Kata Pengamat Siber Sekuriti OTP Paling Aman sampai yang Rentan

Merdeka.com - One Time Password (OTP) adalah sebuah kode yang biasanya dikirimkan ke SMS, aplikasi chat atau email. Langkah ini umumnya digunakan untuk memperkuat autentikasi ketika pengguna memasukkan ID atau password ke sebuah aplikasi/platform tertentu.

Sesuai namanya, OTP hanya dapat digunakan sekali saja, yang mana tujuannya untuk mencegah berbagai tindakan pencurian. OTP juga hanya bisa digunakan dalam rentang waktu tertentu. Misalkan, pengguna meminta kode OTP dan mendapatkan kode OTP yang cuma dapat digunakan tiga sampai enam menit saja.

Jika melebihi batas waktu tersebut, kode yang didapatkan pengguna akan hangus dan harus meminta ulang kode OTP. OTP sendiri ada beberapa jenis, di mana OTP dengan token/kalkulator digadang-gadang sebagai OTP paling aman. Sementara OTP SMS sering dituding sebagai OTP paling tidak aman.

Namun menariknya, OTP SMS menjadi yang paling populer dibandingkan dengan metode OTP lainnya? Jawabannya adalah karena penetrasi OTP, biaya pengadaan OTP dan kemudahan penggunaan OTP.

Lalu, jenis OTP mana yang paling aman dan kurang aman? Berikut penjelasan dari Alfons Tanujaya, Pengamat Sekuriti dari Vaksincom.

Hard Token Paling Aman

OTP ini paling aman karena berdiri sendiri, tidak terhubung kepada perangkat lain di mana satu-satunya cara mengakses OTP Token adalah dengan mengakses fisik token kalkulator.

Pengadaan OTP ini juga tidak memanfaatkan jaringan pihak ketiga seperti email, SMS atau Whatsapp yang mengirimkan kode OTP melalui jaringan ekternal dan secara teknis bisa disadap.

OTP Cukup Aman: Soft Token

OTP dengan aplikasi otentikasi seperti Google Authenticator atau Twilio Authy masih lebih aman dari SMS, Email dan Whatsapp karena tidak memanfaatkan jaringan ekternal pihak ketiga untuk mengirimkan kodenya dan memiliki kemampuan untuk mengkalkulasi kode OTP berdasarkan set kunci dimilikinya.

Namun karena terinstal di perangkat lain seperti ponsel pintar atau komputer, maka jika ada yang memiliki akses ke ponsel tersebut secara teknis memiliki akses ke aplikasi OTP.

Karena itulah ada baiknya memilih aplikasi otentikasi yang dilindungi dengan PIN untuk membuka aplikasi dan ditambah dengan PIN mengunci ponsel, harusnya akan sangat sulit bagi pihak ketiga mengakses aplikasi otentikasi OTP.

OTP Kurang Aman: On demand Token.

OTP melalui SMS, email, dan Whatsapp prinsip kerjanya sama dengan OTP token, namun karena ia tidak memiliki kemampuan mengolah kode OTP, maka ia tergantung pada jaringan pihak ketiga untuk mendapatkan kode OTP.

Sumber: Liputan6.com

Reporter: Iskandar