Sukses

Perlindungan Akun dengan OTP via SMS Buruk, Saatnya Beralih ke Aplikasi 2FA

Liputan6.com, Jakarta - Verifikasi atau autentikasi dua langkah, yang biasa disebut 2-factor-authentication atau 2FA, memberikan perlindungan ekstra terhadap akun seseorang, entah itu akun media sosial, akun email, dan sebagainya.

Saat ini ada beberapa jenis 2FA dan salah satunya adalah 2FA berupa One-Time-Passcode (OTP) via SMS. Namun, salah satu kelemahan 2FA lewat SMS adalah OTP yang dikirimkan ke nomor yang didaftarkan via SMS dapat dicegat oleh pihak lain.

Hal ini pula yang menimpa aktivis dan peneliti kebijakan publik Ravio Patra. Akun WhatsApp miliknya dibobol oleh pihak tak bertanggung jawab. Setelah itu, akun yang telah berpindah tangan menyebarkan provokasi dan berujung pada penangkapan Ravio Patra.

Bahkan beberapa hari lalu, melalui akun Twitter pribadinya, telah mengumumkan bahwa ada masalah dengan akun WhatsApp miliknya.

"Mohon untuk tidak mengontak saya via WhatsApp dan jika ada yang berada di satu grup WhatsApp dengan saya, tolong segera keluarkan saya dari grup, atau jika tidak bisa, minta seluruh anggota grup untuk keluar. Terima kasih," kata pria berumur 27 tahun itu.

2 dari 3 halaman

Bagaimana OTP via SMS dicegat?

Peneliti keamanan sekaligus pendiri perusahaan keamanan web Sucuri, Daniel Cid, mengatakan ada beberapa kemungkinan bagaimana kode OTP via SMS dapat dicegat.

Teknik pertama dan yang banyak ditemukan pada kasus akun Gojek dan Grab di Indonesia yang beberapa kali terekspos media adalah social engineering. Teknik ini tidak memerlukan kemampuan peretasan tingkat tinggi.

Selain social engineering, teknik lain yang dapat digunakan pada praktik ini adalah SIM Card swapping. Teknik ini, jika dibandingkan dengan social engineering, memerlukan kemampuan lebih tinggi dan dukungan alat lainnya.

3 dari 3 halaman

Aplikasi 2FA, alternatif OTP via SMS

Aplikasi 2FA pihak ketiga seperti Authy dan Google Authenticator dapat menjadi alternatif kode OTP via SMS. Kedua aplikasi itu juga sudah mendukung berbagai layanan populer seperti Facebook, Instagram, Twitter, Snapchat, Gmail, dan banyak layanan lainnya.

Authy dan aplikasi 2FA lainnya bekerja dengan cara menghasilkan Time-based One-Time Passcode (TOTP). TOTP ini valid untuk beberapa detik saja dan harus segera dimasukkan ke layanan yang ingin pengguna akses.

Jadi, apabila pihak tak bertanggung jawab yang berhasil melakukan SIM Card Swapping mencoba mengakses aplikasi yang terhubung dengan Authy, mereka tetap tidak memiliki akses ke kode TOTP karena itu hanya ada di Authy yang terpasang milik pengguna.

Dengan demikian, TOTP yang dihasilkan Authy atau aplikasi 2FA lainnya lebih aman ketimbang OTP via SMS biasa.

(Why/Isk)