Marak Pembajakan Akun, Gojek Bakal Tingkatkan Keamanan Proses ”Login”
›
Marak Pembajakan Akun, Gojek...
Iklan
Marak Pembajakan Akun, Gojek Bakal Tingkatkan Keamanan Proses ”Login”
Maraknya kejadian penipuan meminta kode ”one-time password” (OTP) aplikasi untuk mengambil alih akun pengguna mendorong pihak pengembang untuk meningkatkan sistem keamanannya.
Oleh
satrio pangarso wisanggeni
·4 menit baca
Maraknya kejadian penipuan meminta kode one-time password (OTP) aplikasi untuk mengambil alih akun pengguna mendorong pihak pengembang meningkatkan sistem keamanannya. Gojek diyakini akan menambah lapis sistem keamanannya; melengkapi kode OTP yang selama ini menjadi satu-satunya pengaman.
Co-CEO Gojek Kevin Aluwi mengatakan, Gojek melihat akan adanya suatu kebutuhan untuk meningkatkan keamanan proses login ke dalam aplikasi Gojek. Namun, ia belum bisa menyampaikan mekanisme apa yang akan diimplementasikan ke dalam aplikasi tersebut.
”Kami sedang mengkaji suatu solusi yang bakal meningkatkan keamanan proses login. Tinggal tunggu tanggal mainnya,” kata Kevin kepada Kompas, Jumat (28/2/2020).
Apakah langkah ini terdorong dari aplikasi kompetitor yang juga menggunakan keamanan berlapis untuk login?
Kevin membantah bahwa Gojek terdorong dari langkah-langkah yang diambil oleh para kompetitor. Menurut dia, Gojek tidak terlalu mementingkan langkah yang diambil oleh para kompetitornya. Namun, ia memastikan pihaknya selalu memantau perkembangan teknologi yang terjadi di industri.
”Yang paling penting, kami mencari fitur-fitur yang paling relevan untuk ekosistem kami. Kami bisa pastikan, keamanan login ini memang penting sekali,” kata Kevin.
Berlapis
Hingga awal Maret 2020, sejauh pengamatan Kompas, sistem pengamanan login ke dalam aplikasi Gojek cukup menggunakan nomor ponsel dan kode one-time password (OTP) yang akan dikirimkan ke nomor tersebut.
Sementara itu, sejumlah aplikasi penyedia jasa transportasi dan dompet digital lain telah menggunakan keamanan berlapis.
Grab, misalnya, juga hanya membutuhkan kode OTP untuk masuk dalam aplikasi. Namun, pengguna dapat mengaktifkan lapisan keamanan tambahan dalam bentuk PIN. Dengan demikian, aplikasi tidak langsung dikuasai penipu meski ia sudah berhasil mendapatkan kode OTP.
Berdasarkan catatan Litbang Kompas, OVO dan Dana, dua aplikasi dompet digital populer lainnya, juga memiliki sistem keamanan yang berlapis dalam proses login.
Kami sedang mengkaji suatu solusi yang bakal meningkatkan keamanan proses login. Tinggal tunggu tanggal mainnya.
Aplikasi dompet digital Ovo meminta penggunanya untuk memasukkan OTP dan juga PIN. Selain itu, sebelum setiap transaksi, aplikasi juga akan kembali meminta PIN sebagai metode otentikasi. Penggunaan sidik jari juga bisa digunakan untuk menggantikan fungsi PIN.
Dompet digital Dana pun demikian. Apabila kode PIN sudah diatur sebelumnya, pengguna cukup login dengan kode PIN.
Sebetulnya, layanan dompet digital Gopay, milik Gojek, juga sudah meminta setiap pengguna memasukkan PIN sebelum transaksi dapat dilakukan. Namun, pengambilalihan akun Gojek dapat menjadi pintu untuk kejahatan yang lain.
Kompas menemukan beberapa korban yang menderita kerugian finansial setelah akun Gojek-nya diambil alih memberikan kode OTP ke penipu.
Seorang pengojek daring asal Garut, Jawa Barat, akun pengemudi Gojek-nya diambil alih seusai ia memberikan kode OTP-nya kepada penipu. Akun pengemudi yang diambil alih tersebut kemudian digunakan untuk menipu calon pengguna. Untuk itu, dalam kondisi seperti ini, lapisan pengamanan tambahan menjadi penting.
Sejatinya sistem keamanan menggunakan kode OTP sudah memadai asalkan si pengguna tidak membagikan kode tersebut kepada pihak siapa pun.
Namun, kode OTP masih memiliki kerentanan apabila si pengguna telah diperdaya untuk mengaktifkan fitur pengalihan/penerusan panggilan (call divert/forwarding) kepada si penipu. Umumnya, OTP dapat disampaikan melalui panggilan telepon selain SMS.
Dalam bidang keamanan siber, menurut Dmitrienko et al pada 2014 dalam artikelnya yang berjudul ”Security Analysis of Mobile Two-Factor Authentication Schemes” di jurnal Intel Technology Journal, terdapat berbagai faktor keamanan.
Paling tidak ada tiga faktor yang sudah biasa dikenal, yakni what you know (sesuatu yang hanya diketahui oleh pengguna), contohnya password atau PIN (personal identification number).
Sebaiknya, aplikasi menggabungkan paling tidak dua faktor keamanan.
Kedua, what you have (sesuatu yang hanya dimiliki oleh pengguna). Proses transaksi dalam mesin ATM, contohnya, adalah kombinasi antara faktor what you know dan what you have. Transaksi hanya bisa dilakukan apabila si pengguna memiliki kartu ATM dan kode PIN-nya.
Ketiga, faktor what you are atau karakteristik yang hanya dimiliki oleh pengguna, mengacu pada sistem keamanan yang menggunakan sensor biometrik, seperti sidik jari atau iris pada mata. Kedua informasi ini secara medis telah dibuktikan sebagai identitas yang unik.
Pakar teknologi informasi dari Institut Teknologi Bandung, Agung Harsoyo, mengatakan, guna mencapai tingkat keamanan optimal, sebaiknya aplikasi menggabungkan paling tidak dua faktor keamanan.
”Jadi, misalnya, OTP dan PIN itu digabungkan. Harus ada dua,” kata Agung.