Transaksi digital identik dengan penggunaan kode OTP. Kode ini dikirimkan baik lewat WhatsApp maupun SMS dan digunakan untuk mendaftar akun, masuk ke akun, atau menyelesaikan transaksi.
Masih efektifkah verifikasi OTP untuk keamanan transaksi? Apakah ada metode verifikasi yang lebih aman selain OTP? Yuk, simak artikel ini!
Apa Itu Verifikasi OTP?
Verifikasi OTP (One-Time Password) adalah proses autentikasi tambahan yang menggunakan kode unik yang hanya berlaku satu kali dan dalam waktu terbatas. Verifikasi OTP biasanya menyertai password atau PIN yang dimasukkan ketika login akun maupun bertransaksi. OTP terdiri dari 4–8 digit angka atau kombinasi huruf dan angka yang dikirim melalui SMS, WhatsApp, email, atau aplikasi autentikator.
Autentikasi 2 faktor (2FA) adalah cara paling efektif saat ini untuk memperkuat sistem keamanan akun. Menurut laporan Market Research Future yang dikutip dari Authgear, pasar autentikasi dua faktor diperkirakan akan tumbuh dari USD 14,65 miliar pada tahun 2022 menjadi USD 44,67 miliar pada tahun 2030. Menariknya, metode OTP (One-Time Password) masih mendominasi, menyumbang sekitar 56–60% dari total nilai pasar tersebut.
Tujuan verifikasi OTP adalah untuk menambahkan lapisan keamanan dalam proses login atau transaksi, dengan memastikan bahwa hanya pemilik sah perangkat atau akun yang bisa menyelesaikan proses tersebut.
Itulah alasan mengapa kode untuk verifikasi OTP tidak boleh diberitahukan pada siapapun dan masa berlakunya terbatas. Kode OTP ini bersifat sekali pakai dan biasanya hanya berlaku selama 1–5 menit. Jika lewat dari waktu tersebut, kode akan dianggap tidak valid.
Perbedaan OTP dengan Password
Seberapa penting verifikasi OTP sebagai lapisan keamanan untuk akun? Mengapa kita tidak bisa mengandalkan password saja? Berikut penjelasan lengkap tentang perbedaan antara password dan OTP (One-Time Password) ditinjau dari berbagai aspek:
1. Masa Berlaku
- Password:
Berlaku secara permanen atau hingga pengguna menggantinya secara manual. Tidak memiliki batas waktu otomatis, sehingga rentan jika tidak rutin diperbarui.
- OTP:
Berlaku hanya satu kali dan dalam waktu yang sangat terbatas, biasanya antara 30 detik hingga 5 menit. Setelah lewat dari waktu itu, OTP akan otomatis kadaluarsa.
2. Siapa yang Membuat
- Password:
Dibuat oleh pengguna sendiri. Karena itu, kekuatan password sangat tergantung pada kesadaran pengguna untuk memilih kombinasi yang kuat dan unik.
- OTP:
Dihasilkan secara otomatis oleh sistem atau server, biasanya menggunakan algoritma khusus (misalnya TOTP – Time-based One-Time Password). Pengguna tidak memiliki kontrol atas isi kode OTP.
3. Jumlah Karakter
- Password:
Panjang karakter bervariasi, biasanya antara 6–20 karakter, dapat mencakup huruf, angka, dan simbol. Namun ini bergantung pada pilihan pengguna.
- OTP:
Biasanya terdiri dari 4–8 digit angka, atau dalam beberapa sistem menggunakan kombinasi huruf dan angka. Dirancang agar mudah diketik dalam waktu singkat.
4. Penggunaan
- Password:
Digunakan untuk login utama atau autentikasi awal saat mengakses akun. Biasanya menjadi faktor pertama dalam sistem keamanan.
- OTP:
Digunakan sebagai lapisan tambahan (second factor) dalam autentikasi dua faktor (2FA), misalnya setelah password dimasukkan, OTP diperlukan untuk melanjutkan.
5. Tingkat Keamanan
- Password:
Sudah aman namun rentan terhadap serangan brute force, credential stuffing, atau phishing, terutama jika menggunakan password yang lemah atau sama di banyak platform.
- OTP:
Lebih aman untuk penggunaan satu kali, tapi masih rentan terhadap SIM swapping, malware, dan phishing jika pengguna tidak berhati-hati.
Fakta-Fakta Penting tentang Verifikasi OTP
- Banyak pengguna tertipu karena menerima OTP tanpa meminta. Ini biasanya adalah upaya social engineering untuk mencuri akun.
- Negara seperti Singapura sudah mulai meninggalkan verifikasi OTP. Monetary Authority of Singapore (MAS) dan Association of Banks in Singapore (ABS) telah memulai transisi ke digital token karena OTP rentan terhadap serangan phishing.
- Penjahat siber dapat melakukan SIM swap dengan mengelabui operator seluler untuk memindahkan nomor handphone-mu ke kartu SIM yang mereka miliki. Setelah berhasil, mereka akan menerima semua panggilan dan pesanmu, termasuk OTP.
- Malware pada perangkat Android dapat meminta izin untuk membaca pesan SMS dan secara diam-diam mengirimkan OTP yang diterima ke server penjahat siber.
- Penjahat siber dapat mengirimkan permintaan OTP berulang kali kepada korban, menyebabkan kelelahan atau kebingungan. Dalam kondisi tersebut, korban mungkin secara tidak sadar menyetujui permintaan akses yang sebenarnya berasal dari penjahat siber.
Gunakan Otentikasi Anti-Phishing dari VIDA
Untuk menjawab tantangan keamanan OTP, VIDA menawarkan solusi autentikasi yang lebih aman dan tahan terhadap phishing:
1. VIDA PhoneToken
VIDA PhoneToken menggunakan teknologi Public Key Infrastructure (PKI) untuk mengikat identitas pengguna dengan perangkat yang digunakan. Tanpa OTP, proses autentikasi tetap aman karena hanya perangkat yang terdaftar yang dapat digunakan untuk login.
2. VIDA FaceToken
VIDA FaceToken menggabungkan liveness detection, face matching, dan device authentication untuk memastikan hanya wajah asli yang bisa mengakses akun.
Dengan kedua solusi ini, proses login dan transaksi tidak lagi bergantung pada OTP yang bisa disalahgunakan.
Verifikasi OTP memang masih banyak digunakan karena masyarakat belum menyadari risiko di baliknya. Sayangnya, peningkatan teknik penipuan siber membuat keamanan verifikasi OTP harus dipertanyakan. Agar lebih aman, beralih ke verifikasi tanpa OTP seperti FaceToken dan PhoneToken.