Jakarta -
Mengamankan one time password (OTP) dengan PIN, ibarat membentengi tank dengan mobil Jeep. OTP adalah kata kunci sekali pakai yang berada pada kasta tertinggi dalam pengamanan aset digital dan jika diurutkan dalam arsenal darat bisa diibaratkan sebagai tank.
Sedangkan kata kunci baik dalam bentuk huruf, angka (PIN), tanda baca atau kombinasi ketiganya, diyakini memiliki keamanan lebih rendah dari OTP dan termasuk dalam kasta lebih rendah yang dapat diibaratkan sebagai mobil Jeep.
Jadi, jika ada aplikasi yang menggunakan PIN untuk mengamankan OTP, kira-kira seperti menggunakan mobil Jeep Wilis dalam perang untuk melindungi tank.
SCROLL TO CONTINUE WITH CONTENT
Di tangan jenderal yang mengerti kekuatan dan kelemahan arsenal dengan baik, bisa saja Jeep digunakan untuk mendukung tank karena memang masing-masing memiliki kelebihan dan kekurangan.
Namun di tangan orang yang kurang mengerti kelebihan dan kekurangan dari setiap metode pengamanan ini, implementasi yang salah bukannya memberikan pengamanan tambahan yang lebih ketat, malah sebaliknya membuat pengamanan akun makin rumit, sulit di implementasikan dan tetap rentan di eksploitasi.
Pengamanan kata kunci
Kata kunci adalah mbahnya pengamanan kredensial dan sempat menjadi metode pengamanan favorit dan terbaik pada masa awal penerapan sekuriti. Apalagi kata kunci ini menggunakan kombinasi huruf, angka dan tanda baca atau simbol.
Jangankan peretas, pemilik akun saja kadang-kadang terkunci dari akunnya karena terkadang lupa kata kunci akunnya. Karena itu, banyak pemilik akun memiliki metode tertentu untuk memilih kata kunci seperti tanggal lahir anaknya, nama peliharaannya waktu kecil, bahkan nomor telepon mantan pacar juga ada.
Namun karena perkembangan digital yang sangat tinggi, akun yang dimiliki menjadi makin banyak sehingga banyak terjadi kata kunci yang sama digunakan berulang-ulang untuk berbagai macam akun.
Celakanya, jika salah satu saja akun yang digunakan bocor, maka semua kata kunci akun yang lain juga diketahui. Karena kredensial awal (username) umumnya sudah diketahui dan menggunakan alamat email atau nomor telepon yang sulit diganti.
Contoh di atas hanya salah satu sebab kecil mengapa kata kunci masuk kategori mobil Jeep dan bukan tank dalam arsenal pertahanan akun digital. Setelah Vaksincom memberikan penyebab utama kelemahan pengamanan kata kunci, bisa-bisa Anda mengusulkan kategori baru bagi kata kunci.
Sebab utama keruntuhan masa kejayaan kata kunci adalah karena adanya agen rahasia atau mata-mata. Namanya mata-mata, tentunya tidak disadari keberadaannya. Tapi yang jelas, dampak dari adanya mata-mata ini adalah kebocoran kredensial dan kerugiannya bisa sangat besar dan signifikan bagi pemilik akun.
Bagaimana mata-mata ini bisa masuk ke perangkat digital Anda? Program mata-mata dikenal sebagai trojan atau keylogger ini bisa menyamar dalam banyak bentuk, salah satunya dalam bentuk crack atau program bajakan / gratisan yang kita unduh, bisa juga diselipkan ketika Anda sedang menonton film streaming gratisan yang mengharuskan menginstal aplikasi tambahan jika ingin menonton, atau bisa juga terinstal tanpa Anda sadari di latar belakang ketika Anda sedang berselancar atau mendapatkan pop up iklan.
Selanjutnya: Mengamankan tank dengan Jeep?
Lalu apa yang akan dilakukan oleh keylogger ini? Ia akan merekam semua aktivitas Anda, situs apa saja yang Anda kunjungi, apa saja yang Anda ketikkan pada keyboard, dan pada beberapa kasus yang jarang mampu, mengaktifkan kamera dan mikrofon.
Jadi, seberapa rumitpun kata kunci yang Anda miliki, ketika Anda ketikkan tetap akan dapat diketahui. Semua akan terekam dengan baik dan dikirimkan kepada peretas yang siap menerima data dan langsung mengambil alih / mengeksploitasi akun Anda.
Karena itulah, praktisi sekuriti menyarankan Anda untuk melindungi semua perangkat digital anda dengan aplikasi antivirus seperti Webroot dengan teknologi Evasion Shield yang dapat mendeteksi aplikasi dan situs yang mengandung Trojan/Keylogger.
Jadi setelah mengetahui adanya program mata-mata yang bisa merekam serumit apapun kata kunci yang Anda miliki, menurut Anda analogi kata kunci sebagai mobil Jeep masih cocok? Atau Anda ingin mengusulkan kategori tambahan, mobil pick up misalnya?
Mengamankan tank dengan Jeep?
Ibarat dalam perang, tidak ada pakem yang harus dituruti dalam mengamankan kredensial. Tidak ada aturan kalau pengamanan akun harus menggunakan kredensial (username dan password) lalu diperkuat dengan OTP.
Hanya saja, pengamanan OTP ibarat pengamanan terbaik dan menjadi senjata andalan. Dan dalam teknik pengamanan two factor authentication (TFA) atau Multi Factor Authentication (MFA), teknik yang lazim digunakan adalah pengamanan awal menggunakan kredensial lalu diperkuat dengan pengamanan TFA yang dalam hal ini adalah menambahkan OTP.
Salah satu aplikasi populer yang langsung menggunakan OTP tanpa kredensial adalah WhatsApp. Ketika Anda menginstal WhatsApp, maka secara otomatis kredensial dalam bentuk OTP dikirimkan ke SMS nomor telepon yang bersangkutan dan tidak akan bisa diketahui oleh siapapun kecuali pemilik akun atau SMS nomor telepon yang bersangkutan.
Meskipun sudah menggunakan OTP yang merupakan pengamanan terbaik, buktinya masih bisa dieksploitasi dan banyak terjadi pengambilalihan akun WhatsApp. Sama halnya pertahanan darat menggunakan tank yang tadinya dianggap sebagai pertahanan terbaik karena tidak mempan di tembak peluru konvensional dan mampu menerabas dan meruntuhkan tembok rumah, namun akhirnya menjadi sasaran empuk RPG karena lamban dan penglihatannya terbatas.
Maka, pengamanan dengan OTP yang dilakukan oleh WhatsApp berhasil dieksploitasi terutama dengan rekayasa sosial di mana penipu berpura-pura sebagai pihak berwenang menghubungi pemilik akun dan dengan berbagai macam alasan yang sangat meyakinkan, berhasil mengelabui korbannya untuk memberikan kode akses atau mengklik tautan verifikasi yang dikirimkan ke SMS pemilik akun sehingga akun menjadi berpindah tangan.
Karena itulah, WhatsApp menambahkan lapisan pengamanan baru yaitu PIN 6 angka yang hanya diketahui oleh pemilik akun WhatsApp dan disebut sebagai TFA. Berbeda dengan TFA konvensional dimana OTP adalah lapisan pengamanan kedua yang mengamankan kredensial, di sini yang terjadi adalah terbalik dimana TFA WhatsApp adalah PIN yang mengamankan OTP.
Jadi secara teknis jika di perangkat tersebut terkandung trojan atau keylogger, maka PIN tersebut akan bisa diketahui. Dan lucunya, metode yang digunakan oleh WhatsApp ternyata diadopsi oleh penyedia sistem pembayaran online di Indonesia.
Apa risikonya, bagaimana kriminal akan berusaha mengeksploitasi sistem ini dan bagaimana implementasi yang ideal? Simak dalam tulisan selanjutnya.
*) Alfons Tanujaya adalah ahli keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktunya memberikan informasi dan edukasi tentang malware dan cyber security bagi komunitas IT Indonesia.
.webp)
