.webp)
OTP bersama dengan Enkripsi SSL merupakan tulang punggung pengamanan transaksi finansial. Malah penyedia jasa internet sekelas Google pun tidak ketinggalan menggunakannya untuk melindungi pengguna layanannya.
Verifikasi identitas yang menggunakan OTP pun banyak variasinya:
-. OTP menggunakan token/kalkulator PIN.
-. OTP yang dikirimkan melalui SMS dan disimpan dalam waktu tertentu.
-. OTP yang menggunakan aplikasi/apps.
SCROLL TO CONTINUE WITH CONTENT
-. Verifikasi kredensial (username dan password).
-. Verifikasi melalui email.
-. Verifikasi melalui SMS atau telepon.
-. Verifikasi melalu Twitter atau layanan pihak ketiga lainnya.
Semua pengamanan di atas bertujuan untuk mengidentifikasi pengguna layanan dan mempersulit kriminal untuk mencuri kredensial serta menggunakannya untuk kepentingan negatif.
Secara teoritis, banyak orang berpikir bahwa banyaknya jumlah verifikasi identitas berbanding lurus dengan tingkat keamanan. Yang jelas, makin banyak jumlah verifikasi mengakibatkan penambahan proses dan berbanding lurus dengan ketidaknyamanan.
Sebaliknya, pemilihan verifikasi identitas yang tidak tepat, seberapa banyak pun jumlahnya terkadang tidak membuat lebih aman dari sedikit verifikasi identitas yang tepat.
Ibaratnya lebih baik Anda memilih herder untuk menjaga kawanan domba dari serangan serigala daripada menggunakan cihuahua dan pincher.
Dibandingkan dengan otentifikasi lainnya, verifikasi identitas OTP, khususnya yang menggunakan token/kalkulator PIN termasuk yang paling aman dan anti sadap (kecuali menggunakan kamera CCTV :p).
Faktor utamanya adalah karena sifat token/kalkulator PIN yang offline dan tidak ada jaringan/pihak ketiga yang terlibat dalam pengiriman OTP ke token.
Selain itu, penggunaan kalkulator token yang disediakan oleh bank memungkinkan kontrol penuh dan penyeragaman terhadap proses otentikasi/sisdur bank.
Seperti pengguna token harus memasukkan password unik yang (harusnya) hanya diketahui oleh dirinya sendiri guna mengakses token.
Proses ini lebih aman daripada OTP menggunakan apps di smartphone dimana pihak bank tidak memiliki wewenang untuk memaksakan bahwa smartphone harus selalu di password. Selain itu, motivasi orang mencuri smartphone lebih tinggi daripada mencuri token PIN.
Otentikasi melalui username password, email, SMS dan layanan pihak ketiga lainnya memiliki ketergantungan atas jaringan yang tidak terjamin ketersediaan sepanjang waktu dan masalah cakupan area.
Penggunaan perangkat keras seperti komputer dan smartphone rentan terhadap peretasan. Seperti kita ketahui, banyak trojan yang memiliki kemampuan keylogger dan data yang ditransmisikan melalui jaringan internet mudah disadap.
Penggunaan jaringan telekomunikasi milik operator juga tidak menjamin antisadap, selain itu data yang dikirimkan melalui SMS/suara tetap harus melalui server operator, menambahkan lagi satu faktor kerentanan.
Sebaliknya, token/kalkulator PIN yang sudah dikalibrasi satu kali dengan server PIN sudah tidak perlu terhubung lagi ke internet/jaringan dan masing-masing sudah mengetahui urutan PIN untuk verifikasi berdasarkan waktu/time based.
Penulis mengalami sendiri pilihan verifikasi yang tujuannya mungkin untuk mendapatkan keamanan maksimum, namun yang terjadi adalah ketidaknyamanan yang mengakibatkan layanan yang seharusnya bisa diotentifikasi dengan sangat cepat dan mudah menjadi terhambat.
Pada salah satu bank swasta nasional, guna menggunakan layanan baru, pendaftar harus melalui tahap verifikasi. Hal tersebut tentunya wajar, guna memastikan apakah benar si pemilik rekening benar mendaftarkan diri untuk layanan tersebut.
Sebenarnya pihak bank sudah memiliki segala perangkat yang diperlukan, token PIN, username dan password pengguna internet banking yang unik, serta pengamanan https guna melindungi transmisi informasi dari penyadapan.
Semua perangkat untuk menjalankan TFA sudah tersedia. Namun, alih-alih menggunakan perangkat yang sudah ada dan terbukti handal, pihak bank malah menambahkan 2 faktor otentifikasi lagi. Pengiriman kode aktivasi melalui email dan kode aktivasi SMS. (lihat gambar di bawah)
Proses aktivasi 4 factor authentication oleh salah satu bank swasta.
Jadi untuk mengaktivasi layanan baru ini persyaratannya adalah:
1. Username dan password akun bank.
2. Token internet banking.
3. Email activation code.
4. Cellular phone activation code.
Jadi bukan TFA Two Factor Authentication yang digunakan untuk aktivasi layanan ini melainkan FFA alias Four Factor Authentication.
Selain harus mengetahui kredensial akun bank, PIN token internet banking yang hanya diketahui oleh server internet banking dan pemilik token, bank masih meminta konfirmasi kredensial dari email dan SMS yang secara teknis lebih lemah tingkat sekuritinya daripada token.
Ibaratnya, meminta cihuahua dan pincher ikut menjaga kawanan domba yang sudah dijaga oleh herder.
Di sinilah masalah mulai terjadi. Pertama-tama, email activation code yang dikirimkan oleh server internet banking dimasukkan sebagai spam oleh mailserver Gmail dan sekalipun sudah dikirimkan berulang-ulang tidak ada di mailbox, seharusnya administrator mailserver domain bank melakukan komunikasi dan maintenance untuk mencegah domainnya dimasukkan ke dalam blacklist/spam.
Setelah masalah ini diatasi, muncul lagi masalah lain dimana SMS yang seharusnya dikirimkan ke nomor telepon penulis sampai lebih dari 24 jam tidak terkirim sama sekali. Akibatnya proses aktivasi tidak bisa dilakukan dan layanan tidak bisa digunakan.
Harusnya bank memiliki contingency plan dan bisa mengantisipasi hal ini dan bisa melakukan aktivasi melalui telepon dengan melakukan verifikasi, namun setelah call center dihubungi melalui telepon sebanyak 2 kali dan email 2 kali, jawaban yang didapatkan seperti tempat ibadah, diminta menjadi orang sabar: Terimakasih sudah menghubungi kami, mohon kesabarannya untuk menunggu.
Jika Anda adalah pembuat keputusan di bank, penulis ingin memberikan sedikit pandangan. Jika Anda memiliki kawanan domba dan Herder, Cihuahua dan Pincher.
Jangan gunakan ketiganya untuk menjaga kawanan domba Anda. Mungkin Anda bisa menggunakan Herder sebagai pertahanan terakhir dari serigala, sedangkan Pincher dan Cihuahua digunakan untuk memberitahu Herder kalau ada srigala datang sehingga meringankan tugas Herder.
Email dan SMS jika digunakan secara efektif dapat menjadi early warning atas transaksi tidak normal pada akun pelanggan. Jangan digunakan sebagai tambahan faktor otentifikasi yang sudah aman dimana akhirnya hanya akan menambahkan birokrasi yang tidak perlu daripada memberikan tambahan pengamanan.
Yang akan terjadi bukannya 'nasabah puas Anda lemas' tetapi 'sisdur puas nasabah lemas'.
(ash/ash)
