Memilih Transaksi Digital yang Tak Mudah Diretas
20 May 2021 |
10:20 WIB
Genhype pasti sudah biasa bertransaksi pembayaran secara online atau sekadar melakukan login pada suatu website penjualan kan. Nah, sebagai pengaman transaksi, penyelenggara menggunakan pengaman otnetifikasi dua faktor atau lebih dikenal sebagai two-factor authentication (2FA).
Namun, Kalian mungkin sering mendengar berita tentang rekening nasabah layanan perbankan digital atau tekfin yang diretas. Padahal sebenarnya pihak penyedia layanan sudah melindungi akun nasabah secara maksimal, antara lain dengan otentikasi dwifaktor tersebut. Biasanya metode yang sering digunakan penyedia layanan daring di Indonesia adalah One-Time Password (OTP).
Salah satu penyebab masalahnya adalah pengguna belum memahami benar konsep perlindungan 2FA yang digunakan oleh layanan online. Karena itu, mereka mau saja memberikan informasi rahasia yang seharusnya hanya diketahui oleh mereka sendiri.
Padahal biasanya mereka sudah diwanti-wanti agar tidak memberikan informasi tersebut kepada siapa pun.
Karena itu ada baiknya kita melihat lagi konsep otentikasi dwifaktor, dan apa yang harus dilakukan agar perlindungan ini dapat berfungsi maksimal.
Konsep Dasar
Banyak layanan daring dapat diakses hanya dengan memberikan kata sandi (password). Ini berarti kita cukup memberikan satu keping informasi saja untuk dapat mengakses layanan tersebut.
Metode otentikasi seperti ini rawan terhadap peretasan, terutama bila pengguna sering mendaur ulang kata sandi, alias menggunakan kata sandi yang sama di semua layanan daring.
Suatu layanan daring mungkin sudah mengamankan data pribadi penggunanya dengan maksimal. Namun akun pengguna tersebut tetap dapat diretas bila si penjahat sudah mengetahui kata sandi itu dengan meretas situs web lain yang pengamanannya lebih lemah.
Kita sering membaca berita bahwa data pribadi pengguna berbagai layanan daring populer di Indonesia dicuri. Salah satu informasi berharga di sini adalah kata sandi pengguna. Para peretas dapat memanfaatkan informasi kata sandi ini untuk mencoba meretas akun pengguna tersebut di layanan digital lain.
Masalah ini dapat diatasi dengan otentikasi dwifaktor. Dalam hal ini, pengguna tidak cukup hanya memberikan kata sandi untuk mengakses atau melakukan transaksi penting, tetapi juga memberikan keping informasi (faktor) lain.
Otentikasi dwifaktor didasarkan pada gagasan bahwa untuk dapat membuka akses terhadap suatu layanan, pengguna harus memberikan beberapa keping informasi yang terpisah. Contoh terbaik adalah nasabah perbankan yang ingin mengambil uang tunai di ATM (anjungan tunai mandiri).
Di mesin ATM tersebut, nasabah tidak cukup hanya membawa kartu, tetapi juga memasukkan PIN (personal identification number).
Bila nasabah tidak membawa kartu, dia tidak bisa mengambil uang tunai. Sebaliknya, orang yang berhasil mencuri atau merampas kartu, tetapi tidak mengetahui PIN, juga tidak dapat menarik uang nasabah tersebut.
Kita dapat menyebutkan bahwa terdapat dua faktor yang dipisahkan, yaitu apa yang dibawa (what you have), berupa kartu ATM, serta dan apa yang diketahui (what you know), yaitu PIN.
Pemisahan dua faktor ini mengurangi risiko suatu layanan diakses oleh orang yang tidak berhak. Orang yang hendak meretas kemungkinan dapat mengakses salah satu faktor ini, tetapi sangat sulit untuk mendapatkan keduanya.
Konsep ini juga diterapkan dalam transaksi daring, tetapi dengan metode berbeda. Misalnya, untuk membuka aplikasi Anda harus melakukan otentikasi dengan memasukkan kata sandi, ataupun memindai sidik jari. Ini memberikan informasi (what you know) atau identitas (what you are) sebagai faktor pertama.
Berikutnya, kita harus memasukkan one-time password (OTP) yang dikirimkan ke ponsel milik Anda sebagai faktor kedua (what you have). Seseorang bisa saja berhasil mengakses kata sandi Anda, tetapi akan terhalangi karena harus memasukkan OTP, yang dikirim hanya ke ponsel Anda.
Tidak hanya OTP
Pada praktiknya otentikasi 2FA dengan OTP yang dikirimkan ke SMS tetap saja rentan diakali penjahat. Pada saat ini penjahat lebih banyak melakukan rekayasa sosial (social engineering), misalnya dengan berpura-pura menjadi pegawai bank atau lembaga lainnya untuk mendapatkan OTP.
Namun, peretasan yang lebih canggih adalah dengan melakukan penyadapan terhadap SMS itu sendiri. Salah satu yang pernah dilakukan adalah SIM swapping: peretas meminta operator telekomunikasi untuk membuatkan kartu SIM baru dengan nomor yang sama dengan milik orang yang menjadi sasaran peretas.
Pembuatan kartu SIM baru ini bisa terjadi baik lewat penipuan terhadap pegawai operator, ataupun memang akses terhadap orang dalam.
Untungnya OTP lewat SMS bukan satu-satunya cara untuk mengamankan akun Anda. Ada beberapa metode lain yang juga sudah lazim digunakan.
Pertama, menggunakan aplikasi otentikator, seperti Google Authenticator. Dengan cara ini kita mendapatkan OTP dari aplikasi, bukan dari SMS. Metode ini lebih aman, karena OTP tidak mungkin dibajak.
Metode lain yang juga mulai populer adalah kunci USB seperti produk dari Yubikey. Kunci USB ini berfungsi seperti kartu ATM, tetapi digunakan dengan komputer pribadi atau ponsel (lewat koneksi Bluetooth).
Alih-alih memasukkan OTP, pengguna cukup menancapkan kunci USB ke komputer atau menghubungkannya ke ponsel sebagai faktor kedua.
Editor: M R Purboyo
Namun, Kalian mungkin sering mendengar berita tentang rekening nasabah layanan perbankan digital atau tekfin yang diretas. Padahal sebenarnya pihak penyedia layanan sudah melindungi akun nasabah secara maksimal, antara lain dengan otentikasi dwifaktor tersebut. Biasanya metode yang sering digunakan penyedia layanan daring di Indonesia adalah One-Time Password (OTP).
Salah satu penyebab masalahnya adalah pengguna belum memahami benar konsep perlindungan 2FA yang digunakan oleh layanan online. Karena itu, mereka mau saja memberikan informasi rahasia yang seharusnya hanya diketahui oleh mereka sendiri.
Padahal biasanya mereka sudah diwanti-wanti agar tidak memberikan informasi tersebut kepada siapa pun.
Karena itu ada baiknya kita melihat lagi konsep otentikasi dwifaktor, dan apa yang harus dilakukan agar perlindungan ini dapat berfungsi maksimal.
Konsep Dasar
Banyak layanan daring dapat diakses hanya dengan memberikan kata sandi (password). Ini berarti kita cukup memberikan satu keping informasi saja untuk dapat mengakses layanan tersebut.
Metode otentikasi seperti ini rawan terhadap peretasan, terutama bila pengguna sering mendaur ulang kata sandi, alias menggunakan kata sandi yang sama di semua layanan daring.
Suatu layanan daring mungkin sudah mengamankan data pribadi penggunanya dengan maksimal. Namun akun pengguna tersebut tetap dapat diretas bila si penjahat sudah mengetahui kata sandi itu dengan meretas situs web lain yang pengamanannya lebih lemah.
Kita sering membaca berita bahwa data pribadi pengguna berbagai layanan daring populer di Indonesia dicuri. Salah satu informasi berharga di sini adalah kata sandi pengguna. Para peretas dapat memanfaatkan informasi kata sandi ini untuk mencoba meretas akun pengguna tersebut di layanan digital lain.
Masalah ini dapat diatasi dengan otentikasi dwifaktor. Dalam hal ini, pengguna tidak cukup hanya memberikan kata sandi untuk mengakses atau melakukan transaksi penting, tetapi juga memberikan keping informasi (faktor) lain.
Otentikasi dwifaktor didasarkan pada gagasan bahwa untuk dapat membuka akses terhadap suatu layanan, pengguna harus memberikan beberapa keping informasi yang terpisah. Contoh terbaik adalah nasabah perbankan yang ingin mengambil uang tunai di ATM (anjungan tunai mandiri).
Di mesin ATM tersebut, nasabah tidak cukup hanya membawa kartu, tetapi juga memasukkan PIN (personal identification number).
Bila nasabah tidak membawa kartu, dia tidak bisa mengambil uang tunai. Sebaliknya, orang yang berhasil mencuri atau merampas kartu, tetapi tidak mengetahui PIN, juga tidak dapat menarik uang nasabah tersebut.
Contoh kartu ATM/repro
Kita dapat menyebutkan bahwa terdapat dua faktor yang dipisahkan, yaitu apa yang dibawa (what you have), berupa kartu ATM, serta dan apa yang diketahui (what you know), yaitu PIN.
Pemisahan dua faktor ini mengurangi risiko suatu layanan diakses oleh orang yang tidak berhak. Orang yang hendak meretas kemungkinan dapat mengakses salah satu faktor ini, tetapi sangat sulit untuk mendapatkan keduanya.
Konsep ini juga diterapkan dalam transaksi daring, tetapi dengan metode berbeda. Misalnya, untuk membuka aplikasi Anda harus melakukan otentikasi dengan memasukkan kata sandi, ataupun memindai sidik jari. Ini memberikan informasi (what you know) atau identitas (what you are) sebagai faktor pertama.
Berikutnya, kita harus memasukkan one-time password (OTP) yang dikirimkan ke ponsel milik Anda sebagai faktor kedua (what you have). Seseorang bisa saja berhasil mengakses kata sandi Anda, tetapi akan terhalangi karena harus memasukkan OTP, yang dikirim hanya ke ponsel Anda.
Tidak hanya OTP
Pada praktiknya otentikasi 2FA dengan OTP yang dikirimkan ke SMS tetap saja rentan diakali penjahat. Pada saat ini penjahat lebih banyak melakukan rekayasa sosial (social engineering), misalnya dengan berpura-pura menjadi pegawai bank atau lembaga lainnya untuk mendapatkan OTP.
Namun, peretasan yang lebih canggih adalah dengan melakukan penyadapan terhadap SMS itu sendiri. Salah satu yang pernah dilakukan adalah SIM swapping: peretas meminta operator telekomunikasi untuk membuatkan kartu SIM baru dengan nomor yang sama dengan milik orang yang menjadi sasaran peretas.
Pembuatan kartu SIM baru ini bisa terjadi baik lewat penipuan terhadap pegawai operator, ataupun memang akses terhadap orang dalam.
Untungnya OTP lewat SMS bukan satu-satunya cara untuk mengamankan akun Anda. Ada beberapa metode lain yang juga sudah lazim digunakan.
Pertama, menggunakan aplikasi otentikator, seperti Google Authenticator. Dengan cara ini kita mendapatkan OTP dari aplikasi, bukan dari SMS. Metode ini lebih aman, karena OTP tidak mungkin dibajak.
Metode lain yang juga mulai populer adalah kunci USB seperti produk dari Yubikey. Kunci USB ini berfungsi seperti kartu ATM, tetapi digunakan dengan komputer pribadi atau ponsel (lewat koneksi Bluetooth).
Alih-alih memasukkan OTP, pengguna cukup menancapkan kunci USB ke komputer atau menghubungkannya ke ponsel sebagai faktor kedua.
Editor: M R Purboyo
Komentar
Silahkan Login terlebih dahulu untuk meninggalkan komentar.