Pandangan berbeda dikemukakan Faisal Yahya. Pakar security ini melihat, OTP berbasis SMS sudah tidak memadai lagi karena memiliki beberapa kelemahan. Bahkan sumber kelemahan bisa berasal dari fitur resmi yang disediakan operator telekomunikasi. “Contohnya ada operator yang menyediakan fitur Auto Copy sehingga SMS di nomor utama bisa terkirim ke nomor lain tanpa ada notifikasi,” ungkap Faisal.
Belum lagi jika mengingat mayoritas aplikasi smartphone saat ini, baik di platform iOS dan Android, memiliki hak mengakses isi SMS. Faktor ini juga membuka celah untuk disalahgunakan. “Karena itu menurut saya OTP berbasis SMS sudah tidak layak karena banyak tergantung faktor lain,” tambah Faisal.
Senada dengan pandangan Setiawan Hermanto, Faisal melihat mekanisme OTP berbasis perangkat dapat menjadi alternatif. Jika ingin lebih aman lagi, penyedia layanan bisa menggunakan perangkat hardware khusus (seperti PIN token) untuk menghasilkan OTP. “Intinya OTP itu seharusnya di-generate, bukan dikirim over the wire,” tambah Faisal.
Sementara itu Ruby Alamsyah, CEO dan Chief Digital Forensic Indonesia, melihat pentingnya semua pihak menyadari kelebihan maupun kekurangan OTP berbasis SMS. “OTP hanyalah salah satu level keamanan. Kalau digunakan masing-masing pihak dengan benar, hasilnya akan aman. Akan tetapi, semua pihak yang terlibat harus pula menyadari OTP berbasis SMS bukanlah tingkat keamanan paling tinggi. Jangan sampai, OTP itu dijadikan sebagai benteng terakhir keamanan bagi pihak mana pun,” terang Ruby.
Terkait dengan kejadian pembobolan rekening bank dengan bantuan OTP, Ruby berpandangan penyedia layanan seperti finansial atau perbankan, seharusnya menggunakan level keamanan yang lebih tinggi. Contohnya menggunakan PIN token atau biometrik berupa pengenalan sidik jari, suara, atau wajah. “Saat ini sudah ada bank di Indonesia yang menerapkan keamanan hingga level biometrik,” cetus Ruby.
Langkah Pengamanan
Kasus yang menimpa Ilham Bintang sepertinya menyadarkan semua pihak kerentanan dari pendekatan OTP berbasis SMS. Namun, akan butuh waktu bagi penyedia layanan untuk mengubah sistem yang ada. Mau tidak mau, kita sebagai pengguna harus bisa melindungi diri sebaik mungkin agar terhindar dari kasus yang sama.
Menurut Ruby Alamsyah, langkah paling mendasar adalah jangan gegabah mengklik link yang dikirim orang melalui email, chat, atau aplikasi lainnya. “Selain itu, jangan pernah memberikan informasi terkait data pribadi dan data perbankan pribadi ke siapa pun melalui media apa pun,” tambah Ruby.
Sementara Faisal Yahya menyarankan penggunaan nomor telepon khusus untuk OTP. “Nomor ini juga harus dijaga kerahasiaannya dan tidak disebar ke orang lain,” ungkap Faisal. Nomor khusus OTP ini seharusnya juga tipe pascabayar sehingga bisa ditarik sewaktu-waktu.
| Penulis | : | Wisnu Nugroho |
| Editor | : | Wisnu Nugroho |
KOMENTAR