Cobisnis.com – One Time Password (OTP) adalah kata kunci sekali pakai yang berada di kasta tertinggi dalam pengamanan aset digital. Dan jika diurutkan dalam arsenal darat bisa di ibaratkan sebagai tank. Sedangkan kata kunci baik dalam bentuk huruf, angka (PIN), tanda baca, atau kombinasi ketiganya diyakini memiliki keamanan lebih rendah dari OTP dan termasuk dalam kasta lebih rendah yang dapat diibaratkan sebagai mobil Jeep.
Jadi, jika ada aplikasi yang menggunakan PIN untuk mengamankan OTP, kira-kira seperti menggunakan mobil Jeep Wilis dalam perang untuk melindungi tank.
Di tangan jendral yang mengerti kekuatan dan kelemahan arsenal dengan baik, bisa saja Jeep digunakan untuk mendukung tank karena memang masing-masing memiliki kelebihan dan kekurangan, namun di tangan orang yang kurang mengerti kelebihan dan kekurangan dari setiap metode pengamanan ini, implementasi yang salah bukannya memberikan pengamanan tambahan yang lebih ketat malah sebaliknya melainkan membuat pengamanan akun makin rumit, sulit di implementasikan dan tetap rentan di eksploitasi.
Pengamanan kata kunci
Kata kunci adalah nenek moyang atau “mbahnya” pengamanan kredensial dan sempat menjadi metode pengamanan favorit dan terbaik pada masa awal penerapan sekuriti. Apalagi kata kunci ini menggunakan kombinasi huruf, angka dan tanda baca atau simbol.
Jangankan peretas, pemilik akun saja kadang-kadang terkunci dari akunnya karena ketika ia lupa kata kunci akunnya. Karena itu banyak pemilik akun memiliki metode tertentu untuk memilih kata kunci seperti tanggal lahir anaknya, nama anak ayam atau ikan cupang favorit peliharaannya waktu kecil atau nomor telepon mantannya.
Namun karena perkembangan digital yang sangat tinggi, akun yang dimiliki menjadi makin banyak, sedangkan nomor telepon mantan terbatas, sehingga banyak terjadi kata kunci mantan yang sama digunakan berulang-ulang untuk berbagai macam akun.
Celakanya, jika salah satu akun saja yang digunakan bocor, seperti yang dialami oleh Linkedin dan Yahoo yang mengalami kebocoran database pengguna dan tersebar di dunia maya. Maka bukan hanya nomor telepon mantan yang bocor dan diketahui oleh peretas, melainkan semua kata kunci akun yang lain juga diketahui, karena kredensial awal (username) umumnya sudah diketahui dan menggunakan alamat email atau nomor telepon yang sulit diganti.
Contoh di atas hanya salah satu sebab kecil mengapa kata kunci masuk kategori mobil Jeep dan bukan tank dalam arsenal pertahanan akun digital. Setelah Vaksincom memberikan penyebab utama kelemahan pengamanan kata kunci, bisa-bisa anda mengusulkan kategori baru bagi kata kunci.
Sebab utama keruntuhan masa kejayaan kata kunci adalah karena adanya agen rahasia atau mata-mata. Namanya mata-mata tentunya tidak disadari keberadaannya, kalau ketahuan yah namanya mata-mata apes atau kamu ketahuan. Tapi yang jelas, dampak dari adanya mata-mata ini adalah kebocoran kredensial dan kerugiannya bisa sangat besar dan signifikan bagi pemilik akun.
Bagaimana mata-mata ini bisa masuk ke perangkat digital anda?
Program mata-mata dikenal sebagai trojan atau keylogger ini bisa menyamar dalam banyak bentuk. Salah satunya dalam bentuk crack atau program bajakan/gratisan yang kita unduh. Bisa juga diselipkan ketika anda sedang menonton film streaming gratisan yang mengharuskan anda menginstal aplikasi tambahan jika ingin menonton film yang anda idam2kan atau bisa juga terinstal tanpa anda sadari di latar belakang ketika anda sedang berselancar atau mendapatkan pop up iklan.
Lalu apa yang akan dilakukan oleh keylogger ini?
Ia akan merekam semua aktivitas anda, situs apa saja yang anda kunjungi, apa saja yang anda ketikkan pada keyboard anda dan pada beberapa kasus yang jarang mampu mengaktifkan kamera dan mikrofon.
Jadi berapa rumitpun kata kunci yang anda miliki, ketika anda ketikkan tetap akan dapat diketahui. Berapa sering anda berganti kata kunci dan mengganti nomor telepon mantan sebagai kata kunci, semua akan terekam dengan baik dan dikirimkan kepada peretas yang siap menerima data dan langsung mengambil alih/mengeksploitasi akun anda.
Karena itulah praktisi sekuriti menyarankan anda untuk melindungi semua perangkat digital anda dengan aplikasi antivirus seperti Webroot dengan teknologi Evasion Shield yang dapat mendeteksi aplikasi dan situs yang mengandung Trojan / Keylogger
Jadi setelah mengetahui adanya program mata-mata yang bisa merekam serumit apapun kata kunci yang anda miliki, menurut anda analogi kata kunci sebagai mobil Jeep masih cocok? Atau anda ingin mengusulkan kategori tambahan, mobil pick up?
Mengamankan Tank dengan Jeep ?
Ibarat dalam perang, tidak ada pakem yang harus di turuti dalam mengamankan kredensial. Tidak ada aturan kalau pengamanan akun harus menggunakan kredensial (username dan password) lalu diperkuat dengan OTP One Time Password.
Hanya saja, pengamanan OTP ibaratnya pengamanan terbaik dan menjadi senjata andalan dan dalam teknik pengamanan TFA/MFA Two / Multi Factor Authentication teknik yang lazim digunakan adalah pengamanan awal menggunakan kredensial lalu diperkuat dengan pengamanan TFA yang dalam hal ini adalah menambahkan OTP (One Time Password) atau Password sekali pakai.
Salah satu aplikasi populer yang langsung menggunakan OTP tanpa kredensial adalah aplikasi populer WhatsApp. Ketika anda menginstal WhatsApp, maka secara otomatis kredensial dalam bentuk OTP dikirimkan ke SMS nomor telepon yang bersangkutan dan tidak akan bisa diketahui oleh siapapun kecuali pemilik akun/SMS nomor telepon yang bersangkutan.
Meskipun sudah menggunakan OTP yang merupakan pengamanan terbaik, buktinya masih bisa dieksploitasi dan banyak terjadi pengambilalihan akun WhatsApp.
Sama halnya pertahanan darat menggunakan tank yang tadinya dianggap sebagai pertahanan terbaik karena tidak mempan di tembak peluru konvensional dan mampu menerabas dan meruntuhkan tembok rumah, namun akhirnya menjadi sasaran empuk RPG dan bom molotov karena lamban dan penglihatannya terbatas, maka pengamanan dengan OTP yang dilakukan oleh WhatsApp berhasil dieksploitasi terutama dengan rekayasa sosial, dimana penipu berpura-pura sebagai pihak berwenang menghubungi pemilik akun dan dengan berbagai macam tipu daya yang sangat meyakinkan berhasil mengelabui korbannya untuk memberikan kode akses atau mengklik tautan verifikasi yang dikirimkan ke SMS pemilik akun sehingga akun menjadi berpindah tangan.
Karena itulah WhatsApp menambahkan lapisan pengamanan baru yaitu PIN 6 angka yang hanya diketahui oleh pemilik akun WhatsApp dan disebut sebagai Two-Step Verification (TFA).
Berbeda dengan TFA konvensional dimana OTP adalah lapisan pengamanan kedua yang mengamankan kredensial.
Disini yang terjadi adalah terbaik dimana Two-Step Verification WhatsApp adalah PIN yang mengamankan OTP. Jadi secara teknis jika di perangkat tersebut terkandung Trojan atau Keylogger, maka PIN tersebut akan bisa diketahui. Dan lucunya, metode yang digunakan oleh WhatsApp ternyata diadopsi oleh penyedia sistem pembayaran online di Indonesia.
Apa resikonya, bagaimana kriminal akan berusaha mengeksploitasi sistem ini dan bagaimana implementasi yang ideal? Penulis akan menuangkan dalam tulisan selanjutnya.
*) ALFONS TANUJAYA – Penulis adalah pakar IT dan Antivirus Specialist dari Vaksin.com. Redaksi Cobisnis.com menerbitkan kembali tulisan ini dengan seizin penulis sebagai materi literasi dan informasi bagi masyarakat Indonesia.
