SMS OTP sudah digunakan selama lebih dari tiga dekade sebagai lapisan keamanan tambahan dalam transaksi digital. Metode ini sederhana yaitu sistem mengirimkan kode enam digit melalui pesan singkat, lalu pengguna memasukkannya sebagai bukti verifikasi. Namun, di tengah perkembangan AI dan meningkatnya kasus pengambilalihan akun, pertanyaannya menjadi relevan kembali: apakah mekanisme berbasis SMS ini masih cukup kuat?
Ketika pertama kali diperkenalkan, SMS OTP dianggap sebagai terobosan. Ia menambahkan faktor kedua di luar kata sandi. Pada masanya, ini cukup efektif. Tetapi lanskap ancaman sudah berubah. Teknik seperti phishing, SIM swap, dan rekayasa sosial membuat kode verifikasi berbasis pesan singkat semakin mudah disalahgunakan.
Whitepaper The State of Authentication and Account Takeovers in Indonesia mencatat bahwa 84% bisnis mengalami insiden keamanan yang melibatkan SMS OTP, termasuk penyalahgunaan melalui pengalihan nomor dan manipulasi pengguna. Ini menunjukkan bahwa metode lama kini menjadi target utama.
Masalah utamanya sederhana: sistem ini hanya membuktikan kepemilikan nomor ponsel, bukan memastikan identitas atau perangkat yang digunakan. Beberapa risiko yang sering terjadi:
Dalam laporan yang sama, disebutkan bahwa 7 dari 10 kasus serangan siber melibatkan akses tidak sah dari perangkat atau lokasi asing. Artinya, begitu kredensial dan kode diperoleh, akun dapat diambil alih tanpa hambatan berarti.
Banyak organisasi telah menerapkan MFA (Multi-Factor Authentication). Namun fakta menariknya, 90% organisasi yang sudah menggunakan MFA tetap mengalami Account Takeover, karena salah satu faktor autentikasinya masih bergantung pada SMS OTP.
Ini bukan berarti MFA tidak berguna, tetapi menunjukkan bahwa kualitas faktor autentikasi sangat menentukan. Jika faktor tersebut mudah dipindahkan atau dimanipulasi, maka perlindungannya ikut melemah.
Seiring meningkatnya AI-generated fraud dan deepfake, pendekatan keamanan juga perlu berevolusi. Banyak institusi mulai beralih ke metode yang:
Pendekatan ini tidak hanya memverifikasi kode, tetapi memastikan bahwa pengguna benar-benar hadir secara real-time dan menggunakan perangkat yang sah. Riset lengkap mengenai tren pengambilalihan akun dan risiko autentikasi berbasis SMS dapat dibaca pada whitepaper The State of Authentication and Account Takeovers in Indonesia.
SMS OTP tidak sepenuhnya usang, tetapi ia bukan lagi benteng utama yang cukup kuat berdiri sendiri. Dalam ekosistem digital yang semakin kompleks, keamanan perlu dibangun secara berlapis. Ketika serangan semakin canggih dan manipulasi identitas semakin realistis, sistem autentikasi harus mampu membuktikan lebih dari sekadar kepemilikan nomor ponsel. Di era AI, pertanyaannya bukan lagi apakah SMS OTP pernah efektif, tetapi apakah ia masih relevan menghadapi ancaman hari ini.