.webp)
Pemilik pasukan tank terbaik di dunia pada zamannya, Erwin Rommel sekalipun, sangat bijaksana dan tidak sembarangan memanfaatkan pasukan tanknya. Jadi tidak semena-mena langsung mengerahkan tank untuk setiap pertempuran karena ia memiliki pasukan panzer dengan tank yang diakui sangat berkualitas dan terlatih.
Dalam pertempuran melawan tank musuh, strategi utama yang digunakan justru bukan adu tank. Sebaliknya, pasukan tank yang ada digunakan untuk memancing pasukan tank musuh yang akan mengejar dan masuk ke dalam jebakan di mana meriam kaliber besar dan flak anti pesawat terbang sudah menunggu dan dikerahkan untuk menumpas pasukan tank musuh yang masuk ke dalam jebakan karena mengejar tank Jerman.
Prinsip yang sama sebaiknya dipertimbangkan oleh perancang pengamanan cyber dan sebaiknya memperhatikan dengan seksama metode yang paling aman, efektif dan murah dalam mengamankan akun finansial yang ingin diproteksinya.
SCROLL TO CONTINUE WITH CONTENT
Jangan karena one time password (OTP) berada di kasta tertinggi pengamanan otentikasi, lalu digunakan sebagai perlindungan utama dan berharap memperoleh keamanan maksimal dengan hanya memanfaatkan OTP tanpa memperhatikan faktor lain yang terkadang kelihatannya sepele, tetapi jika digunakan dengan tepat justru akan menyempurnakan pengamanan OTP.
Jika ditanya, apakah ada PIN yang memiliki tingkat keamanan mendekati dengan OTP? Kebanyakan orang akan menjawab tidak ada, dan jawaban tersebut cukup tepat. Tetapi secara teknis sebenarnya jika dapat tercipta lingkungan yang aman dari keylogger, trojan dan perangkat mata-mata atas PIN, maka keamanan PIN dapat dikatakan mendekati OTP.
Dengan kata lain, PIN yang baru dibuat untuk melindungi satu akun tertentu yang langsung disimpan dan sangat jarang dipakai ulang pada prinsipnya keamanannya mendekati OTP.
Tetapi PIN yang digunakan berulang-ulang untuk transaksi seperti PIN mobile banking, kartu kredit, e-wallet dan internet banking pada prinsipnya lebih rentan bocor dan dapat disadap karena sifatnya yang digunakan berulang-ulang.
Jadi ada baiknya Anda mempertimbangkan untuk memiliki minimal 2 jenis PIN. Pertama adalah PIN yang jarang dipakai tetapi bersifat strategis. PIN tersebut digunakan untuk melindungi akun penting seperti two factor authentication (TFA) WhatsApp, dan PIN khusus untuk melindungi dari SIM swap. Sedangkan PIN kedua adalah PIN yang sering dipakai seperti PIN tarik tunai ATM, PIN e-wallet, mobile banking dan internet banking.
Jika penyedia layanan seluler mengimplementasikan PIN untuk mengamankan SIM swap, pemerintah tidak perlu mengeluarkan terlalu banyak usaha dan biaya mengimplementasikan pengamanan biometrik yang notabene membutuhkan biaya dan usaha ekstra besar.
Lebih baik biaya dan energi yang ada difokuskan untuk menerapkan pengamanan database kependudukan yang ada dan harus dimonitor oleh pihak ketiga seperti adanya sertifikasi ISO 27001. Setelah mampu memenuhi sertifikasi pengamanan, baru mulai dipikirkan bagaimana memanfaatkan database kependudukan yang ada.
Selanjutnya: Meniru Jenderal Rommel
Meniru Jenderal Rommel
Belajar dari banyaknya kasus akun yang tetap berhasil dibobol sekalipun sudah diproteksi dengan OTP, mungkin ada baiknya para perancang pengamanan akun belajar dari Erwin Rommel.
Sekalipun memiliki tank terbaik di dunia, mengerahkan pasukan tank tanpa di dukung oleh strategi dan pasukan pendukung tepat malah akan melemahkan pasukan tank anda dan berakibat kekalahan dalam pertempuran.
Jenderal yang baik justru akan meramu kombinasi pasukan dan sumber daya yang ada guna mendapatkan hasil maksimal dan tidak hanya menggunakan pasukan terbaiknya di segala medan pertempuran.
Dalam mengamankan akun kredensial penting, ada baiknya perancang sekuriti tidak melulu mengandalkan OTP sebagai senjata utama pengamanan akun, tetapi selalu meramu dan mengevaluasi sejauh mana tingkat pengamanan yang ada dan apa saja yang dapat dilakukan untuk menyempurnakan pengamanan OTP yang sudah ada.
Beberapa contoh simpel dan tidak rumit tetapi akan efektif dan dapat dilakukan untuk menyempurnakan pengamanan kredensial OTP yang ada misalnya:
1. Deferred transfer fund
Tenggang waktu pindah dana bagi rekening yang baru berpindah tangan/dibuka. Dengan menahan transfer dana pada akun yang baru berpindah / dibuka akan memberi waktu pada korban penipuan/peretasan akun untuk melakukan pelaporan ke penyedia layanan.
Berapa lama waktu yang ideal untuk menahan dana dapat ditetapkan oleh penyedia layanan. Prinsipnya makin lama dana ditahan makin aman tetapi makin tidak nyaman bagi pengguna.
Tetapi sebaliknya, tidak menerapkan penundaan waktu transfer dana jelas akan lebih nyaman tetapi tidak aman bagi pemilik akun. Dengan adanya tenggang waktu pindah dana ini juga akan menurunkan motivasi pencuri akun karena sekalipun ia berhasil mengambil alih akun, masih belum ada jaminan ia akan berhasil mendapatkan dana dari akun tersebut.
2. Fitur menolak percobaan OTP melalui SMS
Salah satu kelemahan OTP melalui SMS yang dilakukan oleh WhatsApp dan beberapa layanan yang menerapkan metode serupa adalah penerima OTP sifatnya pasif dan tidak bisa secara aktif menolak pengiriman OTP.
Hal ini mengakibatkan peretas bisa membombardir nomor HP yang diincarnya dengan banyak percobaan OTP yang jika tidak sengaja diklik, akan mengotorisasi pemindahan akun.
Akan sangat membantu jika di SMS OTP yang datang dilengkapi dengan tautan tambahan "Tidak Melakukan OTP" atau "Blokir nomor yang mencoba OTP" sehingga pemilik akun tidak menjadi korban spam dan bisa menolak OTP yang memang tidak dilakukannya.
Upaya ini mungkin membutuhkan sedikit "keringat" dari pengembang aplikasi baik dengan melakukan coding tambahan atau harus melakukan koordinasi ke penyedia layanan seluler. Tetapi apa artinya sedikit berkeringat jika hal ini bisa memberikan kenyamanan lebih dan meningkatkan keamanan dari pengguna layanan Anda.
3. Hindari otomatisasi OTP
Otomatisasi OTP merupakan hal yang harus dihindari. Banyak layanan yang memberikan fitur OTP yang datang akan otomatis masuk dan dieksekusi oleh aplikasi. Selain itu, SMS berisi OTP juga disertai tautan yang jika diklik akan mengotorisasi perpindahan akun. Hal ini rentan memicu "kecelakaan" dimana penerima OTP sebenarnya tidak menyetujui OTP tersebut. Tetapi karena tidak sadar/sengaja mengklik malah mengotorisasi OTP.
4. Satu akun hanya untuk satu perangkat
Settingan lain yang perlu dihindari adalah satu akun harusnya terasosiasi dengan hanya satu perangkat. Bisa berdasarkan IMEI, cookies atau pengenal lain yang bisa mengidentifikasi perangkat tersebut.
Memang hal ini menimbulkan ketidaknyamanan namun dari sisi sekuriti hal ini akan efektif mencegah akses akun dari beberapa perangkat yang berakibat
pemindahan dana akun tersebut.
Demikianlah beberapa hal simpel yang bisa dipertimbangkan oleh penyedia layanan e-wallet, ride hailing atau layanan finansial untuk lebih mengamankan akunnya. Semoga bisa berguna untuk meningkatkan keamanan layanan Anda. Bagi masyarakat pengguna layanan, pertimbangkan membedakan PIN transaksi yang sering digunakan dan PIN password untuk meminimalisir risiko.
Untuk layanan yang Anda tidak yakini keamanannya, Anda bisa meminimalisir risiko dengan menyimpan dana/saldo terbatas pada layanan ini sehingga tetap bisa menikmati kenyamanan yang disediakan layanan, tetapi risiko finansial yang lebih kecil jika terjadi peretasan.
*) Alfons Tanujaya adalah ahli keamanan cyber dari Vaksincom. Dia aktif mendedikasikan waktunya memberikan informasi dan edukasi tentang malware dan cyber security bagi komunitas IT Indonesia.
