahanan darat menggunakan tank yang tadinya dianggap sebagai pertahanan terbaik karena tidak mempan di tembak peluru konvensional dan mampu menerabas dan meruntuhkan tembok rumah namun akhirnya menjadi sasaran empuk RPG dan bom molotov karena lamban dan penglihatannya terbatas.
Maka, pengamanan dengan OTP yang dilakukan oleh WhatsApp berhasil dieksploitasi terutama dengan rekayasa sosial dimana penipu berpura-pura sebagai pihak berwenang menghubungi pemilik akun dan dengan berbagai macam tipu daya yang sangat meyakinkan berhasil mengelabui korbannya untuk memberikan kode akses atau mengklik tautan verifikasi yang dikirimkan ke SMS pemilik akun sehingga akun menjadi berpindah tangan.
Oleh karena itu, WhatsApp menambahkan lapisan pengamanan baru yaitu PIN 6 angka yang hanya diketahui oleh pemilik akun WhatsApp dan disebut sebagai Two-Step Verification. Berbeda dengan TFA konvensional dimana OTP adalah lapisan pengamanan kedua yang mengamankan kredensial.
sumber: https://www.cnnindonesia.com/teknologi/20201104093101-185-565683/cara-amankan-otp-kode-rahasia-yang-jadi-incaran-peretas
