OTP Pakai SMS: Murah dan Mudah, tapi Lemah

Kolom Telematika

OTP Pakai SMS: Murah dan Mudah, tapi Lemah

Alfons Tanujaya - detikInet
Senin, 07 Sep 2020 06:01 WIB
Ilustrasi OTP dompet digital
Foto: Shutterstock
Jakarta -

Cara kerja one time password (OTP) bagi orang awam mungkin bakal membingungkan, perangkat OTP (kalkulator OTP, Google Authenticator, OTP SMS / WA / email) tidak terkoneksi ke WiFi atau internet untuk berkomunikasi dengan server otentikasi di ujung sana.

Tetapi kok bisa bisanya dia dengan tepat memberikan kode OTP unik 6 atau 8 digit yang diminta oleh server otentikasi? Dan ini bisa dilakukan berulang kali dan server OTP tetap akan memberikan akses hanya untuk PIN yang tepat yang dikeluarkan oleh perangkat OTP.

Beda 1 angka saja, server akan langsung menolak permintaan akses/persetujuan transaksi. Padahal kalau dilihat dari sisi probabilitas PIN 6 digit kemungkinan benarnya 1 / 1.000.000 juta kombinasi, apalagi kalau 8 digit kemungkinannya 1/100.000.000 kombinasi. Kalau OTP main tebak-tebakan kok bisa-bisanya menebak persis dan tidak pernah ditolak?

Rahasianya adalah set kunci unik dan sinkronisasi waktu. Jadi pertama kali sebelum digunakan, perangkat OTP harus disinkronisasi dengan server OTP (dengan cara scan barcode atau memasukkan nomor seri kalkulator token).

Server OTP akan mencocokkan waktu server dengan waktu perangkat, kemudian identitas perangkat juga akan disimpan oleh server sehingga server tahu kunci set unik apa yang digunakan oleh perangkat. Setiap perangkat memiliki set kunci unik yang berbeda dan hampir mustahil untuk saling menggunakan set kunci OTP satu dengan lainnya.

Lalu, setelah mencocokkan set kunci unik yang digunakan, maka ketika server meminta kode OTP dari akun yang sudah terdaftar, seketika itu juga (dalam rentang waktu beberapa menit) perangkat OTP akan menjawab memberikan kode OTP yang diminta.

Jika ingin mengetes kebenaran ini, coba saja buka perangkat OTP anda dan catat beberapa kombinasi angka yang dikeluarkannya dan simpan selama 1 jam. Lalu coba gunakan untuk otentikasi masuk ke akun atau menyetujui transaksi.

Kode OTP anda akan ditolak karena meskipun set kunci yang anda gunakan sama dengan server, namun kode OTP tersebut sudah kedaluarsa atau melewati batas waktu berlaku yang telah ditentukan, biasanya dalam bilangan beberapa menit. Kode OTP akan kedaluarsa karena dua sebab.

Pertama, jika sudah digunakan satu kali (namanya juga OTP One Time Password bukan TTP Two Time Password) dan kedua adalah karena sudah melewati rentang waktu berlakunya. Jadi meskipun set kunci yang digunakan sudah benar dan cocok dengan server OTP, namun jika waktu berlakunya kode OTP sudah lewat, maka kode OTP tersebut akan kedaluarsa.

Keamanan vs Kenyamanan
Lalu mengapa OTP dengan token/kalkulator OTP digadang-gadang sebagai OTP yang paling aman dan OTP SMS sering dituding sebagai OTP paling tidak aman? Tetapi sebaliknya OTP SMS adalah OTP yang paling populer dibandingkan dengan metode OTP lainnya?

Jawabannya adalah karena penetrasi OTP, biaya pengadaan OTP dan kemudahan penggunaan OTP.

  • OTP paling aman. Hard Token.
    OTP dengan token paling aman karena OTP ini berdiri sendiri, tidak terhubung kepada perangkat lain dimana satu-satunya cara mengakses OTP Token adalah dengan mengakses fisik token kalkulator, pengadaan OTP ini juga tidak memanfaatkan jaringan pihak ketiga seperti Email, SMS atau Whatsapp yang mengirimkan kode OTP melalui jaringan eksternal dan secara teknis bisa disadap.
  • OTP cukup aman. Soft Token.
    OTP dengan aplikasi otentikasi seperti Google Authenticator atau Twilio Authy masih lebih aman dari SMS, Email dan WhatsApp karena tidak memanfaatkan jaringan eksternal pihak ketiga untuk mengirimkan kodenya dan memiliki kemampuan untuk mengkalkulasi kode OTP berdasarkan set kunci miliknya. Namun karena terinstal di perangkat lain seperti ponsel pintar atau komputer, maka jika ada yang memiliki akses ke ponsel tersebut secara teknis memiliki akses ke aplikasi OTP. Karena itulah ada baiknya memilih aplikasi otentikasi yang dilindungi dengan PIN untuk membuka aplikasi dan ditambah dengan PIN mengunci ponsel, harusnya akan sangat sulit bagi pihak ketiga mengakses aplikasi otentikasi OTP.
  • OTP kurang aman. On demand Token.
    OTP melalui SMS, email dan Whatsapp prinsip kerjanya sama dengan OTP token, namun karena ia tidak memiliki kemampuan mengolah kode OTP, maka ia tergantung pada jaringan pihak ketiga untuk mendapatkan kode OTP.

Kalau memang OTP melalui SMS adalah OTP yang kurang aman, tetapi mengapa OTP ini yang paling populer digunakan dan penetrasinya paling tinggi digandingkan metode OTP lainnya ? Jawabannya mungkin bisa mengacu pada perumpamaan Tom and Jerry.

Lemah tapi tetap unggul
Meskipun OTP SMS ini lemah dari sisi sekuriti, namun ia memiliki beberapa keunggulan dibandingkan metode OTP lainnya seperti:

  • Penetrasi SMS paling tinggi dibandingkan perangkat OTP lainnya.
    Tidak membutuhkan biaya pengadaan perangkat OTP dan sudah tersedia pada semua ponsel yang bisa menerima SMS.
  • Tidak membutuhkan instalasi aplikasi, sinkronisasi awal, proses pendaftaran yang rumit dan langsung tersedia pada nomor telepon yang diaktifkan.
  • Mudah digunakan, semudah menerima dan membaca SMS. Tidak membutuhkan latihan atau pengetahuan khusus untuk implementasi.

Sebenarnya agak ironis juga melihat kenyataan bahwa OTP SMS ini yang paling populer sekalipun sudah dikategorikan sebagai OTP yang kurang aman dibandingkan metode OTP lainnya.

Jadi, meski ada opsi yang lebih aman, namun karena tingginya biaya dan tingkat kesulitannya, akhirnya yang dipilih tetaplah SMS. Tetap lebih baik ketimbang tidak sama sekali.

Namun itulah kenyataan yang terjadi di Indonesia, OTP melalui SMS ini yang paling banyak digunakan oleh penyedia layanan digital untuk mengamankan akun penggunanya.

Sebenarnya hal ini bisa dimengerti kalau penyedia layanan tersebut memberikan alternatif pilihan OTP selain SMS sehingga pemilik akun bisa menentukan sejauh mana tingkat keamanan yang dipilihnya berdasarkan tingkat kerepotan yang bisa ditoleransi oleh dirinya.

Namun masih banyak penyedia layanan khususnya dompet digital yang mengandalkan pengamanan 100 % pada SMS OTP ini dan pengguna layanan tidak memiliki pilihan OTP lain.

*) Alfons Tanujaya adalah ahli keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktunya memberikan informasi dan edukasi tentang malware dan cyber security bagi komunitas IT Indonesia.



Simak Video "Langkah-langkah Laporkan SMS Spam ke BRTI "
[Gambas:Video 20detik]
(asj/asj)