Bank dan Dompet Digital Diimbau Tak Pakai Kode OTP karena Jadi Celah Penipuan

Pendiri sekaligus CEO Group VIDA Niki Luhur menilai bahwa kode OTP alias One-Time Password alias OTP kerap menjadi celah penipuan digital. Ia menyarankan penyelenggara layanan elektronik baik bank maupun dompet digital tidak lagi menggunakan OTP.

Kode OTP merupakan enam digit kode unik sekali pakai untuk memverifikasi identitas pengguna. OTP biasanya dikirimkan ke perangkat melalui SMS, email, atau aplikasi seluler. 

Niki menyampaikan, Malaysia sudah melarang bank dan startup teknologi finansial alias fintech penyedia dompet digital memakai kode OTP.

“Ini small fraud yang terjadi di Indonesia dan salah satu masalah utamanya yakni kode OTP mudah dibagikan,” ujar Niki kepada wartawan di Ritz Carlton, Jakarta, Selasa (3/9).

Penipu seringkali menggunakan metode manipulasi alias social engineering alias untuk mendapatkan kode OTP, sehingga mereka bisa mengakses informasi pribadi atau bahkan langsung masuk ke aplikasi.

“Tidak perlu hacker. Mereka hanya menelepon calon korban dan memanipulasi untuk mendapatkan kode OTP,” kata dia.

Ada beberapa alat yang bisa digunakan untuk proses verifikasi selain kode OTP, seperti:

1. Verifikasi identitas pengguna dapat dilakukan melalui beberapa metode selain kode OTP (One-Time Password). Berikut beberapa alternatif dan sumber referensinya:
2. Authenticator Apps seperti Google Authenticator atau Microsoft Authenticator menghasilkan kode verifikasi yang berubah setiap beberapa detik. Pengguna harus memasukkan kode yang ditampilkan di aplikasi saat login.
3. Biometrik seperti sidik jari, pengenalan wajah, atau pemindaian iris mata.
4. Email Verification dengan mengirim tautan verifikasi atau kode ke email pengguna, yang kemudian digunakan untuk menyelesaikan proses verifikasi.
5. Security Questions dengan mengajukan serangkaian pertanyaan keamanan yang sebelumnya telah dijawab oleh pengguna.
6. Hardware Tokens yakni menggunakan perangkat keras khusus seperti YubiKey yang harus dicolokkan ke komputer atau perangkat mobile untuk melakukan otentikasi.
7. Push Notifications yaitu dengan mengirimkan notifikasi ke perangkat mobile pengguna, yang kemudian dapat disetujui atau ditolak untuk mengizinkan akses.
8. Tanda tangan digital yang dibuat melalui metode enkripsi menggunakan mekanisme kriptografi asimetris. Ini berbeda dengan tanda tangan elektronik seperti gambar tanda tangan atau checklist. Kriptografi asimetris pada tanda tangan digital merupakan proses penguncian data dengan kunci privat, yang hanya bisa dibuka dengan kunci pasangannya yang disebut kunci publik. 

Akan tetapi, Wakil Menteri Komunikasi dan Informatika Nezar Patria menyampaikan bahwa ada enam syarat tanda tangan bisa menjadi jaminan, sebagaimana diatur dalam UU ITE Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik atau ITE:

• Dibuat secara privasi dan hanya diketahui oleh pemilik tanda tangan
• Pemilik asli memiliki kuasa untuk menggunakannya
• Perubahan tanda tangan digital dapat diketahui secara pasti
• Semua perubahan tentang informasi elektronik terkait tanda tangan bisa diketahui
• Punya cara khusus mengetahui pasti pemilik tanda tangannya
• Punya cara khusus membuktikan bahwa pemilik tanda tangan sudah memberikan persetujuan terkait informasi elektronik tertentu.

“Oleh karena itu, muncul tanda tangan digital bersertifikasi dengan memanfaatkan teknologi infrastruktur kunci publik atau IKP yang menggunakan proses enkripsi, autentifikasi, dan verifikasi identitas yang telah terbukti keamanannya,” ujar Nezar.