OTP merupakan kode sandi 4–6 angka yang dikirimkan melalui SMS sebagai kode untuk otentifikasi atau mengaktifkan akun. Mengapa penggunaan OTP semakin populer di Indonesia?
Direktorat Tindak Pidana Siber, Bareskrim Polri, membagikan peringatan agar masyarakat tak membagikan kode sandi sekali pakai atau one-time password (OTP) kepada siapa pun untuk melindungi akun aplikasinya dari pencurian. Peringatan ini dibagikan di akun Instagram Direktorat Tindak Pidana Siber, @ccicpolri.
Hingga 5 tahun lalu kode sandi sekali pakai atau one-time password (OTP) masih menjadi hal yang asing. Sekarang kode ini telah menjadi menjadi hal yang biasa dan diandalkan untuk mengaktifkan akun aplikasi di ponsel. Belakangan kode ini pun menjadi incaran pencuri akun aplikasi
Sebagian besar perusahaan aplikasi penyedia layanan digital, baik itu pasar daring, ojek dan taksi daring, hingga dompet digital, umumnya hanya mewajibkan calon pengguna untuk mendaftarkan nomor ponselnya.
Bagaimana aplikasi dapat mengotentikasi atau memastikan bahwa si calon pengguna adalah benar-benar pemilik dari nomor tersebut? Di situlah fungsi sistem OTP.
Ketika seseorang mulai mendaftar ke dalam sebuah aplikasi menggunakan nomor ponselnya, ia akan menerima SMS berisi kode sandi 4–6 angka. Kemudian, si calon pengguna akan diminta untuk memasukkan kembali kode tersebut ke dalam aplikasi. Rangkaian angka tersebut itulah yang disebut kode OTP.
Kode OTP hanya akan dikirimkan ke nomor ponsel yang didaftarkan ke aplikasi. Oleh karena itu, hanya pihak yang menguasai nomor itulah yang dapat masuk ke dalam layanan aplikasi yang dimaksud.
Popularitas OTP
Popularitas implementasi penggunaan sistem otentikasi melalui OTP mulai tumbuh di Indonesia pada lima tahun terakhir. Joel Kereh, pendiri sebuah perusahaan penyedia OTP, PT Citcall Teknologi Indonesia atau dikenal sebagai Citcall, yang ditemui akhir Januari lalu, mengatakan, sebelumnya OTP sebatas digunakan kartu kredit untuk mengotentifikasi setiap transaksi di siber.
Kompas
Ilustrasi industri digital
Menurut Joel, popularitas penggunaan OTP mulai meningkat seiring dengan tumbuh suburnya berbagai perusahaan rintisan (startup) digital di Indonesia. Sejumlah perusahaan aplikasi penyedia jasa transportasi dan pasar daring mulai menggunakan nomor ponsel untuk mendaftar akun, dan OTP yang dikirimkan lewat SMS ke nomor ponsel pendaftar sebagai kode untuk otentifikasi atau mengaktifkan akun. Sebaliknya penggunaan alamat surat elektronik dan PIN untuk mengotentifikasi akun aplikasi, mulai ditinggalkan.
Joel mengatakan ada dua alasan penting yang berkontribusi pada pilihan sejumlah perusahaan rintisan tersebut menggunakan sistem otentifikasi melalui kode OTP. Pertama adalah keamanan. Dengan karakteristik hanya bisa digunakan sekali dan memiliki waktu kedaluwarsa beberapa menit, maka lebih susah untuk diretas.
“Bisa dibilang password yang panjang pun enggak lebih aman dari OTP. Kenapa? Karena password itu statis; tidak berubah-ubah,” kata Joel.
Kedua, faktor kenyamanan dan kemudahan bagi calon pengguna. Seorang calon pengguna cukup mendaftarkan nomor ponsel yang sudah dimilikinya; tanpa perlu membuat akun surel dan membuat kode sandi. Menurut Joel, kepraktisan menggunakan OTP membuat lebih banyak orang menjadi mudah untuk mengadopsi aplikasi maupun layanan yang ditawarkan.
“Kadang-kadang seorang calon pengguna itu belum tentu punya e-mail (surat elektronik) untuk daftar ke sebuah aplikasi. Tetapi kalau nomor ponsel kan di Indonesia sudah banyak sekali yang punya,” kata Joel.
Dengan demikian, jumlah anggota masyarakat yang dapat diajak untuk bergabung ke dalam sebuah layanan pun menjadi lebih besar. Dengan kata lain, upaya mendapatkan pengguna atau user-acquisition menjadi lebih mudah. “Itu dia kenapa teman-teman startup mulai beralih dari penerapan password menuju pakai OTP,” tambah Joel.
Cara kerja OTP
Siklus kode OTP bermula saat pengguna memasukan nomor ponselnya di laman login sebuah aplikasi. Server aplikasi kemudian secara otomatis menghasilkan kode OTP. Kode OTP ini kemudian disalurkan ke perusahaan vendor SMS gateway.
SMS gateway adalah sebuah perusahaan yang menjual jasa mengirimkan SMS dalam jumlah yang besar melalui mesin. Umumnya, setiap perusahaan SMS gateway telah bekerja sama dengan seluruh operator seluler di negara tempatnya berdiri.
Perusahaan SMS gateway ini pun mengirimkan SMS yang berisi kode OTP kepada pengguna. Joel mengatakan, biaya pengiriman setiap SMS adalah Rp 350. Biaya ini ditanggung oleh perusahaan aplikasi.
Sang pengguna pun memasukkan kode OTP yang diterimanya ke dalam kolom konfirmasi di layar aplikasi. Rangkaian angka tersebut pun langsung dikirimkan ke server aplikasi.
Lalu, server aplikasi mencocokkan rangkaian angka yang dikirimkan oleh user dengan kode OTP yang dihasilkan di tahapan awal semula. Apabila cocok, maka pengguna diperbolehkan masuk (authenticated).
Keamanan Berlapis
Pada awalnya, skema OTP melalui SMS, menurut pakar keamanan informasi siber Fraunhofer Institute for Secure Information Technology Darmstadt, Jerman, Alexandra Dmitrienko, merupakan sebuah upaya yang bertujuan untuk melapisi sistem login berbasis kode sandi atau password ataupun dikenal sebagai PIN (personal identification number) yang sudah biasa dikenal sebelumnya.
“Sehingga, pengguna membutuhkan dua elemen: pasangan username dan password, beserta kode OTP untuk menuntaskan proses login,” tulis Dmitrienko et al pada 2014 dalam artikelnya yang berjudul “Security Analysis of Mobile Two-Factor Authentication Schemes” di jurnal Intel Technology Journal Volume 18.
Kebutuhan untuk menciptakan keamanan dua lapis semacam ini muncul dengan adanya kerawanan seperti kebocoran kode sandi dari server maupun kode PIN yang mudah ditebak.
Selama ini sejumlah situs terpopuler di dunia telah menjadi korban peretasan yang berdampak pada kebocoran informasi akun pengguna. Pada 2012, surat kabar Inggris The Guardian melaporkan, server dari penyimpanan cloud Dropbox berhasil diretas. Akibatnya sebanyak 68 juta kode sandi pengguna bocor ke daring. Lalu, pada 2014, New York Times mencatat, informasi akun dari 500 juta pengguna Yahoo pun telah bocor ke tangan peretas dan diperjualbelikan.
Menebak PIN
Penggunaan PIN seperti pada ATM juga memiliki kerawanannya sendiri. Pada 2012, pendiri firma konsultan data Data Genetics, Nick Berry, mengolah sebanyak 3,4 juta PIN dari basis data yang bocor. Ia menemukan kombinasi angka 1234 menjadi pilihan PIN paling populer, tak kurang dari 10,71 persen dari PIN yang diolah. Sementara kombinasi angka 1111 ditemukan setidaknya 6,01 persen, dan 0000 sebanyak 2 persen. Sehingga dapat disimpulkan, ada 18,6 persen probabilitas PIN yang dapat ditebak.
Penambahan jumlah kombinasi PIN dari 4 digit menjadi 6 digit pun tidak semerta-merta meningkatkan keamanan secara praktis. Berdasarkan penelitian pakar komputer Peking University Ding Wang et al, penggunaan PIN 123456 dalam sejumlah layanan digital dapat mencapai 17,05 persen.
Kombinasi PIN paling populer berikutnya adalah 111111 dan 123123, seperti yang ditulisnya pada artikel berjudul “Understanding Human-Chosen PINs: Characteristics, Distribution and Security” dalam ACM Asia Conference on Computer and Communications Security 2017.
“Total, dengan tiga kali percobaan, peluang PIN Anda ditebak dapat mencapai lebih dari 20 persen,” tulis Wang.
Bonneau, Preibusch, dan Anderson dalam artikel berjudul “A birthday present every eleven wallets? The security of customer-chosen banking PINs” dalam International Conference on Financial Cryptography and Data Security pada 2012, menunjukkan bahwa 23 persen PIN merupakan kombinasi dari sebuah tanggal.
Jadi, apabila seseorang menemukan kartu ATM beserta kartu identitas yang memuat tanggal lahir, peluang nomor PIN Anda berhasil ditebak pun meningkat drastis. Oleh karena itu, mungkin perlu dipikirkan angka-angka kombinasi yang rumit dan acak, tetapi tetap bisa diingat.
Namun perlu diingat, penerapan keamanan akun dengan otentifikasi yang berlapis berupa kombinasi OTP dan PIN sekalipun, itu tidak akan dapat melindungi akun aplikasi kita jika ada orang lain dapat memperoleh kode-kode sandi itu dari kita.
Ahli telekomunikasi Institut Teknologi Bandung, Agung Harsoyo mengatakan, di sini letak kerawanan pada OTP, yakni pada manusia. Bocornya OTP, menurutnya, umumnya tak lepas dari praktik rekayasa social atau tipu daya yang dilakukan oleh pelaku kejahatan untuk memperdaya korban sehingga korbannya bersedia memberikan kode OTP.
“Sebetulnya mekanisme (OTP) itu sudah benar. Secara teknis (sudah benar). Tapi, kalau kaitannya dengan social engineering (rekayasa social), ya sudah (OTP bisa dikuasai pelaku kejahatan),” jelasnya. (BKY/DVD)
