Perlindungan Akun dengan OTP via SMS Buruk, Saatnya Beralih ke Aplikasi 2FA

Peneliti keamanan sekaligus pendiri perusahaan keamanan web Sucuri, Daniel Cid, mengatakan ada beberapa kemungkinan bagaimana kode OTP via SMS dapat dicegat.

Teknik pertama dan yang banyak ditemukan pada kasus akun Gojek dan Grab di Indonesia yang beberapa kali terekspos media adalah social engineering. Teknik ini tidak memerlukan kemampuan peretasan tingkat tinggi.

Selain social engineering, teknik lain yang dapat digunakan pada praktik ini adalah SIM Card swapping. Teknik ini, jika dibandingkan dengan social engineering, memerlukan kemampuan lebih tinggi dan dukungan alat lainnya.

Aplikasi 2FA pihak ketiga seperti Authy dan Google Authenticator dapat menjadi alternatif kode OTP via SMS. Kedua aplikasi itu juga sudah mendukung berbagai layanan populer seperti Facebook, Instagram, Twitter, Snapchat, Gmail, dan banyak layanan lainnya.

Authy dan aplikasi 2FA lainnya bekerja dengan cara menghasilkan Time-based One-Time Passcode (TOTP). TOTP ini valid untuk beberapa detik saja dan harus segera dimasukkan ke layanan yang ingin pengguna akses.

Jadi, apabila pihak tak bertanggung jawab yang berhasil melakukan SIM Card Swapping mencoba mengakses aplikasi yang terhubung dengan Authy, mereka tetap tidak memiliki akses ke kode TOTP karena itu hanya ada di Authy yang terpasang milik pengguna.

Dengan demikian, TOTP yang dihasilkan Authy atau aplikasi 2FA lainnya lebih aman ketimbang OTP via SMS biasa.

(Why/Isk)