Mengenal Jenis-Jenis OTP, dari yang Lemah sampai Paling Aman

OTP ini paling aman karena berdiri sendiri, tidak terhubung kepada perangkat lain di mana satu-satunya cara mengakses OTP Token adalah dengan mengakses fisik token kalkulator.

Pengadaan OTP ini juga tidak memanfaatkan jaringan pihak ketiga seperti email, SMS atau Whatsapp yang mengirimkan kode OTP melalui jaringan ekternal dan secara teknis bisa disadap.

OTP Cukup Aman: Soft Token

OTP dengan aplikasi otentikasi seperti Google Authenticator atau Twilio Authy masih lebih aman dari SMS, Email dan Whatsapp karena tidak memanfaatkan jaringan ekternal pihak ketiga untuk mengirimkan kodenya dan memiliki kemampuan untuk mengkalkulasi kode OTP berdasarkan set kunci dimilikinya.

Namun karena terinstal di perangkat lain seperti ponsel pintar atau komputer, maka jika ada yang memiliki akses ke ponsel tersebut secara teknis memiliki akses ke aplikasi OTP.

Karena itulah ada baiknya memilih aplikasi otentikasi yang dilindungi dengan PIN untuk membuka aplikasi dan ditambah dengan PIN mengunci ponsel, harusnya akan sangat sulit bagi pihak ketiga mengakses aplikasi otentikasi OTP.

OTP melalui SMS, email, dan Whatsapp prinsip kerjanya sama dengan OTP token, namun karena ia tidak memiliki kemampuan mengolah kode OTP, maka ia tergantung pada jaringan pihak ketiga untuk mendapatkan kode OTP.

Kalau memang OTP melalui SMS adalah OTP yang kurang aman, tetapi mengapa OTP ini yang paling populer digunakan dan penetrasinya paling tinggi digandingkan metode OTP lainnya?

Jawabannya mungkin bisa mengacu pada perumpamaan Tom and Jerry di bawah ini.

Ibaratnya kamu membeli Tom untuk menjaga dari serangan Jerry, dan tentunya kamu akan mencari Tom yang paling tangkas menangkap Jerry.

Namun akhirnya kamu memutuskan untuk memilih Tom yang kurang terampil menangkap Jerry, karena Tom yang dipilih tersebut harganya lebih murah dan lebih mudah dirawat.

Namun itulah kenyataan yang terjadi di Indonesia, di mana OTP melalui SMS ini yang paling banyak digunakan oleh penyedia layanan digital untuk mengamankan akun penggunanya.

Sebenarnya hal ini bisa dimengerti kalau penyedia layanan tersebut memberikan alternatif pilihan OTP selain SMS sehingga pemilik akun bisa menentukan sejauh mana tingkat keamanan yang dipilihnya berdasarkan tingkat kerepotan yang bisa di toleransi oleh dirinya.

Namun masih banyak penyedia layanan khususnya dompet digital yang mengandalkan pengamanan 100 persen pada SMS OTP ini dan pengguna layanan tidak memiliki pilihan OTP lain.

Mungkin hal ini bisa menjadi pertimbangan kamu sebagai konsumen yang cerdas untuk pro aktif mengamankan emas digital kamu, selain dari serangan Jerry, juga dari kecerobohan penyedia layanan yang lebih memilih Tom yang lebih murah tetapi kurang pandai menangkap Jerry.

Meskipun OTP SMS lebih lemah dari sisi sekuriti, namun ia memiliki beberapa keunggulan dibandingkan metode OTP lainnya seperti :

- Penetrasi SMS paling tinggi dibandingkan perangkat OTP lainnya.

- Tidak membutuhkan biaya pengadaan perangkat OTP dan sudah tersedia pada semua ponsel yang bisa menerima SMS.

- Tidak membutuhkan instalasi aplikasi, sinkronisasi awal, proses pendaftaran yang rumit dan langsung tersedia pada nomor telepon yang diaktifkan.

- Mudah digunakan, semudah menerima dan membaca SMS. Tidak membutuhkan latihan atau pengetahuan khusus untuk implementasi.

(Isk/Ysl)