Tingginya transaksi digital berdampak pada semakin pentingnya keamanan akun. Salah satu proses yang harus diperhatikan adalah autentikasi. Banyak pengguna masih mengandalkan kata sandi sebagai satu-satunya metode perlindungan akun mereka. Padahal kata sandi telah diketahui rentan terhadap kebocoran data, phishing, hingga brute force. Menghadapi tantangan ini, aplikasi autentikasi hadir sebagai solusi untuk meningkatkan keamanan akses akun digital.
Lantas, metode atau aplikasi autentikasi mana yang paling aman? Yuk, simak artikelnya!
Pilihan Aplikasi Autentikasi Terbaik
Berikut lima jenis aplikasi autentikasi yang umum digunakan beserta kelebihan dan kekurangannya.
1. Google Authenticator
Aplikasi ini menghasilkan kode OTP berbasis waktu yang berubah setiap beberapa detik. Banyak layanan seperti email, media sosial, dan perbankan mendukung Google Authenticator sebagai metode keamanan tambahan.
Kelebihan: Mudah digunakan, gratis, tidak memerlukan koneksi internet untuk menghasilkan kode OTP, dan didukung oleh berbagai layanan.
Kekurangan: Tidak memiliki fitur backup cloud, jadi jika perangkat hilang atau reset, akses akun bisa hilang, tidak mendukung autentikasi multi-device, dan masih bergantung pada kode OTP yang dapat dimasukkan secara manual, sehingga kurang praktis dibanding autentikasi berbasis perangkat.
2. Microsoft Authenticator
Serupa dengan Google Authenticator, tetapi memiliki fitur tambahan seperti autentikasi tanpa kata sandi (passwordless authentication) dan sinkronisasi cloud untuk memulihkan akun jika perangkat hilang.
Kelebihan: Mendukung autentikasi tanpa kata sandi (passwordless authentication), memiliki fitur sinkronisasi cloud, sehingga lebih mudah dipulihkan jika perangkat hilang, dan dapat digunakan untuk multi-device.
Kekurangan: Masih berbasis kode OTP yang harus dimasukkan secara manual, rentan terhadap serangan phishing jika pengguna tidak hati-hati saat memasukkan kode OTP di situs palsu.
3. Authy
Alternatif Google Authenticator yang memiliki fitur backup cloud dan multi-device support, sehingga lebih fleksibel jika pengguna mengganti perangkat.
Kelebihan: Memiliki fitur backup cloud, mendukung multi-device, tersedia di desktop.
Kekurangan: Membutuhkan akun tambahan untuk melakukan backup cloud, yang bisa menjadi celah keamanan jika tidak dikelola dengan baik.
4. YubiKey (Hardware Security Key)
Perangkat fisik yang harus dicolokkan ke komputer atau dipindai via NFC untuk melakukan autentikasi. Lebih aman daripada OTP berbasis SMS atau aplikasi karena tidak bisa diretas secara online.
Kelebihan: Tidak bisa diretas secara online karena merupakan perangkat fisik, tidak rentan terhadap phishing dan serangan siber berbasis OTP.
Kekurangan: Jika perangkat hilang atau rusak, pengguna bisa kehilangan akses ke akun tanpa backup.
5. VIDA PhoneToken & FaceToken
Aplikasi autentikasi berbasis perangkat yang menggunakan kriptografi PKI dan biometrik. Tidak memerlukan OTP atau kata sandi sehingga lebih tahan terhadap phishing, SIM swap fraud, dan serangan deepfake. PhoneToken dan FaceToken juga tidak memerlukan perangkat fisik, sehingga penggunaannya praktis dan mudah.
Amankah Autentikasi dengan OTP?
Meskipun OTP memberikan lapisan perlindungan tambahan, metode ini memiliki beberapa kelemahan yang telah dimanfaatkan oleh pelaku kejahatan digital. Berikut adalah beberapa modus serangan yang sering digunakan untuk mencuri OTP:
1. Phishing
Penipu mengelabui korban dengan mengirimkan email atau pesan yang tampak resmi dari bank atau layanan digital. Korban diarahkan ke situs palsu yang meniru situs asli, lalu diminta memasukkan OTP mereka. Begitu OTP di input, penipu bisa langsung mengambil alih akun korban.
2. SIM Swap Fraud
Penipu menghubungi operator seluler dan berpura-pura menjadi pemilik akun. Dengan memberikan informasi yang mereka curi sebelumnya (seperti nama, tanggal lahir, atau nomor identitas), mereka meyakinkan operator untuk memindahkan nomor telepon korban ke SIM card yang mereka kendalikan. Setelah itu, mereka dapat menerima semua SMS OTP yang dikirim ke korban, termasuk kode akses perbankan.
3. Man-in-the-Middle (MitM) Attack
Dalam serangan ini, peretas mencegat komunikasi antara pengguna dan layanan yang mereka gunakan, termasuk OTP yang dikirim melalui SMS atau email. Teknik ini semakin canggih dan banyak digunakan dalam serangan terhadap sistem perbankan digital.
4. Fake BTS (Base Transceiver Station) Attack
Modus kejahatan ini melibatkan perangkat BTS palsu yang digunakan untuk menangkap dan mengalihkan pesan SMS, termasuk OTP. Di beberapa kasus, peretas dapat mengirimkan OTP ke perangkat mereka sendiri tanpa korban menyadarinya.
Dilansir dari whitepaper VIDA, serangan berbasis OTP terus meningkat dan menjadi salah satu penyebab utama pengambilalihan akun atau account takeover. SEbanyak 97% bisnis di Indonesia telah mengalami upaya account takeover, sementara 84% serangan fraud yang terjadi dalam transaksi online melibatkan eksploitasi OTP melalui phishing, SIM swap fraud, dan rekayasa sosial. Bank-bank di Singapura dan Malaysia mulai meninggalkan penggunaan SMS OTP karena dianggap tidak lagi aman.
Selain itu, dalam beberapa kasus, pelaku kejahatan bahkan tidak perlu mencuri OTP, mereka bisa memanipulasi korban untuk memberikan OTP secara sukarela melalui teknik social engineering. Dalam hal ini, mereka menipu psikologis korban.
VIDA PhoneToken dan FaceToken: Autentikasi Tanpa OTP
1. VIDA PhoneToken
VIDA PhoneToken menggunakan Public Key Infrastructure (PKI) untuk mengamankan autentikasi tanpa perlu OTP. Karena berupa autentikasi perangkat, PhoneToken tidak bergantung pada SMS OTP sehingga tidak bisa dicuri melalui phishing atau SIM swap fraud.
2. VIDA FaceToken
VIDA FaceToken menggabungkan face matching, liveness detection, dan device authentication dalam satu langkah autentikasi yang aman dan nyaman. Bagi pengguna, autentikasi ini cukup sederhana karena prosesnya semudah selfie. Namun dibalik itu, FaceToken memastikan wajah pengguna sesuai data yang tersimpan (face matching) dan mencegah serangan deepfake dan spoofing (liveness detection). FaceToken juga terintegrasi dengan perangkat pengguna, sehingga tidak bisa diakses di perangkat lain.
Dari berbagai metode dan aplikasi autentikasi yang tersedia, kombinasi biometrik dan autentikasi berbasis perangkat terbukti paling aman dan efektif. VIDA PhoneToken dan FaceToken menawarkan perlindungan optimal bagi pengguna, memastikan bahwa hanya pemilik akun yang sah yang dapat mengakses layanan digital tanpa risiko pencurian kredensial atau manipulasi data.
