Malang betul nasib Ilham Bintang. Wartawan senior ini kehilangan tabungan ratusan juta rupiah akibat rekening bank-nya dibobol. Ironisnya, musibah ini menimpa Ilham bukan karena kesalahannya, namun karena kelemahan sistem OTP (One Time Password) berbasis nomor telepon.
Awal mula masalah terjadi ketika seseorang mendatangi customer service sebuah operator telekomunikasi. Orang tersebut mengaku sebagai Ilham Bintang dan ingin mengganti kartu SIM miliknya. Hanya dalam hitungan menit, orang tersebut berhasil mendapatkan kartu SIM baru.
Masalahnya, orang tersebut bukanlah Ilham Bintang. Ilham yang asli saat itu sedang berada di luar negeri, dan hanya merasakan keanehan ketika telepon yang ia miliki tiba-tiba menunjukkan indikator SOS. Ilham tidak sadar, jika nomornya sudah pindah tangan ke Ilham “palsu”.
Ketika nomor telepon sudah direbut, credential Ilham satu per satu pun mulai diambil alih. Yang paling fatal tentu saja akun rekening bank Ilham, yang berujung pada raibnya seluruh isi tabungan yang berjumlah ratusan juta rupiah.
BACA JUGA: Polisi ungkap cara pelaku menguras rekening Ilham Bintang
Kelemahan OTP
Secara teori, proses autentikasi (alias memastikan seseorang itu benar adanya) dapat dilakukan dengan lima pendekatan. Pendekatan itu meliputi apa yang pengguna tahu (contohnya password atau PIN), apa yang pengguna miliki (kunci, token), siapa pengguna (sidik jari, retina mata), di mana lokasi pengguna, dan apa pengguna lakukan (seperti pola mengetik).
Standar keamanan saat ini minimal mengkombinasikan dua tahap autentikasi (atau biasa disebut two-factor authentication). Yang umum dilakukan adalah mengkombinasikan password dan memasukkan PIN dari alat khusus (seperti token). Namun penggunaan token kini perlahan digantikan oleh SMS berisi OTP, dengan asumsi nomor telepon adalah sesuatu yang pengguna pegang.
Akan tetapi seperti tercermin dari kasus Ilham Bintang, nomor telepon bisa saja direbut oleh orang lain. Tidak cuma Ilham. Beberapa waktu lalu, akun Gopay artis Maia Estianty juga mengalami kebobolan karena terjebak penipuan yang membuat SMS berisi OTP ter-forward ke nomor lain.
Karena itulah muncul gugatan, apakah OTP berbasis SMS masih layak digunakan?
Menurut praktisi keamanan informasi Setiawan Hermanto, OTP berbasis SMS sebenarnya masih memadai. “Jika terjadi kasus pembobolan rekening dengan cara mengganti SIM Card, hal ini seharusnya menjadi perhatian dari setiap perusahaan telekomunikasi. Pihak operator harus meningkatkan proses verifikasi dari pemilik akun untuk menghindari kejadian serupa,” ungkap Setiawan.
Jika ingin meningkatkan keamanan, Setiawan melihat penggunaan OTP berbasis aplikasi bisa menjadi alternatif. Penggunaan OTP berbasis aplikasi, seperti Google Authenticator, dapat menurunkan risiko karena memiliki masa aktif singkat dan OTP dibuat (generate) di perangkat pengguna tanpa tergantung SIM Card. “Namun penggunaan OTP berbasis aplikasi memerlukan pengetahuan lebih dari sisi penggunaannya, sehingga saya melihat OTP berbasis SMS tetap menjadi pilihan utama dari sisi penyedia layanan," ungkap Setiawan.