Mengenal OTP SMS dan Cara Kerjanya: Kurang Aman, Tapi Banyak Dipakai di Indonesia

Naviri Magazine - One Time Password (OTP) merupakan kode yang sering digunakan untuk pengamanan transaksi perbankan maupun log in ke akun digital. Pengamat keamanan siber dari Vaksin.com, Alfons Tanujaya menguak cara kerja maupun potensi keamanan OTP.

Alfons mengatakan cara kerja OTP bagi orang awam cukup membingungkan, perangkat OTP (kalkulator OTP, Google Authenticator, OTP SMS/WA/email)

Sebab, OTP bisa tetap mengirimkan kode unik 6 atau 8 digit untuk otentikasi meski tanpa jaringan internet. Bahkan ini bisa dilakukan berulang kali dan server OTP tetap akan memberikan akses hanya untuk PIN yang tepat yang dikeluarkan oleh perangkat OTP.

Beda 1 angka saja, server akan langsung menolak permintaan akses/persetujuan transaksi.

"Padahal kalau dilihat dari sisi probabilitas PIN 6 digit kemungkinan tepatnya 1/1.000.000 juta kombinasi, apalagi kalau 8 digit kemungkinannya 1/100.000.000 kombinasi. Kalau mas OTP main tebak-tebakan kok bisa-bisanya nebaknya persis dan tidak pernah di tolak," ujar Alfons.

Rahasianya adalah set kunci unik dan sinkronisasi waktu. Jadi pertama kali sebelum digunakan, perangkat OTP harus disinkronisasi dengan server OTP (dengan cara scan barcode atau memasukkan nomor seri kalkulator token).

Server OTP akan mencocokkan waktu server dengan waktu perangkat, kemudian identitas perangkat juga akan disimpan oleh server sehingga server tahu kunci set unik apa yang digunakan oleh perangkat.

Setiap perangkat memiliki set kunci unik yang berbeda dan hampir mustahil untuk saling menggunakan set kunci OTP satu dengan lainnya. Lalu, setelah mencocokkan set kunci unik yang digunakan, maka ketika server meminta kode OTP dari akun yang sudah terdaftar.

"Seketika itu juga dalam rentang waktu beberapa menit perangkat OTP akan menjawab memberikan kode OTP yang diminta," kata Alfons.

Jenis OTP

Alfons kemudian menjelaskan mengapa OTP dengan token atau kalkulator OTP di gadang-gadang sebagai OTP yang paling aman dan OTP SMS sering dituding sebagai OTP paling tak aman.

Akan tetapi, OTP SMS adalah OTP yang paling populer dibandingkan dengan metode OTP lainnya.

"Jawabannya adalah karena penetrasi OTP, biaya pengadaan OTP dan kemudahan penggunaan OTP," kata Alfons.

Alfons membagi OTP menjadi tiga bagian, mulai dari yang aman ke yang tidak aman. Pertama adalah OTP dengan token, jenis OTP ini paling aman karena tidak terhubung kepada perangkat lain.

Satu-satunya cara mengakses OTP token adalah dengan mengakses fisik token kalkulator, pengadaan OTP ini juga tidak memanfaatkan jaringan pihak ketiga seperti Email, SMS atau WhatsApp yang mengirimkan kode OTP melalui jaringan eksternal dan secara teknis bisa disadap.

Kedua adalah OTP dengan aplikasi otentikasi seperti Google Authenticator atau Twilio Authy. Alfons mengatakan kode ini masih lebih aman dari SMS, Email dan Whatsapp karena tidak memanfaatkan jaringan ekternal pihak ketiga untuk mengirimkan kodenya dan memiliki kemampuan untuk mengkalkulasi kode.

OTP jenis berdasarkan set kunci dimilikinya. Namun karena terinstal di perangkat lain seperti ponsel pintar atau komputer, maka apabila ada yang memiliki akses ke ponsel tersebut secara teknis memiliki akses ke aplikasi OTP.

"Karena itulah ada baiknya memilih aplikasi otentikasi yang dilindungi dengan PIN untuk membuka aplikasi dan ditambah dengan PIN mengunci ponsel, harusnya akan sangat sulit bagi pihak ketiga mengakses aplikasi otentikasi OTP," kata Alfons.
   
Ketiga adalah OTP on demand yang disebut Alfons kurang aman. OTP melalui SMS, email dan WhatsApp prinsip kerjanya sama dengan OTP token.

Akan tetapi, karena tidak memiliki kemampuan mengolah kode OTP, maka OTP jenis ini tergantung pada jaringan pihak ke tiga untuk mendapatkan kode.

Alfons lebih lanjut menjelaskan mengapa OTP melalui SMS menjadi paling populer meski disebut paling tidak aman. Meskipun OTP SMS ini lemah dari sisi keamanan, namun OTP memiliki beberapa keunggulan dibandingkan metode OTP lainnya.

Keunggulan pertama adalah penetrasi SMS paling tinggi dibandingkan perangkat OTP lainnya. Kedua, tidak membutuhkan biaya pengadaan perangkat OTP dan sudah tersedia pada semua ponsel yang bisa menerima SMS.

Ketiga, tidak membutuhkan instalasi aplikasi, sinkronisasi awal, proses pendaftaran yang rumit dan langsung tersedia pada nomor telepon yang diaktifkan.

Keempat, mudah digunakan. OTP SMS bisa digunakan semudah menerima dan membaca SMS. Tidak membutuhkan latihan atau pengetahuan khusus untuk implementasi.

"Sebenarnya agak ironis juga melihat kenyataan bahwa OTP SMS ini yang paling populer sekalipun sudah dikategorikan sebagai OTP yang kurang aman dibandingkan metode OTP lainnya," tutur Alfons.

Kenyataan di Indonesia adalah OTP SMS ini adalah yang paling banyak digunakan oleh penyedia layanan digital untuk mengamankan akun penggunanya.

Alfons mengatakan  hal ini bisa dimengerti kalau penyedia layanan tersebut memberikan alternatif pilihan OTP selain SMS sehingga pemilik akun bisa menentukan sejauh mana tingkat keamanan OTP.

"Namun masih banyak penyedia layanan khususnya dompet digital yang mengandalkan pengamanan 100 persen pada SMS OTP ini dan pengguna layanan tidak memiliki pilihan OTP lain," kata Alfons.