TFA dan OTP, Sang Juru Selamat

Jakarta - Industri finansial adalah salah satu yang mendapatkan manfaat besar dari adanya internet.

Dengan adanya layanan internet banking akan mengurangi beban kerja dan biaya transaksi bank dimana tanpa perlu menambahkan cabang, karyawan front office dan back office baru perbankan dapat memberikan tambahan jasa layanan perbankan untuk semua nasabahnya.

Bahkan dalam beberapa aspek layanan yang diberikan lebih baik daripada layanan kantor fisik karena server internet banking yang dapat melayani nasabah tanpa lelah hampir 24 jam dengan biaya yang sangat minimal dan jangkauan yang sangat luas, seluas jangkauan akses internet, yaitu seluruh dunia.

Demikian pula dengan layanan pembayaran untuk transaksi online baik transfer, autopay ataupun kartu kredit yang secara tidak langsung memberikan dorongan pada pertumbuhan belanja online yang luarbiasa di Indonesia dalam beberapa tahun belakangan ini.

Namun kemudahan dan kenyamanan yang terjadi saat ini sebenarnya melalui proses panjang dan tidak terjadi dalam semalam. Masih segar dalam ingatan kita bahwa Indonesia pernah menjadi surga carder dimana data kartu kredit yang dicuri digunakan untuk berbelanja dan dikirimkan ke alamat di Indonesia dan sempat membuat Indonesia masuk blacklist sehingga hampir semua transaksi belanja online dari Indonesia ditolak.

Di sisi internet banking, pada awal kemunculannya siapa yang tidak khawatir kalau uangnya yang didapatkan dengan susah payah menjadi korban pencurian karena password login dan transaksi yang berhasil di retas.

Sebenarnya, kunci permasalahannya saat itu adalah perbedaan pengelolaan sistem kependudukan dimana di banyak negara maju, identifikasi tunggal untuk penduduknya berjalan dengan baik sehingga sulit digunakan untuk melakukan kejahatan internet dan hal tersebut berbeda di Indonesia karena sistem kependudukan yang masih masih lemah dan memungkinkan terjadinya kartu identitas aspal.

Tingginya ancaman keamanan tersebut menyebabkan hambatan pada pemanfaatan internet untuk industri finansial sehingga memaksa para praktisi sekuriti memutar otak bagaimana cara mengamankan transaksi keuangan yang efektif.

Berbagai macam metode dicoba tanpa hasil yang memuaskan sampai ditemukan metode yang dapat dikatakan sebagai titik balik pengamanan transaksi finansial TFA dan OTP.

TFA dan OTP

Pengamanan TFA, Two Factor Authentication atau otentikasi dua faktor yang digabungkan dengan OTP, One Time Password, merupakan titik balik baik dalam pengamanan internet banking maupun transaksi kartu kredit online.

Pertama kali diimplementasikan oleh salah satu bank swasta nasional Indonesia sejak awal tahun 2.000, implementasi TFA ini membutuhkan waktu beberapa lama untuk diadopsi dan pelan namun pasti perlindungan TFA ini diadopsi oleh bank lain di Indonesia dan menjadi standar pengamanan internet banking karena terbukti efektif dan sangat sulit untuk ditembus.

Rahasia kesaktian TFA ini adalah karena ia menerapkan OTP One Time Password alias password sekali pakai untuk menyetujui transaksi internet banking sehingga sekalipun komputer pengguna internet banking terinfeksi keylogger, tanpa akses terhadap token OTP, peretas tidak akan bisa memvalidasi transaksi internet banking seperti melakukan pembayaran atau transfer uang.

Urutan angka yang muncul dalam OTP One Time Password ini diatur berdasarkan sinkronisasi dengan waktu dan urutan angka OTP unik untuk setiap akun bank hanya diketahui oleh token OTP dan server OTP penyedia layanan internet banking.

Pada prinsipnya, sistem OTP di token adalah urutan angka yang akan muncul berdasarkan waktu dengan rumusan tertentu yang telah ditetapkan dan disinkronisasikan antara server OTP dengan token OTP. Bagusnya lagi implementasinya tidak harus melalui token. Implementasi OTP bisa dilakukan menggunakan aplikasi pada gawai atau memanfaatkan SMS.

Secara teknis, OTP melalui SMS lebih rentan terhadap ancaman sekuriti dibandingkan OTP kalkulator token karena SMS masih mungkin disadap atau dicuri dengan malware dan membutuhkan biaya pengiriman SMS setiap kali otorisasi, namun memiliki keunggulan biaya yang lebih rendah dibandingkan kalkulator token karena tidak membutuhkan investasi dan distribusi token kepada penggunanya.

Selain itu penetrasi SMS sudah sangat luas dimana seluruh pemilik gawai baik yang smart maupun yang kurang smart akan bisa menerima SMS. Jadi, kalau ada penyedia layanan internet banking dengan OTP SMS yang mengklaim lebih aman dari bank lain yang menggunakan sistem token, hal ini patut dipertanyakan.

Gambar 1, TFA – OTP via SMS yang dinamai mTOKEN oleh salah satu bank nasional

Selain internet banking, penyedia layanan kartu kredit juga menikmati keuntungan besar dengan adanya internet karena tingginya pertumbuhan online shopping yang tentunya membutuhkan sistem pembayaran.

Salah satu sistem pembayaran yang mudah dan umum digunakan adalah kartu kredit. Namun, sama dengan internet banking, mengandalkan data rahasia dan kredensial saja tidak cukup karena trojan dan keylogger dapat merekam semua informasi yang dimasukkan oleh pengguna kartu kredit, baik nomor kartu, nama pemegang kartu, tanggal jatuh tempo, nama gadis ibu kandung, alamat penagihan atau CVV code sekalipun sekali diketikkan di komputer yang terinfeksi keylogger akan langsung diketahui dan direkam.

Karena itulah implementasi TFA-OTP menjadi pengaman yang efektif untuk mengamankan transaksi kartu kredit. Dalam hal ini, dua penerbit kartu kredit terbesar dunia Mastercard dan Visa memilih mengirimkan OTP ke nomor HP yang didaftarkan pemilik kartu melalui USSD Code atau SMS seperti nama produk 3D Secure.

Gambar 2, Permintaan OTP untuk persetujuan transaksi

Gambar 3, OTP persetujuan transaksi yang dikirimkan ke ponsel via USSD Foto: dok. Vaksincom

Tidak dapat disangkal implementasi TFA dengan OTP inilah yang berhasil mengamankan transaksi finasial baik di kalangan perbankan dan kartu kredit dengan baik. Dan hal ini memberikan dampak yang signifikan pada pertumbuhan layanan jasa perbankan dan transaksi e-commmerce.

Memang ada usaha untuk mengakali sistem pengamanan TFA ini seperti kasus Sinkronisasi Token dan kasus pemalsuan SIM Card yang berhasil mengambil dana pelanggan.

Namun aksi tersebut terjadi bukan karena kelemahan pengamanan TFA – OTP melainkan pemanfaatan kelemahan pada sisi pelanggan (rekayasa sosial) dan kelemahan dalam sistem kependudukan dan penggantian SIM Card. Sistim pengamanan TFA – OTP sampai hari ini masih merupakan pengamanan terbaik untuk mengamankan kredensial.

Dalam tulisan berikutnya, Vaksincom akan memberikan uraian bagaimana TFA-OTP ini diimplementasikan untuk mengamankan akun penting anda seperti Facebook, Gmail dan Twitter.

Akun yang diamankan dengan TFA-OTP ini menjadi kebal dari pencurian sekalipun kredensial (username dan password) berhasil diketahui oleh peretas. Dan kabar baiknya, pengamanan yang dilakukan tersebut tidak memerlukan biaya tambahan apapun.

Saatnya juga bagi anda untuk mulai mempertimbangkan implementasi TFA pada sistem kredensial korporat, jika anda memiliki aset digital penting yang diakses banyak pengguna dengan kredensial standar, Vaksincom menyarankan anda untuk meingimplementasikan TFA-OTP sesegera mungkin.

Tulisan ini merupakan artikel kedua dari tiga tulisan berseri.
Baca juga: Senjakala Password


Salam,
Alfons Tanujaya (rou/rou)