Kode OTP Dinilai Tidak Lagi Aman, Apa Pengganti yang Pas?
Ringkasan
- Pengambilan keputusan investasi yang tepat esensial dan memerlukan pemahaman terhadap siklus bisnis untuk menghasilkan imbal hasil optimal, seperti yang dijelaskan dalam "Pring Turner Approach to Business Cycle Investing".
- Kondisi perekonomian yang semakin kompleks membutuhkan investor untuk memperhatikan berbagai aspek seperti kondisi industri, makroekonomi, kebijakan otoritas, geopolitik, serta hubungan antar instrumen dan sentimen pasar keuangan.
- Memprediksi fase siklus ekonomi menjadi tantangan di tengah kondisi global saat ini, yang ditandai dengan perubahan suku bunga oleh bank sentral utama dan kondisi geopolitik, sehingga investor disarankan untuk berhati-hati dan melakukan diversifikasi portofolio.
Membuat ringkasan dengan AI Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha menilai kode OTP atau One-Time Password dinilai sudah aman. Alasannya, pelaku kejahatan menggunakan modus phising, smishing hingga SIM swapping untuk mendapatkan OTP korban
Menurut data perusahaan penyedia identitas digital VIDA, sebanyak 97% perusahaan di Indonesia mengalami insiden Account Takeover (ATO) dalam 12 bulan terakhir. Sebanyak 84% insiden terkait kerentanan penggunaan SMS OTP.
“Kode OTP yang dikirimkan melalui SMS memiliki banyak kelemahan. Penyerang dapat mengambil alih nomor ponsel korban melalui teknik SIM swapping, mencuri kode OTP dengan metode phishing, atau memanfaatkan malware untuk membaca OTP secara otomatis," kata Pratama kepada Katadata.co.id, Jumat (14/2).
Salah satu masalah utama yakni serangan SIM swapping. Penyerang mengambil alih nomor ponsel korban dengan mengelabui operator seluler.
“SIM Swapping ini membuka akses bagi penyerang untuk bisa mendapatkan akses ke nomor tersebut, semua kode OTP yang dikirimkan melalui SMS dapat dengan mudah diterima oleh penyerang,” ujar dia.
Ia mengungkap beberapa kelemahan mendasar dari kode OTP yang dikirimkan melalui SMS atau aplikasi autentikasi, di antaranya:
- SIM Swapping: Penyerang dapat mengambil alih nomor ponsel korban dengan mengelabui operator seluler, sehingga semua OTP yang dikirimkan akan diterima oleh penyerang.
- Phishing dan Man-in-the-Middle (MITM): Teknik ini memungkinkan peretas mencuri kode OTP sebelum korban sempat menggunakannya.
- Malware: Beberapa malware canggih dapat membaca dan mengirimkan kode OTP secara otomatis ke server penyerang.
Seiring dengan meningkatnya ancaman terhadap OTP, berbagai metode autentikasi alternatif mulai dikembangkan untuk meningkatkan keamanan digital. Beberapa metode yang dinilai lebih aman antara lain:
- Autentikasi Berbasis Kriptografi (WebAuthn/FIDO2): Teknologi ini memungkinkan pengguna mengakses akun mereka menggunakan kunci keamanan (security key) atau autentikasi biometrik. Metode ini lebih sulit diretas dibandingkan dengan OTP berbasis SMS karena tidak bergantung pada jaringan yang rentan terhadap serangan.
- Push Notification Authentication: Alih-alih mengandalkan kode OTP, pengguna menerima permintaan autentikasi langsung di perangkat mereka melalui aplikasi seperti Google Authenticator atau Microsoft Authenticator. Cara ini lebih aman karena tidak melibatkan pengiriman kode melalui SMS yang mudah disusupi.
"Penggunaan OTP memang masih bisa diterapkan dalam skenario dengan risiko rendah. Namun, untuk layanan yang menangani data sensitif seperti perbankan dan transaksi keuangan, metode ini sebaiknya digantikan dengan sistem autentikasi yang lebih aman," ujar Pratama.
