Pada
saat ini,
pengamanan
transaksi yang
terpercaya
digunakan oleh
institusi
finansial
dunia adalah
TFA (Two
Factor
Authentication)
dengan salah
satu poros
pengamanan
pada OTP (One
Time
Password). OTP
bersama dengan
Enkripsi SSL
merupakan
tulang
punggung
pengamanan
transaksi
finansial.
Malahan
penyedia jasa
internet
sekelas
Googlepun
tidak
ketinggalan
menggunakannya
untuk
melindungi
pengguna
layanannya.
Verifikasi
identitas yang
menggunakan
OTP sendiripun
banyak
variasinya :
-
OTP menggunakan token / kalkulator PIN.
-
OTP yang dikirimkan melalui SMS dan disimpan dalam waktu tertentu.
-
OTP yang menggunakan aplikasi / apps.
Selain
OTP ada
verifikasi
identitas lain
yang lazim
digunakan
seperti :
-
Verifikasi kredensial (username dan password).
-
Verifikasi melalui email.
-
Verifikasi melalui SMS atau telepon.
-
Verifikasi melalu Twitter atau layanan pihak ke tiga lainnya.
Semua
pengamanan
tersebut di
atas bertujuan
untuk
mengidentifikasi
pengguna
layanan dan
mempersulit
kriminal untuk
mencuri
kredensial
serta
menggunakannya
untuk
kepentingan
negatif.
Secara
teoritis,
banyak orang
berpikir bahwa
banyaknya
jumlah
verifikasi
identitas
berbanding
lurus dengan
tingkat
keamanan. Yang
jelas, makin
banyak jumlah
verifikasi
mengakibatkan
penambahan
proses dan
berbanding
lurus dengan
ketidaknyamanan.
Sebaliknya,
pemilihan
verifikasi
identitas yang
tidak tepat,
seberapa
banyakpun
jumlahnya
terkadang
tidak membuat
lebih aman
dari sedikit
verifikasi
identitas yang
tepat.
Ibaratnya
lebih baik
anda memilih
herder untuk
menjaga
kawanan domba
dari serangan
srigala
daripada
menggunakan
cihuahua dan
pincher.
Dibandingkan
dengan
otentikasi
lainnya,
verifikasi
identitas OTP,
khususnya yang
menggunakan
token /
kalkulator PIN
termasuk yang
paling aman
dan anti sadap
(kecuali
menggunakan
kamera CCTV
:p). Faktor
utamanya
adalah karena
sifat token /
kalkulator PIN
yang offline
dan tidak ada
jaringan /
pihak ketiga
yang terlibat
dalam
pengiriman OTP
ke token.
Selain itu,
penggunaan
kalkulator
token yang
disediakan
oleh bank
memungkinkan
kontrol penuh
dan
penyeragaman
terhadap
proses
otentikasi /
sisdur bank.
Seperti
pengguna token
harus
memasukkan
password unik
yang
(harusnya)
hanya
diketahui oleh
dirinya
sendiri guna
mengakses
token. Proses
ini lebih aman
daripada OTP
menggunakan
apps di
smartphone
dimana pihak
bank tidak
memiliki
wewenang untuk
memaksakan
bahwa
smartphone
harus selalu
dipassword.
Selain itu,
motivasi orang
mencuri
smartphone
lebih tinggi
daripada
mencuri token
PIN.
Otentikasi
melalui
username
password,
email, sms dan
layanan pihak
ketiga lainnya
memiliki
ketergantungan
atas jaringan
yang tidak
terjamin
ketersediaan
sepanjang
waktu dan
masalah
cakupan area.
Penggunaan
perangkat
keras seperti
komputer dan
smartphone
rentan
terhadap
peretasan.
Seperti kita
ketahui,
banyak trojan
yang memiliki
kemampuan
keylogger dan
data yang
ditransmisikan
melalui
jaringan
internet mudah
disadap.
Penggunaan
jaringan
telekomunikasi
milik operator
juga tidak
menjamin
antisadap,
selain itu
data yang
dikirimkan
melalui SMS /
suara tetap
harus melalui
server
operator,
menambahkan
lagi satu
faktor
kerentanan.
Sebaliknya
token /
kalkulator PIN
yang sudah
dikalibrasi
satu kali
dengan server
PIN sudah
tidak perlu
terhubung lagi
ke internet /
jaringan dan
masing-masing
sudah
mengetahui
urutan PIN
untuk
verifikasi
berdasarkan
waktu / time
based.
Penulis
mengalami
sendiri
pilihan
verifikasi
yang tujuannya
mungkin untuk
mendapatkan
keamanan
maksimum,
namun yang
terjadi adalah
ketidaknyamanan
yang
mengakibatkan
layanan yang
seharusnya
bisa
diotentikasi
dengan sangat
cepat dan
mudah menjadi
terhambat.
Pada salah
satu bank
swasta
nasional, guna
menggunakan
layanan baru,
pendaftar
harus melalui
tahap
verifikasi.
Hal tersebut
tentunya
wajar, guna
memastikan
apakah benar
si pemilik
rekening benar
mendaftarkan
diri untuk
layanan
tersebut.
Sebenarnya
pihak bank
sudah memiliki
segala
perangkat yang
diperlukan,
token PIN,
username dan
password
pengguna
internet
banking yang
unik, serta
pengamanan
https guna
melindungi
transmisi
informasi dari
penyadapan.
Semua
perangkat
untuk
menjalankan
TFA sudah
tersedia.
Namun,
alih-alih
menggunakan
perangkat yang
sudah ada dan
terbukti
handal, pihak
bank malah
menambahkan 2
faktor
otentikasi
lagi.
Pengiriman
kode aktivasi
melalui email
DAN kode
aktivasi SMS.
(lihat gambar
di bawah)
Proses
aktivasi 4
factor
authentication
oleh salah
satu bank
swasta
Jadi,
untuk
mengaktivasi
layanan baru
ini,
persyaratannya
adalah :
-
Username dan password akun bank.
-
Token internet banking.
-
Email activation code.
-
Cellular phone activation code.
Jadi
bukan TFA Two
Factor
Authentication
yang digunakan
untuk aktivasi
layanan ini
melainkan FFA
alias Four
Factor
Authentication.
Selain harus
mengetahui
kredensial
akun bank, PIN
token internet
banking yang
hanya
diketahui oleh
server
internet
banking dan
pemilik token,
bank masih
meminta
konfirmasi
kredensial
dari email dan
SMS yang
secara teknis
lebih lemah
tingkat
sekuritinya
daripada
token.
Ibaratnya
meminta
cihuahua dan
pincher ikut
menjaga
kawanan domba
yang sudah
dijaga oleh
herder.
Disinilah
masalah mulai
terjadi.
Pertama-tama,
email
activation
code yang
dikirimkan
oleh server
internet
banking
dimasukkan
sebagai SPAM
oleh
mailserver
Gmail dan
sekalipun
sudah di
kirimkan
berulang-ulang
tidak ada di
mailbox,
seharusnya
administrator
mailserver
domain bank
melakukan
komunikasi dan
maintenance
untuk mencegah
domainnya
dimasukkan ke
dalam
blacklist /
SPAM. Setelah
masalah ini
diatasi,
muncul lagi
masalah lain
dimana SMS
yang
seharusnya
dikirimkan ke
nomor telepon
penulis sampai
lebih dari 24
jam tidak
terkirim sama
sekali.
Akibatnya
proses
aktivasi tidak
bisa dilakukan
dan layanan
tidak bisa
digunakan.
Harusnya
bank memiliki
contingency
plan dan bisa
mengantisipasi
hal ini dan
bisa melakukan
aktivasi
melalui
telepon dengan
melakukan
verifikasi,
namun setelah
call center
dihubungi
melalui
telepon
sebanyak 2
kali dan email
2 kali,
jawaban yang
didapatkan
seperti tempat
ibadah,
diminta
menjadi orang
sabar :
�Terimakasih
sudah
menghubungi
kami, mohon
kesabarannya
untuk
menunggu�
Jika
anda adalah
pembuat
keputusan di
bank, penulis
ingin
memberikan
sedikit
pandangan.
Jika anda
memiliki
kawanan domba
dan anda
memiliki
Herder,
Cihuahua dan
Pincher.
Jangan gunakan
ketiganya
untuk menjaga
kawanan domba
anda. Mungkin
anda bisa
menggunakan
Herder sebagai
pertahanan
terakhir dari
srigala,
sedangkan
Pincher dan
Cihuahua
digunakan
untuk
memberitahu
Herder kalau
ada srigala
datang
sehingga
meringankan
tugas Herder.
Email dan SMS
jika digunakan
secara efektif
dapat menjadi
early warning
atas transaksi
tidak normal
pada akun
pelanggan.
Jangan
digunakan
sebagai
tambahan
faktor
otentikasi
yang sudah
aman dimana
akhirnya hanya
akan
menambahkan
birokrasi yang
tidak perlu
daripada
memberikan
tambahan
pengamanan.
Yang akan
terjadi
bukannya
"Nasabah Puas
Anda Lemas"
tetapi "Sisdur
Puas Nasabah
Lemas".
Salam,
Alfons
Tanujaya
info@vaksin.com
Tidak ada komentar:
Posting Komentar