JAKARTA - Kasus peretasan dan pencurian data pribadi pengguna kembali terjadi, terbaru startup fintech Cermati.com dan RedMart milik Lazada dikabarkan telah dibobol. Lantas apa yang harus dilakukan untuk mengamankan aset penting di platform digital?
"Pengguna harus pastikan layanan (e-commerce) menggunakan Two Factor Authentication (TFA) atau One Time Password (OTP) dan jangan menggunakan password yang sama untuk berbagai akun atau layanan," ungkap Pengamat keamanan siber dari Vaksin.com Alfons Tanujaya saat dihubungi VOI, Senin 2 November.
Dijelaskan Alfons, OTP masih diakui sebagai salah satu metode pengamanan tambahan yang paling efektif pada sebuah layanan. Sementara password dalam bentuk kombinasi huruf, angka (PIN), menjadi kunci pribadi untuk mengakses akun.
Bila diibaratkan penggunaan PIN dan OTP dalam satu platform aplikasi memberikan keamanan ekstra yang lebih ketat. Sebab penerapan sistem keamanan semacam ini membuat pengguna mendapatkan lapisan ekstra sehingga sulit untuk dieksploitasi.
"Jadi jika ada aplikasi yang menggunakan PIN untuk mengamankan OTP, kira-kira seperti menggunakan mobil Jeep Wilis dalam perang untuk melindungi tank," imbuhnya.
BACA JUGA:
Kendati unggul dalam memberikan perlindungan ekstra, Alfons juga mengingatkan setiap pengguna untuk tidak menggunakan satu kode PIN atau Password yang sama untuk melindungi banyak akun berbeda. Sebab penggunaan kode PIN yang sama dan berulang memungkinkan celah keamanan untuk dieksploitasi.
"Celakanya, jika salah satu akun saja yang digunakan bocor, seperti yang dialami oleh Linkedin dan Yahoo yang mengalami kebocoran database pengguna dan tersebar di dunia maya," lanjutnya.
Dengan demikian kebocoran kredensial dan kerugiannya bisa sangat besar bagi pemilik akun. Lantaran satu akun terintegrasi menggunakan alamat email yang sama, sehingga celah informasi yang bocor bisa dimanfaatkan.
Alfons menyarankan, bagi masyarakat yang memiliki akun digital baik di e-commerce atau layanan berbasis fintech untuk rutin mengganti password maupun kode PIN. Langkah ini baik dilakukan untuk meminimalisir risiko peretasan satu akun yang menyimpan aset digital pengguna.
"Untuk meminimalisir resiko dengan menyimpan dana atau saldo terbatas pada layanan ini, Anda bisa menggunakan layanan Two-Step-Verification untuk mengamankan akun yang sifatnya kredential," tutur Alfons.
Hal Lain yang Bisa Dilakukan
Umumnya akun yang diretas memiliki satu kelemahan, di mana pelaku harus mendapatkan akses kode OTP melalui pesan yang diterima korban. Sehingga tak jarang penipu biasanya berpura-pura menjadi pihak berwenang dengan macam tipu daya untuk mengelabui korbannya agar memberikan kode akses atau mengklik tautan verifikasi yang dikirimkan ke SMS sehingga akun berpindah tangan.
Untuk itu, kata Alfons, ada baiknya apabila pengguna diberi pilihan untuk tidak menerima SMS OTP. Dengan cara ini, pengguna dapat menghalau SMP Spam berupa OTP yang terus diminta oleh peretas.
"Di sini yang terjadi adalah terbalik di mana Two-Step Verification adalah PIN yang mengamankan OTP. Jadi secara teknis pengguna memiliki waktu untuk tidak memberikan kode atau mengakses tautan yang dikirimkan," ungkap Alfons.
Terlebih, jika SMS tersebut berisi tautan yang memverifikasi perpindahan akun. Jadi sebaik mungkin pengguna dapat menghindari pesan otomatis dan nomor tak dikenal meminta yang kode penting dari isi pesan tersebut.