OTP SMS: Kelemahan dan Alasan Mengapa Masih Banyak Digunakan
loading...
A
A
A
JAKARTA - Selain kredensial seperti username dan password, penyedia layanan menambahkan satu layer perlindungan bagi pengguna agar lebih aman. Yakni OTP atau One Time Password. OTP yang secara de facto paling populer digunakan untuk melindungi kredensial adalah OTP menggunakan SMS.
Meski demikian, pakar keamanan siber Alfons Tanujaya menyebut bahwa OTP SMS justru paling lemah.
“OTP SMS kurang aman karena memanfaatkan protokol jadul SMS yang tidak terenkripsi. Sehingga bisa disadap dan dibaca ditengah jalan. Buktinya adalah APK pencuri SMS yang bisa membaca dan memforwardkan OTP SMS ke telegram penipu,” ungkapnya.
Selain itu, jika kartu SIM ponsel berhasil dikuasai orang lain, baik karena SIM Swap atau pengguna kartu prabayar yang melewati masa tenggang dan nomornya dijual kembali, maka OTP SMS ini tentu akan bisa dikuasai dan dibaca oleh pemegang kartu baru dan digunakan untuk mengeksploitasi akun yang bukan haknya.
OTP SMS paling banyak digunakan karena kemudahan penggunaannya dibandingkan OTP lain dimana layanan SMS sudah otomatis tersedia pada setiap nomor ponsel yang aktif. Nah, lakukan ini untuk melindungi OTP SMS:
1. Lindungi ponsel Anda dari akses ilegal menggunakan PIN / password yang baik atau perlindungan biometrik.
2. Jika Anda mengganti nomor ponsel, ingat harus ganti semua layanan OTP Anda khususnya layanan finansial seperti mobile banking, dompet digital, akun penting seperti email utama dan akun media sosial penting yang menggunakan OTP SMS.
3. Hindari menggunakan kartu pra bayar dan usahakan gunakan kartu pasca bayar pada nomor OTP dan jangan pernah terlambat membayar tagihan ponsel yang akan berakibat nomor dinonaktifkan. Jika terpaksa menggunakan kartu prabayar, pastikan kartu selalu dalam kekuasaan anda dan tidak pernah melewati masa tenggang.
4. Sekalipun Anda menggunakan kartu pasca bayar, ancaman APK pencuri SMS tetap berbahaya karena itu pengguna Android harus ektra hati-hati dengan APK pencuri SMS yang memalsukan dirinya sebagai APK : Kurir Online, Undangan Pernikahan, Surat Tilang atau Tagihan Pajak.
5. Gunakan program antivirus seperti GData Mobile Security dan pastikan Anda tidak pernah menginstal aplikasi dari luar Play Store.
Nonaktifkan pilihan fitur "instal unkown apps" atau "instal dari sumber tidak dikenal" pada Android.
6. Hati-hati dengan phishing dengan berbagai macam trik "ancaman" seperti ancaman kenaikan biaya transfer, ancaman blokir akun dari pengelola layanan. Pengguna Android dan iPhone sama rentannya dari ancaman ini. Penipu akan mengelabui korbannya memasukkan kredensial dan OTP yang jika dituruti akan berakibat eksploitasi akun medsos, email atau mobile banking korbannya.
7. Bank menambahkan verifikasi fisik tambahan seperti mengunjungi CS, verifikasi ke mesin ATM, face recognition atau verifikasi ketat call center menghubungi dan jangan hanya bergantung pada OTP SMS "setiap kali" mobile banking berganti nomor ponsel / ponsel. Hal ini akan mencegah akun mobile banking diambilalih sekalipun kredensial dan OTP SMS berhasildicuri.
Meski demikian, pakar keamanan siber Alfons Tanujaya menyebut bahwa OTP SMS justru paling lemah.
“OTP SMS kurang aman karena memanfaatkan protokol jadul SMS yang tidak terenkripsi. Sehingga bisa disadap dan dibaca ditengah jalan. Buktinya adalah APK pencuri SMS yang bisa membaca dan memforwardkan OTP SMS ke telegram penipu,” ungkapnya.
Selain itu, jika kartu SIM ponsel berhasil dikuasai orang lain, baik karena SIM Swap atau pengguna kartu prabayar yang melewati masa tenggang dan nomornya dijual kembali, maka OTP SMS ini tentu akan bisa dikuasai dan dibaca oleh pemegang kartu baru dan digunakan untuk mengeksploitasi akun yang bukan haknya.
Mengapa OTP SMS termasuk yang paling lemah tetapi tetap digunakan?
Meskipun OTP SMS rentan disadap dan mudah dieksploitasi, namun kenyataannya penggunaannya paling banyak dibandingkan metode OTP lain seperti Kalkulator Token yang lebih mahal karena harus membeli kalkulator token fisik atau Aplikasi Otentikasi seperti Google Authenticator atau Authy yang gratis tetapi sedikit lebih rumit dibandingkan OTP SMS.OTP SMS paling banyak digunakan karena kemudahan penggunaannya dibandingkan OTP lain dimana layanan SMS sudah otomatis tersedia pada setiap nomor ponsel yang aktif. Nah, lakukan ini untuk melindungi OTP SMS:
1. Lindungi ponsel Anda dari akses ilegal menggunakan PIN / password yang baik atau perlindungan biometrik.
2. Jika Anda mengganti nomor ponsel, ingat harus ganti semua layanan OTP Anda khususnya layanan finansial seperti mobile banking, dompet digital, akun penting seperti email utama dan akun media sosial penting yang menggunakan OTP SMS.
3. Hindari menggunakan kartu pra bayar dan usahakan gunakan kartu pasca bayar pada nomor OTP dan jangan pernah terlambat membayar tagihan ponsel yang akan berakibat nomor dinonaktifkan. Jika terpaksa menggunakan kartu prabayar, pastikan kartu selalu dalam kekuasaan anda dan tidak pernah melewati masa tenggang.
4. Sekalipun Anda menggunakan kartu pasca bayar, ancaman APK pencuri SMS tetap berbahaya karena itu pengguna Android harus ektra hati-hati dengan APK pencuri SMS yang memalsukan dirinya sebagai APK : Kurir Online, Undangan Pernikahan, Surat Tilang atau Tagihan Pajak.
5. Gunakan program antivirus seperti GData Mobile Security dan pastikan Anda tidak pernah menginstal aplikasi dari luar Play Store.
Nonaktifkan pilihan fitur "instal unkown apps" atau "instal dari sumber tidak dikenal" pada Android.
6. Hati-hati dengan phishing dengan berbagai macam trik "ancaman" seperti ancaman kenaikan biaya transfer, ancaman blokir akun dari pengelola layanan. Pengguna Android dan iPhone sama rentannya dari ancaman ini. Penipu akan mengelabui korbannya memasukkan kredensial dan OTP yang jika dituruti akan berakibat eksploitasi akun medsos, email atau mobile banking korbannya.
7. Bank menambahkan verifikasi fisik tambahan seperti mengunjungi CS, verifikasi ke mesin ATM, face recognition atau verifikasi ketat call center menghubungi dan jangan hanya bergantung pada OTP SMS "setiap kali" mobile banking berganti nomor ponsel / ponsel. Hal ini akan mencegah akun mobile banking diambilalih sekalipun kredensial dan OTP SMS berhasildicuri.
(dan)