Liputan6.com, Jakarta - OTP (One Time Password) masih menjadi kasta tertinggi dalam pengamanan aset digital.
Sementara password dalam bentuk huruf, angka (PIN), tanda baca maupun kombinasi ketiganya dianggap memiliki keamanan yang lebih rendah.
Dengan kondisi itu, pakar keamanan siber Alfons Tanujaya pun menyebut apabila ada aplikasi yang menggunakan PIN untuk mengamankan OTP sama saja seperti memakai mobil Jeep Wilis dalam perang untuk melindungi tank.
Oleh sebab itu, menurut Alfons, penerapan sistem semacam ini bukannya membuat pengguna mendapatkan pengamanan tambahan yang lebih ketat, melainkan makin rumit dan rentan dieksploitasi.
Terlebih, pengamanan berbasis kata kunci saat ini sudah begitu banyak digunakan dan memiliki celah. Salah satunya adalah penggunaan kata kunci yang sama secara berulang dan memakai informasi pribadi untuk membuatnya.
"Celakanya, jika salah satu akun saja yang digunakan bocor, seperti yang dialami oleh LinkedIn dan Yahoo yang mengalami kebocoran database pengguna dan tersebar di dunia maya," tulis Alfons seperti dikutip dari situs Vaksin.com, Minggu (1/11/2020).
Baca Juga
Advertisement
Kondisi itu juga didukung dengan kemungkinkan kebocoran kredensial dan kerugiannya bisa sangat besar bagi pemilik akun. Hal itu dapat saja terjadi sebab saat ini program mata-mata yang dikenal sebagai trojan atau keylogger hadir dalam banyak bentuk.
"Salah satunya dalam bentuk crack atau program bajakan/gratisan yang diunduh, bisa juga diselipkan ketika anda sedang menonton film streaming gratisan yang mengharuskan anda menginstal aplikasi tambahan atau pop-up iklan," tulisnya lebih lanjut.
Biasanya, keylogger ini akan merekam seluruh aktivitas korbannya, mulai dari situs yang dikunjungi, kata-kata yang diketikkan di keyboard, hingga dalam beberapa kasus mampu mengaktifkan kamera atau mikrofon.
Untuk itu, banyak pratiksi keamanan siber menyarankan pengguna untuk melindungi perangkatnya dengan aplikasi antivirus, seperti Webroot yang memiliki Evasion Shield untuk mendeteksi aplikasi atau situs yang mengandung trojan.
Kemampuan OTP untuk Amankan Akun
Melihat kondisi itu, Alfons pun mengatakan pengamanan OTP saat ini dapat disebut sebagai yang terbaik dan menjadi andalan untuk melindungi kredensial.
Kendati demikian, pada dasarnya memang tidak ada aturan pengamanan menggunakan password yang diperkuat dengan OTP.
"Hanya saja, pengamanan OTP ibaratnya pengamanan terbaik dan menjadi senjata andalan dan dalam teknik pengamanan TFA/MFA (Two/ Multi Factor Authentication)," tulis Alfons menjelaskan.
Adapun metode yang biasanya diterapkan pengelola layanan, menurut Alfons, adalah pengamanan awal menggunakan kredensial lalu diperkuat dengan pengamanan TFA, seperti OTP atau password sekali pakai.
Namun layanan seperti WhatsApp sempat menggunakan layanan OTP tanpa kredensial untuk masuk ke akun pengguna. Cara ini memang aman, tapi memiliki celah dengan memanfaatkan rekayasa sosial pengguna.
"Penipu biasanya berpura-pura sebagai pihak berwenang menghubungi pemilik akun, lalu dengan macam tipu daya yang sangat meyakinkan berhasil mengelabui korbannya untuk memberikan kode akses atau mengklik tautan verifikasi yang dikirimkan ke SMS sehingga akun berpindah tangan," tulisnya lebih lanjut.
Advertisement
Metode Keamanan WhatsApp
Untuk itu, saat ini WhatsApp menambahkan lapisan keamanan baru, yakni PIN 6 angka yang hanya dapat diketahui pemilik Akun WhatsApp dan disebut sebagai Two-Step Verification.
Metode ini berbeda dari TFA konvesional dimana OTP menjadi lapisan keamanan kedua. Namun Alfons juga menyorot metode ini juga memiliki kelemahan tersendiri.
"Di sini yang terjadi adalah terbalik dimana Two-Step Verification WhatsApp adalah PIN yang mengamankan OTP. Jadi, secara teknis jika di perangkat tersebut terkandung trojan atau keylogger, PIN tersebut akan bisa diketahui," tulis Alfons melanjutkan.
(Dam/Ysl)