Foto: BBC MagazineJakarta - Industri finansial yaitu salah satu yang mendapatkan manfaat besar dari adanya internet.
Dengan adanya layanan internet banking akan mengurangi beban kerja dan biaya transaksi bank dimana tanpa perlu menambahkan cabang, karyawan front office dan back office gres perbankan sanggup memperlihatkan pemanis jasa layanan perbankan untuk semua nasabahnya.
Bahkan dalam beberapa aspek layanan yang diberikan lebih baik daripada layanan kantor fisik alasannya yaitu server internet banking yang sanggup melayani nasabah tanpa lelah hampir 24 jam dengan biaya yang sangat minimal dan jangkauan yang sangat luas, seluas jangkauan kanal internet, yaitu seluruh dunia.
Namun fasilitas dan kenyamanan yang terjadi dikala ini tolong-menolong melalui proses panjang dan tidak terjadi dalam semalam. Masih segar dalam ingatan kita bahwa Indonesia pernah menjadi nirwana carder dimana data kartu kredit yang dicuri dipakai untuk berbelanja dan dikirimkan ke alamat di Indonesia dan sempat menciptakan Indonesia masuk blacklist sehingga hampir semua transaksi belanja online dari Indonesia ditolak.
Di sisi internet banking, pada awal kemunculannya siapa yang tidak khawatir kalau uangnya yang didapatkan dengan susah payah menjadi korban pencurian alasannya yaitu password login dan transaksi yang berhasil di retas.
Sebenarnya, kunci permasalahannya dikala itu yaitu perbedaan pengelolaan sistem kependudukan dimana di banyak negara maju, identifikasi tunggal untuk penduduknya berjalan dengan baik sehingga sulit dipakai untuk melaksanakan kejahatan internet dan hal tersebut berbeda di Indonesia alasannya yaitu sistem kependudukan yang masih masih lemah dan memungkinkan terjadinya kartu identitas aspal.
Tingginya bahaya keamanan tersebut menyebabkan kendala pada pemanfaatan internet untuk industri finansial sehingga memaksa para praktisi sekuriti memutar otak bagaimana cara mengamankan transaksi keuangan yang efektif.
Berbagai macam metode dicoba tanpa hasil yang memuaskan hingga ditemukan metode yang sanggup dikatakan sebagai titik balik pengamanan transaksi finansial TFA dan OTP.
TFA dan OTP
Pengamanan TFA, Two Factor Authentication atau otentikasi dua faktor yang digabungkan dengan OTP, One Time Password, merupakan titik balik baik dalam pengamanan internet banking maupun transaksi kartu kredit online.
Pertama kali diimplementasikan oleh salah satu bank swasta nasional Indonesia semenjak awal tahun 2.000, implementasi TFA ini membutuhkan waktu beberapa usang untuk diadopsi dan pelan namun niscaya pemberian TFA ini diadopsi oleh bank lain di Indonesia dan menjadi standar pengamanan internet banking alasannya yaitu terbukti efektif dan sangat sulit untuk ditembus.
Rahasia kesaktian TFA ini yaitu alasannya yaitu ia menerapkan OTP One Time Password alias password sekali pakai untuk menyetujui transaksi internet banking sehingga sekalipun komputer pengguna internet banking terinfeksi keylogger, tanpa kanal terhadap token OTP, peretas tidak akan sanggup memvalidasi transaksi internet banking ibarat melaksanakan pembayaran atau transfer uang.
Urutan angka yang muncul dalam OTP One Time Password ini diatur menurut sinkronisasi dengan waktu dan urutan angka OTP unik untuk setiap akun bank hanya diketahui oleh token OTP dan server OTP penyedia layanan internet banking.
Pada prinsipnya, sistem OTP di token yaitu urutan angka yang akan muncul menurut waktu dengan rumusan tertentu yang telah ditetapkan dan disinkronisasikan antara server OTP dengan token OTP. Bagusnya lagi implementasinya tidak harus melalui token. Implementasi OTP sanggup dilakukan memakai aplikasi pada gawai atau memanfaatkan SMS.
Secara teknis, OTP melalui SMS lebih rentan terhadap bahaya sekuriti dibandingkan OTP kalkulator token alasannya yaitu SMS masih mungkin disadap atau dicuri dengan malware dan membutuhkan biaya pengiriman SMS setiap kali otorisasi, namun mempunyai keunggulan biaya yang lebih rendah dibandingkan kalkulator token alasannya yaitu tidak membutuhkan investasi dan distribusi token kepada penggunanya.
Selain itu penetrasi SMS sudah sangat luas dimana seluruh pemilik gawai baik yang smart maupun yang kurang smart akan sanggup mendapatkan SMS. Jadi, kalau ada penyedia layanan internet banking dengan OTP SMS yang mengklaim lebih kondusif dari bank lain yang memakai sistem token, hal ini patut dipertanyakan.
 Gambar 1, TFA – OTP via SMS yang dinamai mTOKEN oleh salah satu bank nasional |
Selain internet banking, penyedia layanan kartu kredit juga menikmati laba besar dengan adanya internet alasannya yaitu tingginya pertumbuhan online shopping yang tentunya membutuhkan sistem pembayaran.
Salah satu sistem pembayaran yang gampang dan umum dipakai yaitu kartu kredit. Namun, sama dengan internet banking, mengandalkan data diam-diam dan kredensial saja tidak cukup alasannya yaitu trojan dan keylogger sanggup merekam semua informasi yang dimasukkan oleh pengguna kartu kredit, baik nomor kartu, nama pemegang kartu, tanggal jatuh tempo, nama gadis ibu kandung, alamat penagihan atau CVV code sekalipun sekali diketikkan di komputer yang terinfeksi keylogger akan eksklusif diketahui dan direkam.
Karena itulah implementasi TFA-OTP menjadi pengaman yang efektif untuk mengamankan transaksi kartu kredit. Dalam hal ini, dua penerbit kartu kredit terbesar dunia Mastercard dan Visa menentukan mengirimkan OTP ke nomor HP yang didaftarkan pemilik kartu melalui USSD Code atau SMS ibarat nama produk 3D Secure.
 Gambar 2, Permintaan OTP untuk persetujuan transaksi |
 Gambar 3, OTP persetujuan transaksi yang dikirimkan ke ponsel via USSD Foto: dok. Vaksincom |
Tidak sanggup disangkal implementasi TFA dengan OTP inilah yang berhasil mengamankan transaksi finasial baik di kalangan perbankan dan kartu kredit dengan baik. Dan hal ini memperlihatkan dampak yang signifikan pada pertumbuhan layanan jasa perbankan dan transaksi e-commmerce.
Memang ada perjuangan untuk mengakali sistem pengamanan TFA ini ibarat kasus Sinkronisasi Token dan kasus pemalsuan SIM Card yang berhasil mengambil dana pelanggan.
Namun agresi tersebut terjadi bukan alasannya yaitu kelemahan pengamanan TFA – OTP melainkan pemanfaatan kelemahan pada sisi pelanggan (rekayasa sosial) dan kelemahan dalam sistem kependudukan dan penggantian SIM Card. Sistim pengamanan TFA – OTP hingga hari ini masih merupakan pengamanan terbaik untuk mengamankan kredensial.
Dalam goresan pena berikutnya, Vaksincom akan memperlihatkan uraian bagaimana TFA-OTP ini diimplementasikan untuk mengamankan akun penting anda ibarat Facebook, Gmail dan Twitter.
Akun yang diamankan dengan TFA-OTP ini menjadi kebal dari pencurian sekalipun kredensial (username dan password) berhasil diketahui oleh peretas. Dan kabar baiknya, pengamanan yang dilakukan tersebut tidak memerlukan biaya pemanis apapun.
Saatnya juga bagi anda untuk mulai mempertimbangkan implementasi TFA pada sistem kredensial korporat, kalau anda mempunyai aset digital penting yang diakses banyak pengguna dengan kredensial standar, Vaksincom menyarankan anda untuk meingimplementasikan TFA-OTP sesegera mungkin.
Tulisan ini merupakan artikel kedua dari tiga goresan pena berseri.
Baca juga: Senjakala Password
Salam,
Alfons Tanujaya
Klik di sini untuk mengirimkan pertanyaan yang ingin dikonsultasikan dengan kami. Konsultasi seputar gadget, fotografi, internet security dan cyberlife.
Post a Comment