Mana yang Lebih Aman? Kode OTP yang Dikirim SMS atau Lewat WhatsApp
JAKARTA - One-Time Password atau OTP merupakan kata sandi acak yang biasa dikirimkan toko e-commerce atau perbankan sebagai kode autentifikasi pemilik akun. Terkadang OTP akan dikirimkan melalui SMS atau aplikasi pesan instan seperti WhatsApp.
Pasalnya belakangan, beberapa e-commerce dan perbankan mulai mengalihkan pengiriman kode OTP dari SMS ke layanan over the top (OTT) seperti WhatsApp, Line, dan Telegram. Hal ini dinilai lebih efisien dan memudahkan penerima kode OTP untuk menjaga akun dari masalah, seperti pencurian dan penyalahgunaan atas akun tersebut.
Baca juga:
Lantas apakah mengalihkan pengiriman kode OTP dari SMS ke platform OTT seperti WhatsApp akan lebih aman? Menurut pakar keamanan cyber, Ruby Alamsyah, pengiriman pesan melalui layanan OTT jutru rentan dibajak dan diambil alih oleh orang tak bertanggung jawab.
"Jika alasannya bank tidak percaya kepada pihak ketiga karena ada isu SIM swap kemarin, maka alasan keamanan belum tentu sesuai untuk melakukan migrasi pengiriman kode OTP dari SMS ke OTT pesan instan. Sebab platform pesan instan tersebut disediakan oleh pihak ke tiga," kata Ruby dalam keterangan yang diterima VOI, Selasa, 18 Agustus.
Dijelaskan Ruby, layanan pesan instan memang dilengkapi dengan fitur enkripsi end-to-end, sehingga tidak ada yang bisa membaca pesan kecuali pengirim dan penerima. Namun, perlu diperhatikan jika aplikasi pesan instan masih bisa diambil alih oleh peretas.
Sebab, layanan pengiriman pesan SMS disediakan langsung oleh operator telekomunikasi, dengan kata lain pelaku kriminal harus melakukan SIM Swap dari nomor yang didaftarkan pemilik akun. Sedangkan platform OTT dari layanan pesan instan tidak ada intervensi dari operator dan secara teori, kode OTP akan langsung sampai ke tangan pengguna.
"Menguasai aplikasi OTT pesan instan jauh lebih mudah ketimbang menguasai SMS," imbuhnya.
Ruby berpendapat jika alasan mengalihkan kode OTP ke pesan instan adalah efisiensi dan harga, hal tersebut bersifat relatif. Namun yang harus diingat adalah peraturan bank Indonesia menyebutkan dengan jelas bahwa dalam mengirimkan OTP atau melakukan transaksi melalui channel elektronik, perbankan harus bisa memastikan seluruh jaringan yang dipergunakan aman.
Dirinya berharap pihak-pihak perbankan maupun e-commerce dapat mengutamakan faktor keamanan pelanggan di atas faktor lainnya. Sehingga jangan sampai masyarakat dirugikan. Dan juga jangan sampai nantinya perbankan menyalahkan masyarakat jika ada pembobolan rekening nasabah akibat OTP yang dikirimkan melalui OTT pesan instan.
"Jangan sampai di kemudian hari nantinya perbankan dan e-commerce menyalahkan pelanggan yang tidak mengamankan aplikasi OTT pesan instan," tutup Ruby.