.webp)
SUARAPEMERINTAH.ID – One Time Password atau OTP adalah kode keamanan yang dirancang untuk digunakan dalam satu upaya login, untuk meminimalkan risiko upaya login palsu dan menjaga keamanan yang tinggi. Ini adalah serangkaian karakter atau angka yang dibuat secara otomatis dan dikirim ke ponsel pengguna melalui SMS, Suara, atau pesan Push (push notification).
OTP atau dalam bahasa Indonesia, kode sekali pakai, telah menjadi metode standar di seluruh dunia untuk mengaktifkan login ketika keadaan khusus berlaku, seperti memvalidasi akun baru atau mengonfirmasi transaksi yang sah. Juga dikenal sebagai PIN satu kali, kode otorisasi satu kali (One-Time Authorization Code / OTAC), atau kata sandi dinamis, biasanya berupa enam digit nomor yang dikirim ke telepon pelanggan melalui pesan teks SMS, kemudian dimasukkan oleh pelanggan ke dalam situs atau aplikasi yang mereka mencoba masuk.
Mengapa Anda Menggunakan One Time Password atau OTP?
Jutaan OTP dikirim setiap hari ke seluruh dunia—dan sebagian besar dikirim melalui SMS. Alasannya bagus: orang-orang selalu memegang ponselnya 24 jam sehari, dan—sebagai barang pribadi yang berharga—ponsel biasanya digunakan oleh satu orang, sehingga ponsel ini merupakan saluran yang sangat baik untuk memastikan bahwa seseorang memang benar seperti yang mereka katakan.
Ide umum dari One Time Password adalah menambahkan autentikasi lapisan kedua agar tetap terdepan dalam melawan kejahatan dunia maya dan melindungi organisasi Anda dari dampak bencana penipuan pada bisnis Anda.
Risiko penipuan berkurang drastis jika pengguna tidak hanya harus mengisi nama pengguna dan kata sandinya (sesuatu yang dia ketahui) namun juga memerlukan sesuatu yang “dimilikinya” untuk menyelesaikan login. ‘Sesuatu’ ini adalah OTP yang dikirim ke smartphone pengguna. OTP hadir dalam berbagai bentuk dan ukuran, namun selalu menambahkan lapisan otentikasi tambahan.
Bagaimana Cara Kerja OTP?
OTP digunakan ketika suatu transaksi memerlukan keamanan tambahan atau metode alternatif untuk membuktikan identitas pelanggan. Ketika situasi yang diketahui muncul—pelanggan memerlukan pengingat kata sandi, bank mengonfirmasi transaksi di luar pola, dan banyak kasus lainnya (lihat di bawah)—permintaan OTP dibuat, baik oleh pelanggan itu sendiri atau oleh institusi.
OTP dihasilkan secara otomatis sebagai angka semi-acak atau rangkaian karakter. Tidak ada cara untuk memprediksi OTP sebelumnya; Selain itu, OTP biasanya memiliki batas waktu, hanya dapat digunakan selama beberapa menit.
Ada beberapa cara untuk mengirim OTP. Beberapa memberikan pilihan untuk menerima OTP melalui email, meskipun hal ini cenderung kurang aman. Penyedia lain bahkan mengaktifkan OTP sebagai pesan suara, menyatakan PIN dengan lantang saat pelanggan memeriksa kotak surat. Namun sejauh ini cara paling umum untuk mengirim OTP adalah melalui pesan seluler, biasanya berupa SMS ke ponsel pelanggan.
Contoh OTP
1. OTP sebagai Pesan SMS
Awalnya, sebagian besar OTP dikirim sebagai pesan SMS. Setelah pengguna memulai upaya loginnya, mengisi nama pengguna dan kata sandi yang benar, SMS OTP dikirimkan ke nomor ponsel yang terhubung ke akunnya. Pengguna kemudian memasukkan kode yang ditampilkan pada ponsel ini di layar login, menyelesaikan proses otentikasi.
2. OTP sebagai Pesan Suara
Alternatif One Time Password melalui SMS adalah Suara. Dengan Voice, kata sandi yang diucapkan diterima sebagai panggilan telepon di ponsel pengguna. Kata sandi tidak akan disimpan di ponsel pengguna dan Voice memungkinkan Anda menjangkau pengguna dengan penglihatan terbatas. Anda juga dapat menerapkan Suara sebagai cadangan jika SMS Anda tidak terkirim.
3. OTP sebagai Pemberitahuan Push
Proses Otentikasi Dua Faktor menggunakan One Time Passwords melalui Push mirip dengan SMS OTP. Dalam prosedur login ke lingkungan online Anda, kode yang dihasilkan secara otomatis dikirim sebagai pemberitahuan push ke Aplikasi Anda di ponsel pengguna. Kemudian pengguna harus menyalin kode itu ke layar login untuk memverifikasi identitasnya. Ini berarti Anda memerlukan aplikasi khusus.
Mengapa OTP Aman?
Meskipun terlihat sederhana, ada kedalaman teknologi yang mengejutkan dalam pengiriman OTP ke ponsel pelanggan. Meskipun OTP yang dikirim melalui SMS tidak dienkripsi saat transit, akan tetapi OTP memastikan hanya orang yang berwenang yang dapat menggunakannya.
OTP Menggunakan Praktik Terbaik yang Terbukti
Model umum untuk keamanan login, seperti Two Factor Authentication (TFA) dan Strong Customer Authentication (SCA), mengambil pendekatan yang menggabungkan banyak faktor, yang masing-masing tidak aman, dapat digabungkan untuk memungkinkan keamanan yang jauh lebih tinggi. Praktik ini tidak hanya terjadi pada OTP—ini adalah metode standar yang digunakan di seluruh industri keamanan.
Faktor dalam Otentikasi Multi-Faktor
Pada dasarnya, model ini menggabungkan apa yang dimiliki seseorang (misalnya ponsel pribadi) dengan apa yang diketahui seseorang (misalnya alamat emailnya sendiri) dan/atau siapa seseorang, termasuk pertanyaan tantangan seperti tempat lahir orang tua. Secara keseluruhan, kombinasi perangkat pribadi, kode akses semi-acak (OTP) dan “jendela” pendek untuk memasukkannya memenuhi banyak kasus penggunaan untuk login yang aman .
Pembuatan Kode OTP Terenkripsi
PIN yang masuk ke ponsel pelanggan tidak ada dalam daftar dan tidak disimpan dalam jangka waktu lama. Ini dihasilkan dengan cara yang sama seperti kunci kriptografi yang melindungi rekening bank: “one-way hash function / fungsi hash satu arah” yang melibatkan pembuatan dan penggandaan bilangan prima yang besar. Metode ini memiliki kualitas yang berguna: kode-kode tersebut relatif mudah untuk dibuat tetapi hampir tidak mungkin untuk “dilacak kembali”, atau mengetahui bagaimana kode tersebut dihasilkan dengan melihat hasilnya.
Artinya, OTP yang dilihat pelanggan benar-benar tidak dapat diprediksi: meskipun pelaku kejahatan memiliki daftar jutaan OTP, tidak ada “pola” yang memungkinkan dia mengetahui OTP apa yang akan dihasilkan untuk pelanggan tertentu di masa mendatang.
OTP Memiliki Batas Waktu
Selain alasan keamanan, umur simpan OTP juga sangat singkat: jarang lebih dari setengah jam, dan terkadang hanya beberapa menit. Dengan kata lain, situasi yang mereka jawab sangat terbatas waktu. Karena OTP amat tepat bagi pengguna yang sedang duduk di mejanya mencoba masuk ke akunnya, atau pelanggan yang berdiri di konter penjualan mengonfirmasikan bahwa pembayarannya sah.
Dan OTP Hanya Sekali Pakai!
Selain itu, OTP hanya dapat digunakan pada satu kesempatan saja. Setelah habis masa berlakunya, OTP tersebut tidak akan berguna lagi, dan OTP yang sama tidak dapat digunakan untuk login lebih dari satu kali bahkan dalam jangka waktu yang dapat digunakan: ini dikenal sebagai “non-replay”. Sekalipun OTP dapat dengan mudah diretas, faktor waktu ini membuat peretasan OTP menjadi tindakan yang hampir tidak ada gunanya.
Bagaimana Cara Mengirim OTP?
Tidak perlu menjadi jaringan seluler untuk menggunakan OTP. Penyedia seperti CM.com menawarkan OTP sebagai layanan, dengan platform aman untuk menerima atau memulai permintaan OTP, mengirimkan OTP sebagai teks atau saluran lain, dan memverifikasi OTP yang dimasukkan dengan benar, sehingga transaksi dapat dilanjutkan.
Infrastruktur untuk penggunaan kata sandi satu kali terintegrasi dengan situs web atau aplikasi Anda menggunakan API. Beginilah cara situs “mengetahui” apakah OTP yang dimasukkan benar atau tidak, dengan pengamanan seperti memeriksa apakah OTP tersebut berada dalam jangka waktu tertentu. Saat Anda menerima OTP untuk masuk ke rekening bank Anda atau melakukan transaksi, organisasi tersebut tidak menggunakan perangkat lunak yang dikembangkan sendiri—tetapi menggunakan penyedia layanan OTP seperti CM.com.
Manfaat Menggunakan OTP
OTP Menikmati Keakraban Pelanggan yang Luas
Sangat sedikit orang yang perlu diajari cara menggunakan OTP; kode satu kali adalah praktik umum untuk segala hal mulai dari mengaktifkan kartu bank hingga mengatur ulang kata sandi. Dan, tentu saja, di dunia yang jumlah perangkat selulernya dua kali lebih banyak dibandingkan jumlah penduduknya, hampir semua orang yang membutuhkan OTP memiliki akses ke ponsel.
Teknologi Terbukti Menjamin Keandalan Tinggi
Kata Sandi Sekali Pakai yang dikirim melalui SMS tidaklah mudah—OTP terkadang bisa hilang saat transit—namun sebagian besar terkirim seperti yang diharapkan, dalam hitungan menit atau kurang. Dan bahkan jika terjadi kegagalan pengiriman yang jarang terjadi, pelanggan cukup meminta OTP lagi.
OTP Memenuhi Banyak Skenario
Apalagi kegunaan OTP bermacam-macam. Meskipun paling umum terjadi di sektor keuangan, hal ini semakin umum terjadi di semua jenis situs web dan aplikasi, di mana pun identitas pengguna atau hak akses perlu diverifikasi. Prinsip umum OTP adalah bahwa mereka menambahkan lapisan keamanan tambahan pada proses yang sudah aman—“berbagai faktor” dari TFA dan SCA.
Menambahkan autentikasi multi-faktor ke akun seseorang berarti bahwa meskipun alamat email dan kata sandi telah disusupi (yaitu pelaku jahat mengetahuinya), kejahatan lain perlu dilakukan sebelum upaya login berhasil dilakukan—seperti mencuri ponsel pelanggan.
Kasus Penggunaan OTP
Mengaktifkan Kartu Pembayaran Bank
Jutaan kartu plastik dikeluarkan setiap tahun. Setiap kartu memerlukan “aktivasi”—memastikan bahwa kartu baru berada dalam kepemilikan pemilik sahnya. Aktivasi ini biasa dilakukan dengan kode OTP yang sering dikirimkan dalam bentuk SMS ke ponsel pelanggan.
Mencatat Transaksi Di Luar Pola
Perangkat lunak pengenalan penipuan bergantung pada pola: orang cenderung bertindak dengan cara yang sama berulang kali, seperti menghabiskan jumlah yang dapat diprediksi pada hari yang sama setiap minggunya di toko bahan makanan.
Jika suatu transaksi memiliki karakteristik yang tidak biasa—seperti berada di negara lain, dengan jumlah yang tidak biasa, atau hanya pada waktu yang tidak biasa—transaksi tersebut akan ditandai sebagai “di luar pola”. OTP sering kali dapat mengatasi situasi seperti itu, dengan mengonfirmasi bahwa individu yang melakukan transaksi tersebut adalah orang yang berwenang.
Mengonfirmasi Transaksi Bernilai Tinggi
Ketika harga stiker suatu transaksi berada di atas tingkat tertentu, OTP dapat digunakan untuk mengonfirmasi bahwa semuanya berjalan sebagaimana mestinya—pada prinsipnya tidak ada bedanya dengan memasukkan PIN Anda ketika pembayaran nirsentuh Anda berada di atas angka yang ditentukan (seperti £100 di Inggris). Banyak pengguna menghargai jaminan ekstra yang diberikan OTP dalam situasi seperti itu.
Mengatasi Kata Sandi yang Hilang
Kasus penggunaan OTP yang sangat umum, tentu saja, adalah kehilangan kata sandi. Di web saat ini, pengingat kata sandi semakin jarang—karena email tidak sepenuhnya aman. Sebaliknya, pengguna biasanya diminta untuk mereset kata sandinya. One Time Password, dibuat dan dikirim atas permintaan pengguna, memungkinkan pengguna mengatur kata sandi baru untuk situs atau aplikasi apa pun yang mereka kunjungi.
Mengakses Layanan Pemerintah
Karena departemen-departemen pemerintah seringkali tidak terintegrasi—memberikan warga negara rekening terpisah untuk pajak pribadi, pajak bisnis, catatan kesehatan, surat izin mengemudi, pengajuan paspor, dan sebagainya—OTP dapat menjadi faktor pemersatu, membantu warga mengakses berbagai layanan pemerintah tanpa terlalu banyak kesulitan.
Mengenali Perangkat yang Tidak Dikenal
Rata-rata konsumen saat ini memiliki lebih dari satu perangkat, dan banyak dari perangkat tersebut terhubung ke jaringan seluler—yang menimbulkan masalah bagi operator situs dan aplikasi, karena banyak proses keamanan yang memeriksa kredensial perangkat (dikenal atau tidak) serta identitasnya. pengguna.
Skenario umumnya adalah layanan streaming di mana banyak perangkat berbagi login, dan perangkat menggunakan WiFi publik. OTP mengonfirmasi bahwa perangkat baru itu sah—atau tidak.
Orientasi untuk Layanan
Tidak semua kasus penggunaan OTP SMS berkisar pada web dan keuangan. “Onboarding”—memperkenalkan pengguna baru pada layanan apa pun, mulai dari lencana keamanan untuk gedung hingga pemegang tiket di festival—semakin banyak menggunakan OTP untuk mengonfirmasi identitas seseorang.
Membatasi Akses ke Informasi Pribadi
Beberapa kumpulan data berisi informasi sensitif—seperti catatan kesehatan seseorang—namun harus dapat diakses oleh sejumlah pengguna, seperti dokter mereka. OTP memenuhi beberapa syarat di sini: tidak hanya dapat memberikan akses kepada orang yang tepat, namun juga mencatat siapa yang mengakses data tersebut dan seberapa sering.
