OTP via SMS, Paling Populer Sudah Pasti Paling Aman?

(Ilustrasi foto: Luke Porter / Unsplash)

Uzone.id -- Metode pengamanan OTP (One-Time Password) dengan cara dikirimkan melalui SMS memang sudah menjamur, bahkan secara umum masyarakat lebih familiar kalau nomor OTP pasti dikirimkan ke SMS atau alamat email. Begitu populer, apakah sudah pasti jadi cara paling aman?

Pakar keamanan siber Vaksincom, Alfons Tanujaya memaparkan, pada dasarnya cara penerapan OTP itu tidak sekadar lewat SMS saja, melainkan ada beberapa cara lain yang justru malah dinilai jauh lebih aman.

“OTP via SMS itu paling populer dibandingkan metode OTP lainnya karena berangkat dari penetrasi OTP, biaya pengadaan OTP, dan kemudahan penggunaan OTP itu sendiri,” jelas Alfons, yang membagikannya di blog resmi Vaksincom.

Baca juga: Lapisi OTP dengan PIN, Bagai Lindungi Tank Pakai Jeep

Deretan metode OTP yang selama ini sudah ada memang berkaitan dengan kenyamanan dan keamanan. Alfons pun membagi tiga jenis metode OTP berdasarkan tingkat keamanannya. Berikut penjelasan singkatnya:

1. OTP paling aman: hard token
OTP dengan token dianggap paling aman karena OTP ini berdiri sendiri alias tidak terhubung dengan perangkat lain di mana satu-satunya cara mengaksesnya adalah mengakses fisik token kalkulator.

“Pengadaan OTP ini juga tidak memanfaatkan jaringan pihak ketiga seperti email, SMS, atau sambungan WhatsApp yang menerima kode OTP melalui jaringan eksternal. Secara teknis, hal tersebut bisa disadap,” terang Alfons.

2. OTP cukup aman: soft token
OTP dengan aplikasi otentikasi seperti Google Authenticator atau Twilio Authy, menurut Alfons, masih lebih aman dari SMS, email, dan WhatsApp. Alasannya juga hampir mirip di poin nomor satu, yakni tidak menggunakan jaringan eksternal pihak ketiga.

Justru, metode ini punya kemampuan untuk mengkalkulasikan kode OTP berdasarkan set kunci yang dimiliki. Kekurangannya, aplikasi otentikasi biasanya terinstall di perangkat lain seperti ponsel atau komputer, sehingga kalau ada orang yang punya akses ke perangkat itu, maka aplikasinya juga bisa diakses oleh orang lain.

“Ada baiknya memilih aplikasi otentikasi yang dilindungi dengan PIN untuk membuka aplikasi dan ditambahkan dengan PIN pengunci ponsel. Harusnya bisa mempersulit orang lain yang berniat mengakses ke aplikasi otentikasi OTP tersebut,” ungkap Alfons.

3. OTP kurang aman: on-demand token
Metode ini contohnya adalah OTP melalui SMS, email, dan WhatsApp. Prinsip kerjanya sama seperti OTP token lain, namun karena tidak memiliki kemampuan mengolah kode uniknya, maka metode ini harus memanfaatkan jaringan pihak ketiga untuk menerima kode OTP.

Lantas, kalau OTP via SMS atau email dianggap paling rentan, kenapa sampai sekarang metode ini masih saja populer dan sering diterapkan?

Baca juga: Belajar dari WhatsApp, Sudah Pakai OTP kok Masih Sering Dibobol?

Alfons melihat, penetrasi SMS paling tinggi dibandingkan perangkat OTP lain. Selain itu, kelebihan lainnya adalah tidak membutuhkan biaya pengadaan perangkat OTP, karena sudah tersedia di tiap ponsel untuk menerima SMS.

“OTP via SMS juga tidak butuh mengunduh aplikasi khusus, sinkronisasi awal, proses pendaftaran segala macam. Kode OTP langsung bisa terkirim ke nomor ponsel yang aktif. Metode ini juga mudah diterima dan dibaca seperti halnya kita membuka pesan SMS, tidak perlu belajar atau latihan,” sambung Alfons.

Dengan kata lain, penyedia layanan digital lebih memilih metode OTP via SMS karena memang cara ini dianggap paling nyaman, mudah, dan efisien.

Namun bagi Alfons, akan lebih baik apabila penyedia layanan digital turut memberikan alternatif pilihan OTP selain SMS agar pemilik akun bisa menentukan sejauh mana tingkat keamanannya.

“Masih banyak penyedia layanan, khususnya dompet digital yang mengandalkan pengamanan 100 persen pada OTP SMS. Sebagai konsumen, sudah saatnya cerdas dan proaktif untuk mengamankan emas digital dan keuangan digital. Jangan sampai menjadi korban dari kecerobohan penyedia layanan,” tutup Alfons.