.webp)
Sistem one time password (OTP) yang menggunakan SMS menjadi sorotan terkait tingkat keamanannya, yaitu relatif mudah dijebol dibanding sistem OTP dengan jalur lainnya.
Pasalnya, saat SMS seseorang bisa dijebol, maka sistem OTP ini pun bakal terancam bisa diakses oleh si peretas. Padahal, banyak layanan -- terutama finansial -- yang menggunakan sistem OTP berbasis SMS ini.
Layanan seperti otorisasi kartu kredit, dompet digital, akun digital, dan lain sebagainya saat ini masih banyak yang bergantung pada sistem OTP berbasis SMS. Parahnya, mereka bergantung sepenuhnya pada sistem ini, meski ada juga yang sudah memanfaatkan sistem OTP yang lain.
SCROLL TO CONTINUE WITH CONTENT
Menurut Alfons Tanujaya, pengamat keamanan siber, sistem OTP berbasis SMS ini seharusnya menjadi pilihan terakhir, dan hanya digunakan jika tak ada pilihan OTP lain. Contohnya adalah OTP berbasis WhatsApp atau menggunakan aplikasi seperti Google Authenticator.
"Memang pusing kalau OTP hanya mengandalkan SMS dan tidak ada pilihan lain. Sekali SMS diretas maka OTP jebol," ujar Alfons saat dihubungi detikINET.
Sementara untuk sistem OTP lewat WhatsApp, meski tak sepenuhnya aman, menurut Alfons masih punya lapisan keamanan tambahan. Misalnya adalah verifikasi dua tahap yang membuat akun WhatsApp membutuhkan kode khusus sebelum bisa dipindah ke perangkat lain.
Alfons mengakui, keamanan SMS pasti dijaga dengan baik oleh operator. Namun tak bisa dipungkiri sistem ini mempunyai satu titik lemah, yaitu dari perangkat pengguna, dan pengguna itu sendiri.
Misalnya, adalah aplikasi pinjaman online (pinjol) yang mempunyai akses pada SMS milik penggunanya. Menurut Alfons hal ini dilakukan oleh aplikasi pinjol itu sebagai jaminan.
"Jadi kalau pinjaman bermasalah maka segala macam cara digunakan untuk menagih. Termasuk meretas semua akun digital. Termasuk OTP yang dikirimkan ke SMS," pungkasnya.
Menurut Alfons, ada tiga cara untuk menjebol sistem SMS seseorang. Yaitu dari operator, di tengah jalan antara operator dengan perangkat, dan dari perangkat pengguna.
Dua cara yang disebut pertama menurut Alfons punya tingkat kesulitan paling tinggi untuk dijebol. Yaitu membutuhkan perangkat khusus dan keterampilan teknis yang tinggi, terlebih lagi, keamanan SMS seharusnya dijaga dengan baik oleh operator.
Namun cara ketiga itulah yang paling lemah, terutama pada pengguna awam dan mudah ditipu untuk memberikan akses SMS-nya, termasuk lewat aplikasi pinjol.
Baca juga: Saling Tuding di Kasus Peretasan SMS |
Tips mengamankan OTP lewat SMS
Alfons pun memberikan sejumlah tips untuk pengguna yang memang terpaksa menggunakan sistem OTP berbasis SMS. Salah satunya adalah jangan menyimpan uang dalam jumlah besar dalam dompet digital.
"Kalau diambil SMS-nya (dijebol) ya akunnya pindah," katanya.
Lalu tips keduanya adalah jangan menyimpan nomor kartu kredit di e-commerce. Terlebih lagi jika alasannya untuk kemudahan agar tak perlu memasukkan ulang nomor kartu setiap melakukan pembelian.
"SMS-nya bisa diakses, maka berbekal nomor kartu kredit curian bisa approve transaksi dengan akses SMS ilegal ini," tutup Alfons.
(asj/fay)
