Salah satu metode paling mudah bagi pengguna ponsel untuk masuk ke aplikasi — dan banyak perusahaan mengandalkannya untuk memberikan akses — adalah kata sandi satu kali, atau OTP, yang sering dibagikan melalui teks. Namun, ada konsensus yang berkembang di antara para profesional keamanan siber bahwa OTP, seperti kata sandi tradisionalharus dihilangkan, meskipun para ahli mengatakan diragukan hal itu akan terjadi dalam waktu dekat.
Konsumen didesak untuk memperhatikan berbagai jenis kata sandi sekali pakai, dan risiko keamanan relatif versus manfaat yang ditawarkan masing-masing. Pengalaman menunjukkan selalu ada cara untuk mengalahkan autentikasi, tetapi beberapa metode dianggap lebih kuat daripada yang lain, menurut Ant Allan, wakil presiden analis di Gartner Research. “Tidak ada metode antipeluru untuk autentikasi,” kata Allan.
Berikut yang perlu diketahui konsumen tentang OTP dan keamanan online:
OTP rentan terhadap penipuan online
OTP melalui pesan teks, atau SMS, lebih rentan terhadap serangan penipu melalui berbagai cara seperti serangan phishing, pertukaran SIM, dan penyadapan pesan, bahkan jika ponsel Anda ada dalam kepemilikan Anda, kata Tracy C. Kitten, direktur penipuan dan keamanan di Javelin Strategy & Research.
Masalahnya makin rumit karena saat akun seluler atau situs web Anda diambil alih, Anda mungkin tidak langsung menyadarinya. “Anda bisa meminta bank, misalnya, untuk mengirim pesan teks lalu mengirim ulang, tanpa menyadari ada orang lain yang menerimanya. Anda mungkin perlu waktu 45 menit sebelum menyadari ada yang salah dan saat itu sudah terlambat,” kata Kitten.
Gunakan aplikasi autentikator dari Google, Microsoft
Para ahli keamanan mengatakan bahwa pilihan yang lebih baik, meskipun juga bukan obat mujarab, adalah mengunduh aplikasi autentikator, seperti Google Authenticator atau Microsoft Authenticator, di perangkat seluler. Aplikasi autentikator masih rentan terhadap beberapa jenis serangan seperti “adversary in the middle” tetapi masih lebih aman daripada SMS, kata Allan.
Dengan aplikasi autentikator, pengguna menerima kode unik setiap kali mereka masuk, dan kode tersebut kedaluwarsa, biasanya setelah 30 hingga 60 detik. Tidak ada yang dikirim ke nomor telepon. Autentikator ada di perangkat seluler Anda, jadi jika ponsel dilindungi kata sandi dan Anda mengaktifkan pengenalan wajah, risiko seseorang dapat mengakses kode tersebut akan berkurang drastis, kata Kitten.
Tentu saja, masih ada potensi kerentanan berdasarkan kebutuhan untuk memasukkan kode, kata Cedric Thevenet, wakil presiden dan kepala penjualan dan solusi siber di Capgemini Americas. Misalnya, seseorang mendapat email yang tampaknya berasal dari perusahaan atau penyedia yang biasa berbisnis dengannya, tetapi, pada kenyataannya, itu adalah upaya phishing yang tersamar. Berkat AI, jenis email phishing ini menjadi semakin sulit dideteksi, kata Thevenet.
Jika pengguna yang tidak curiga mengklik tautan tersebut, ia mungkin akan diarahkan ke situs web yang tampak sah, tetapi sebenarnya tidak. Orang tersebut memasukkan nama pengguna dan kata sandinya di situs peretas, mengira itu adalah situs penyedia, lalu, ketika dimintai kode autentikator, ia mengetikkannya juga. Kini, Thevenet menjelaskan, peretas memiliki akses ke akun orang tersebut.
Pertimbangkan dorongan aplikasi seluler untuk perlindungan yang lebih baik
Pilihan yang lebih aman untuk autentikasi bekerja bersamaan dengan aplikasi seluler di ponsel pengguna. Saat pengguna masuk ke situs web bank atau penyedia layanan lain, mereka akan menerima pemberitahuan di aplikasi terkait di ponsel yang meminta mereka memverifikasi identitas melalui pemberitahuan tersebut.
Metode verifikasi ini tidak bergantung pada perangkat yang Anda gunakan untuk login, dan lebih baik daripada SMS atau OTP autentikator, tetapi ada serangan yang juga dapat berhasil terhadap metode ini, kata Allan. Seorang peretas dapat berulang kali mencoba login ke akun seseorang menggunakan kata sandi yang dicuri dan pengguna akan mendapatkan banyak pesan di ponselnya untuk memverifikasi. Jika orang tersebut tidak memperhatikan dengan saksama, atau hanya ingin berhenti diganggu, ia dapat mengeklik untuk memverifikasi sehingga memberi akses akun peretas.
Pilih kunci keamanan perangkat keras jika memungkinkan
Pilihan yang lebih baik lagi adalah menggunakan kunci keamanan perangkat keras seperti Yubico. Satu kunci dapat digunakan dengan beberapa aplikasi dan layanan. Dari sudut pandang keamanan, ini lebih baik daripada SMS atau aplikasi autentikator, kata Allan. Namun, ada investasi yang harus dikeluarkan. Satu kunci dapat berharga sekitar $20 hingga $60 atau lebih dan orang harus berhati-hati agar tidak kehilangannya.
Hal ini juga tidak praktis dalam setiap situasi. Pengecer daring tidak akan memberikan kunci kepada setiap pelanggannya karena alasan biaya dan kepraktisan, kata Thevenet.
Hilangkan kata sandi dari persamaan dengan kunci sandi multi-perangkat
Meskipun tidak selalu dapat menggantikan OTP, penggunaan kunci sandi multiperangkat, yang menggantikan kebutuhan akan kata sandi, akan mempersulit penyerang untuk membobol akun Anda. Menurut FIDO Alliance, asosiasi industri terbuka yang berfokus pada pengurangan ketergantungan dunia pada kata sandi, kunci sandi terdiri dari “kunci pribadi” yang disimpan di komputer atau ponsel pengguna dan kriptografi kunci publik.
Selain menghilangkan beberapa gangguan akibat kata sandi, kunci sandi melindungi pengguna dari serangan phishing karena hanya berfungsi di situs web dan aplikasi yang terdaftar. Masih ada beberapa masalah keamanan, kata Allan, tetapi paling tidak, “kata sandi tidak lagi menjadi masalah, sehingga penyerang lebih sulit untuk memulai aksinya.”
Dari sudut pandang regulasi, kunci sandi mungkin tidak memenuhi syarat sebagai autentikasi multi-faktor, tetapi masih lebih aman daripada menggunakan kata sandi dan SMS, kata Allan.
Harapkan OTP melalui SMS tetap digunakan, dan ada risiko
Ada berbagai macam pilihan bagi pengguna untuk mengelola login online mereka dengan lebih memperhatikan keamanan, termasuk pengelola kata sanditetapi semuanya memiliki risiko dan sampai batas tertentu, konsumen dibatasi oleh metode autentikasi yang ditawarkan oleh berbagai penyedia.
Dusty Anderson, direktur pelaksana di Protiviti, yang memimpin praktik identitas digital perusahaan, memiliki klien yang menghabiskan puluhan ribu dolar per bulan untuk mengirim OTP melalui SMS. Meskipun ada masalah keamanan, klien tersebut bersikeras karena takut membuat masalah, terutama dengan pelanggan yang tidak begitu paham teknologi dan mungkin enggan menggunakan jenis autentikator lain, katanya.
Atas alasan ini dan alasan lainnya, Thevenet mengatakan OTP kemungkinan akan tetap ada dalam beberapa bentuk di masa mendatang. Pilihan yang paling umum adalah yang berbiaya rendah dan mudah digunakan, dan meskipun ada risiko tertentu, metode ini masih lebih baik daripada sekadar kata sandi saja, kata Thevenet. “Apakah mengirim OTP melalui SMS merupakan solusi terbaik? Tidak. Apakah lebih baik daripada sekadar kata sandi? Ya.”
