Sukses

Perkuat Keamanan OTP, Pakar Keamanan Sarankan 4 Hal Ini

Pakar keamanan siber Alfons Tanujaya mengatakan penyedia layanan sebaiknya tidak begitu saja mengandalkan metode OTP.

Liputan6.com, Jakarta - Seperti pembahasan di artikel sebelumnya, OTP (One Time Password) saat ini diakui sebagai salah satu metode paling aman dan efektif untuk mengamankan akun pada sebuah layanan.

Namun pakar keamanan siber, Alfons Tanujaya, mengatakan penyedia layanan sebaiknya tidak begitu saja mengandalkan metode ini. Menurutnya, pemanfaatan OTP harus memerhatikan faktor lain, sehingga dapat menyempurnakan pengamanannya.

"Jangan karena OTP berada di kasta tertinggi pengamanan otentikasi, lalu metode ini digunakan sebagai perlindungan utama dan berharap memperoleh keamanan maksimal dengan hanya memanfaatkannya," tulisnya seperti dikutip dari situs Vaksin.com, Senin (2/11/2020).

Lebih lanjut Alfons mengatakan kebanyakan orang memang akan mengamini sistem keamanan OTP lebih unggul dari PIN. Hanya perlu diingat, apabila tercipta lingkungan yang aman dari keylogger atau trojan, keamanan PIN dapat mendekati OTP.

"Dengan kata lain, PIN yang baru dibuat untuk melindungi satu akun tertentu yang langsung disimpan dan sangat jarang dipakai ulang pada prinsipnya keamanannya mendekati OTP," tulis Alfons lebih lanjut.

Kendati demikian, PIN yang digunakan untuk keperluan berulang, seperti PIN mobile banking, kartu kredit, e-wallet, dan internet banking pada prinsipnya lebih rentan bocor.

Untuk itu, Alfons mengatakan pengguna layanan diminta untuk setidaknya memiliki dua jenis PIN. Salah satunya adalah PIN yang jarang dipakai tapi strategis, seperti metode Two-Step-Verification yang ada di WhatsApp.

Metode ini juga digunakan oleh operator telekomunikasi Amerika Serikat, Verizon, untuk melindungi penggunanya dari aksi SIM Swap. Lalu PIN lain yang dimiliki adalah untuk kebutuhan berkali-kali, seperti PIN ATM, PIN e-wallet, hingga internet banking.

2 dari 3 halaman

Cara yang Dapat Dipakai untuk Perkuat Keamanan OTP

Mengingat saat ini masih banyak kasus pembobolan akun yang sudah diproteksi dengan OTP, Alfons pun menyarankan para perancang pengamanan akun untuk menerapkan cara berbeda untuk membuat metode ini kian aman.

"Ada baiknya perancang sekuriti tidak melulu mengandalkan OTP sebagai senjata utama pengamanan akun, tapi selalu meramu maupun mengevaluasi sejauh mana tingkat pengamanan yang ada dan apa saja yang dapat dilakukan untuk menyempurnakan OTP," tulisnya.

Alfons pun membagikan sejumlah contoh simpel yang dapat dilakukan perancang keamanan akun untuk meningkatkan pengamanan kredensial OTP. Berikut ini beberapa di antaranya :

1. Deferred Transfer Fund

Dengan metode ini, ada tenggang waktu pindah dana untuk rekening yang baru dibuka atau berpindah tangan. Jadi, dana yang ditransfer akan ditahan dulu, sehingga masih ada waktu bagi korban penipuan melaporkan tindakan ini ke penyedia layanan.

Durasi ideal nantinya akan ditetapkan oleh penyedia layanan, dengan tetap mempertimbangkan kenyamanan pengguna. Lewat cara ini, pencuri juga dapat kehilangan motivasi lagi, karena dia belum tentu berhasil mendapatkan uang dari akun yang diambil alih.

2. Fitur Menolak Usaha OTP Lewat SMS

Salah satu kelemahan OTP adalah penerima tidak dapat menolak pesan yang diterimanya. Hal ini memungkinkan peretas memborbardir korban dengan banyak percobaan pengiriman OTP dan menunggunya lengah.

Oleh sebab itu, ada baiknya apabila pengguna diberi pilihan untuk tidak menerima SMS OTP. Dengan cara ini, pengguna dapat menghalau SMP Spam berupa OTP yang terus diminta oleh peretas.

3 dari 3 halaman

Hal Lain yang Perlu Dilakukan

3. Hindari Otomatisasi OTP

Metode otomatisasi OTP, menurut Alfons, merupakan salah satu cara yang harus dihindari. Sebab, saat ini banyak layanan yang menghadirkan fitur otomatisasi sms OTP yang masuk.

Terlebih, jika SMS tersebut berisi tautan yang memverifikasi perpindahan akun. Padahal cara ini rentan memicu kecelakaan, terutama saat pengguna sebenarnya tidak menyetujui OTP tersebut.

4. Satu Akun untuk Satu Perangkat

Pengaturan yang tidak kalah penting adalah akses satu akun hanya dapat dilakukan oleh satu perangkat. Alfons mengatakan hal ini dapat memanfaatkan IMEI, cookies, atau pengenal lain untuk mengidentifikasi perangkat tersebut.

(Dam/Ysl)

Saksikan Video Pilihan di Bawah Ini: